Dr.Web, ücretsiz yardımcı programlardan oluşan bir kitaplıktır. Şifreleme Truva Atları

Dr.Web, ücretsiz yardımcı programlardan oluşan bir kitaplıktır. Şifreleme Truva Atları
Dr.Web, ücretsiz yardımcı programlardan oluşan bir kitaplıktır. Şifreleme Truva Atları
02.04.2020

Dürüst olmak gerekirse, bugün bu virüsün belki de en son modifikasyonlarından biriyle karşılaşmayı beklemiyordum. Çok uzun zaman önce, web sitemde onun hakkında biraz yazdım - daha fazlasını anlatmanın zamanı geldi :)

Daha önce de söylediğim gibi Trojan.Encoder, kullanıcı dosyalarını şifreleyen bir Trojan'dır. Bu dehşetin gittikçe daha fazla çeşidi var ve yaklaşık tahminlere göre, halihazırda yaklaşık 8 tane var: Trojan.Encoder.19 , Trojan.Encoder.20 , Trojan.Encoder.21 , Trojan.Encoder.33 , Trojan.Encoder - 43, 44 ve 45 ve anladığım kadarıyla sonuncusu numaralandırılmamış. Virüsün yazarı belli bir "Düzeltici"dir.

Sürümlerle ilgili bazı bilgiler (bilgiler kısmen siteden kısmen de siteden alınmıştır):

Trojan.Encoder.19 - sisteme bulaştıktan sonra Truva atı ayrılır Metin dosyası crypted.txt dosyasını şifre çözme programı için 10 ABD doları ödeme şartıyla.

Trojan.Encoder.19'un başka bir çeşidi, kaldırılamayan tüm ortamları atlar ve aşağıdaki listedeki uzantılara sahip dosyaları şifreler:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, . jbc, .txt, .pdf.

Trojan.Encoder.20 - yeni sürüm Truva- Trojan.Encoder.19 ile karşılaştırıldığında, şifreleme ve anahtar oluşturma mekanizması değiştirilen fidye yazılımı.

Trojan.Encoder.21 - yeni değişiklik crypted.txt dosyasında, yalnızca belirli bir program yardımıyla para (89$) aktarmanızı gerektiren Trojan Ödeme sistemi, virüsün yazarı tarafından belirtilen ve PAYPAL ve cash gibi sistemleri kullanmayınız. Trojan.Encoder.21, yayılmak için Truva atlarının aktif dağıtıcısı olduğu bilinen siteleri kullanır. Önceki değişiklikler, bunun için tek seferlik bağlantılar veya kısa süreli bağlantılar kullanıyordu. Bu özellik Trojan.Encoder.21 yayılma hızını büyük ölçüde artırabilir.

Trojan.Encoder.33, kullanıcı verilerini şifreler, ancak yeni mekanizmalar kullanır. Trojan'ın klasörlere aktardığı *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls uzantılı dosyalar risk altındadır:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
Aynı zamanda orijinal dosyalar "FileError_22001" mesajıyla değiştirilir.

Önceki modifikasyonlardan farklı olarak Trojan.Encoder.33, çeşitli miktarlarda para ödemeyi talep eden herhangi bir mesaj göstermez. Aynı zamanda, kullanıcı verilerini şifreleme işlevi, bu Trojan tarafından yalnızca harici bir sunucuyla bağlantı kurmayı başarırsa gerçekleştirilir.

İkincisi, yeni bir belge şifreleme anahtarında ve ayrıca saldırganın yeni iletişim ayrıntılarında öncekilerden farklıdır. Doctor Web uzmanları, Trojan.Encoder'ın yeni modifikasyonları tarafından erişimi engellenen dosyaların şifresini çözmeye izin veren yardımcı programları hemen yarattı. Ancak bir tane daha, Trojan.Encoder'ın "en yeni" modifikasyonu özellikle ilgi çekicidir. Trojan'ın bu sürümü, şifrelenmiş dosyalara .DrWeb uzantısını ekler. Trojan.Encoder'a Dr.Web anti-virüsünün başarılı bir şekilde karşı koymasının bir sonucu olarak, yazarın, şifrelenmiş dosyalar adına ticari markamızdan bahsederek "bozma" arzusu olduğu anlaşılıyor.

Ek olarak, Doctor Web uzmanları, Trojan.Encoder'ın en son değişikliklerinin yazarının web sitelerinden birinin bağlantısını buldu. İlginç bir şekilde, bu kaynağın sahibi, şirketin bu tür sitelerle hiçbir ilgisi yokken, bir örümcek ve bir doktor görüntülerini kullanarak kendisini Doctor Web ile ilişkilendirmeye çalışıyor. Açıkçası, bu tasarım deneyimsiz kullanıcıların kafasını karıştırmak ve Doctor Web'i tehlikeye atmak için kullanılıyor.

Saldırgan, kurbanların önünde olumlu tarafta görünmek için mümkün olan her yolu deniyor - kullanıcıların belgelerini geri yüklemeye yardımcı olan bir kişi olarak. Web sitesinde, zorla para alınan bir belge şifre çözme yardımcı programının çalışmasını gösteren bir video izlemeyi teklif ediyor.

Mevcut bilgilere göre, bir kişinin dosyaları şifreledikten sonra zorla para almakla uğraştığı varsayılabilir.

Doctor Web analistleri bir şifre çözme aracı geliştirdiler ve dosyalarını kurtarmak için bunu tüm kullanıcılara ücretsiz olarak sundular. Kullanıcıların rahatlığı için, yardımcı programın yeni sürümü bir grafik arayüz modülü ile donatılmıştır ve adı Trojan.Encoder Decrypt .

Bugün, bu kirli numaranın başka bir (muhtemelen en yeni) sürümüyle karşılaştım; bu sürüm, yalnızca her şeyi şifrelemekle kalmıyor, aynı zamanda dr.web'in şifre çözme programı için gerekli olan crypted.txt dosyasına da sahip değil. dosyalar geri. Üstelik bu (ya da bu değil, başka bir şey) avz'ye erişimi tamamen engelledi ve hiçbir şekilde bilgisayarda çalışmasına izin vermiyor. İndirilen arşivi ne paketten çıkarmak ne de klasörü direkt bilgisayara yüklemek mümkün değil, kısacası ayakları ve elleri üzerinde duruyor, Base klasöründe yaşayan ve .avz uzantılı avz tabanını kesiyor. Uzantıyı yeniden adlandırma hilesi veya uzaktan başlatma da etkisi olmadı. Dönmek zorunda kaldım. Bilgisayara dağıtıldıktan sonra yazılım paketi+ ve bilgisayarı tek bir kez yeniden başlatmadan kapsamlı temizlik (bu önemlidir) ve ayrıca sol işlemleri, başlangıç ​​öğelerini, çekirdek alanı modüllerini ve diğer yaşam korkularını manuel olarak kemirdikten sonra, avz yine de başlamayı başardı. Bunu kullanan sistemin kapsamlı bir analizi, bütün bir sorun bulutunu ortaya çıkardı, bir dizi virüsü ortaya çıkardı (Kodlayıcının kendisi drweb tarafından temizlendi), ancak .. Dosyaların şifresini çözün özel program crypted.txt veya ona yakın başka bir dosya olmadığı için çıkmıyor. Henüz başka bir çözüm bilmiyorum.

Bu nedenle, virüs bulaşmış tüm kişilerin önce Dr.web Сureit + spybot paketini kullanmalarını ve ardından dosyaların şifresini çözme konusunda yardım için doğrudan dr.web ile iletişime geçmelerini şiddetle tavsiye ederim. Yardım edeceklerine söz veriyorlar ve tamamen ücretsiz.

Kullanıcının bu virüsü nereden kaptığını maalesef bilmiyorum.

İlginiz için teşekkür ederiz ve bilgisayarınızı güvende tutun. Bu önemli.

Anti-virüs şirketi Doctor Web'in uzmanları, tehlikeli bir kodlayıcı Truva Atı'nın eylemi sonucunda erişilemez hale gelen dosyaların şifresini çözmek için bir yöntem geliştirdi. Trojan.Encoder.2843, kullanıcılar tarafından "Kasa Kasası" olarak bilinir.

Bu versiyon adını Dr.Web sınıflandırmasına göre alan fidye yazılımı Trojan.Encoder.2843, toplu posta listeleri kullanan siber suçlular tarafından aktif olarak dağıtılır. JavaScript komut dosyası içeren küçük bir dosya, e-postalara ek olarak kullanılır. Bu dosya, kodlayıcının çalışmasını sağlamak için gerekli diğer eylemleri gerçekleştiren uygulamayı kendisinden çıkarır. Fidye yazılımı Trojan'ın bu sürümü 2 Kasım 2015'ten beri dağıtılmaktadır.

Bu kötü niyetli programın çalışma prensibi de oldukça merak ediliyor. sisteme Windows kayıt defterişifreli dinamik kitaplık(.DLL) ve içinde çalışan süreç explorer.exe Truva Atı, bir dosyayı kayıt defterinden belleğe okuyan, şifresini çözen ve kontrolü ona aktaran küçük bir kod yerleştirir.

Şifrelenmiş dosyaların listesi Trojan.Encoder.2843 ayrıca saklanan sistem kaydı ve her biri için büyük Latin harflerinden oluşan benzersiz bir anahtar kullanır. Dosyalar, Blowfish-ECB algoritmaları kullanılarak şifrelenir, oturum anahtarı, CryptoAPI arabirimi kullanılarak RSA kullanılarak şifrelenir. Her şifrelenmiş dosyaya bir .vault uzantısı verilir.

Doctor Web'in uzmanları, çoğu durumda bu Trojan tarafından zarar görmüş dosyaların şifresini çözmeyi mümkün kılan özel bir teknik geliştirdi. Kötü amaçlı yazılım kurbanıysanız Trojan.Encoder.2843 lütfen aşağıdaki yönergeleri kullanın:

  • uygun ifade ile polise başvurmak;
  • hiçbir durumda işletim sistemini yeniden yüklemeye, herhangi bir yardımcı programı kullanarak "optimize etmeye" veya "temizlemeye" çalışmayın;
  • bilgisayarınızdaki hiçbir dosyayı silmeyin;
  • şifrelenmiş dosyaları kendiniz kurtarmaya çalışmayın;
  • Doctor Web'in teknik destek hizmetiyle iletişime geçin (bu hizmet, Dr.Web ticari lisans kullanıcıları için ücretsizdir);
  • Truva Atı tarafından şifrelenmiş herhangi bir dosyayı bilete ekleyin;
  • servis uzmanının yanıtını bekleyin teknik Destek; bağlantılı olarak büyük miktar istekleri, bu biraz zaman alabilir.

Dosya şifre çözme hizmetlerinin yalnızca Dr.Web anti-virüs ürünleri için ticari lisans sahiplerine sağlandığını hatırlatırız. Doctor Web, kodlayıcı tarafından zarar gören tüm dosyaların şifresinin çözülmesini tam olarak garanti etmez, ancak uzmanlarımız şifrelenmiş bilgileri kurtarmak için her türlü çabayı gösterecektir.

Trojan.Encoder ailesinin ilk şifreleyici Truva atları 2006-2007'de ortaya çıktı. Ocak 2009'dan bu yana çeşitlerinin sayısı yaklaşık %1900 arttı! Şu anda Trojan.Encoder, birkaç bin değişiklikle kullanıcılar için en tehlikeli tehditlerden biridir. Nisan 2013'ten Mart 2015'e kadar, Doctor Web'in virüs laboratuvarı, kodlayıcı Truva atlarından etkilenen dosyaların şifresini çözmek için 8.553 istek aldı.
Şifreleme virüsleri, forumlara yapılan isteklerde neredeyse ilk sırada yer aldı. bilgi Güvenliği. Her gün, yalnızca Doktor Web virüsü laboratuvarının çalışanları tarafından, çeşitli türlerde şifreleme truva atları bulaşmış kullanıcılardan şifre çözme için ortalama 40 başvuru alınmaktadır ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Dijital Kasa, Dijital Kasa, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Soyunma, tonoz vesaire.). Bu tür enfeksiyonların ana belirtileri, müzik dosyaları, resim dosyaları, belgeler vb. Masaüstünün arka plan resmini, görünümünü değiştirmek de mümkündür. metin belgeleri ve şifreleme, ihlal hakkında ilgili mesajları içeren pencereler lisans sözleşmeleri ve benzeri. Şifreleme Truva Atları, özellikle ticari firmalar için tehlikelidir, çünkü veritabanlarından ve ödeme belgelerinden kaybolan veriler, bir firmanın çalışmasını belirsiz bir süre için bloke ederek kar kaybına yol açabilir.

Trojan.Encoder ailesinin Truva atları, kullanıcı dosyaları için düzinelerce farklı şifreleme algoritması kullanır. Örneğin, basit bir numaralandırma yöntemi kullanarak Trojan.Encoder.741 Truva Atı tarafından şifrelenen dosyaların şifresini çözmeye yönelik anahtarları bulmak için şunlara ihtiyacınız olacak:
107902838054224993544152335601

Trojan tarafından hasar gören dosyaların şifresinin çözülmesi, vakaların en fazla %10'unda mümkündür. Bu, çoğu kullanıcı verisinin sonsuza kadar kaybolduğu anlamına gelir.

Bugün fidye yazılımları, dosyaların şifresini çözmek için talepte bulunuyor. 1 500 bitcoin.

Fidyeyi saldırgana ödeseniz bile, size herhangi bir bilgi kurtarma garantisi vermeyecektir..

Merak uyandıran bir durum var - ödenen fidyeye rağmen suçluların oluşturdukları Trojan.Encoder tarafından şifrelenmiş dosyaların şifresini çözemedikleri ve etkilenen kullanıcıyı yardım için anti-virüs şirketinin teknik destek hizmetine gönderdikleri bir vaka kaydedildi. !

Enfeksiyon nasıl oluşur?

  • yatırım yoluyla e-posta; Saldırganlar, sosyal mühendislik kullanarak kullanıcıyı ekli dosyayı açmaya zorlar.
  • PDF ekleri olarak gizlenmiş Zbot enfeksiyonları ile.
  • Bir enfeksiyon yüklemek için bir bilgisayardaki güvenlik açıklarını kullanan, saldırıya uğramış web sitelerinde bulunan yararlanma kitleri aracılığıyla.
  • Çevrimiçi videoları izlemek için gereken oynatıcıyı indirmeyi teklif eden Truva atları aracılığıyla. Bu genellikle porno sitelerinde bulunur.
  • RDP aracılığıyla, bu protokoldeki parola tahminini ve güvenlik açıklarını kullanarak.
  • Virüs bulaşmış keygen'lerin, çatlakların ve aktivasyon yardımcı programlarının yardımıyla.
Vakaların %90'ından fazlasında, kullanıcılar fidye yazılımlarını bilgisayarlarında kendi elleriyle başlatır (etkinleştirir).

RDP şifre tahminini kullanırken, saldırgan o gelir saldırıya uğramış bir hesap altında, kapatır veya bir anti-virüs ürününü kaldırır ve kendini fırlatırşifreleme.

"Borç", "Ceza Davası" vb. Başlıklı mektuplardan korkmayı bırakana kadar, saldırganlar saflığınızı kullanacak.





Düşün... Kendiniz için öğrenin ve başkalarına güvenliğin temellerini öğretin!

  • Başlık ne kadar göz korkutucu olursa olsun, bilinmeyen alıcılardan gelen e-postalardaki ekleri asla açmayın. Ek bir arşiv olarak geldiyse, arşivin içeriğini basitçe görüntüleme zahmetine girin. Yürütülebilir bir dosya varsa (uzantı .exe, .com, .bat, .cmd, .scr), bu sizin için %99.(9) oranında bir tuzaktır.
  • Hala bir şeyden korkuyorsanız, gerçeği bulmak için çok tembel olmayın. e-posta adresi adına mektubun size gönderildiği kuruluş. Bilgi çağımızda bunu öğrenmek o kadar da zor değil.
  • Gönderenin adresinin doğru olduğu ortaya çıksa bile, böyle bir gönderilmiş mektubun varlığını telefonla netleştirmek için çok tembel olmayın. Anonim smtp sunucuları kullanılarak gönderen adresinin taklit edilmesi kolaydır.
  • Gönderen Sberbank veya Russian Post diyorsa, bu hiçbir şey ifade etmez. Normal mektuplar ideal olarak dijital imza ile imzalanmalıdır. Açmadan önce bu tür mektuplara ekli dosyaları dikkatlice kontrol edin.
  • düzenli olarak yap yedekler ayrı medya hakkında bilgi.
  • kullanmayı unut basit şifreler alması ve içine girmesi kolay olan yerel ağ verileriniz altındaki kuruluşlar. RDP erişimi için sertifikalar, VPN erişimi veya iki faktörlü kimlik doğrulama kullanın.
  • Asla Yönetici haklarıyla çalışmayın, mesajlara dikkat edin UAC, sahip olsalar bile "Mavi renk" imzalı uygulama, tıklamayın "Evet", kurulumları veya güncellemeleri çalıştırmadıysanız.
  • Yalnızca güvenlik güncellemelerini değil, düzenli olarak güvenlik güncellemelerini yükleyin. işletim sistemi aynı zamanda uygulama programları.
  • Düzenlemek antivirüs ayarları için şifre, şifre dışında hesap, kendini koruma seçeneğini açın
Enfeksiyon durumunda ne yapılmalı?

Dr.Web ve Kaspersky Lab'in tavsiyelerini aktaralım:

  • Truva atının eylemini durdurmak için bilgisayarı hemen kapatın, bilgisayarınızdaki Sıfırla / Aç düğmesi verilerin önemli bir bölümünü kaydedebilir;
  • Yorum sitesi: Böyle bir tavsiyenin tanınmış laboratuvarlar tarafından verilmesine rağmen, bazı durumlarda bunun uygulanması, anahtar depolanabileceğinden daha karmaşık şifre çözmeye yol açacaktır. rasgele erişim belleği ve sistemi yeniden başlattıktan sonra geri yüklemek imkansız olacaktır. Daha fazla şifrelemeyi durdurmak için, Process Explorer'ı veya daha fazla öneri için ve'yi kullanarak fidye yazılımı işleminin yürütülmesini dondurabilirsiniz.

Spoyler: Dipnot

Hiçbir kodlayıcı tüm verileri anında şifreleyemez, bu nedenle şifrelemenin sonuna kadar bir kısmı bozulmadan kalır. Ve şifrelemenin başlangıcından bu yana ne kadar çok zaman geçerse, o kadar az dokunulmamış veri kalır. Görevimiz olabildiğince çoğunu kaydetmek olduğundan, kodlayıcıyı durdurmamız gerekiyor. Prensip olarak, işlemlerin listesini analiz etmeye başlayabilir, Truva atının bunların içinde nerede olduğunu arayabilir, sonlandırmayı deneyebilirsiniz ... Ama inanın bana, fişten çekilmiş bir güç kablosu çok daha hızlı! düzenli tamamlama Windows çalışması fena bir alternatif değil, ama biraz zaman alabilir veya truva atı eylemlerine müdahale edebilir. Bu yüzden benim seçimim ipi çekmek. Kuşkusuz, bu adımın dezavantajları vardır: dosya sistemini bozma olasılığı ve RAM'i daha fazla boşaltmanın imkansızlığı. hasarlı dosya sistemi hazırlıksız bir kişi için sorun kodlayıcıdan daha ciddidir. Kodlayıcıdan sonra en azından dosyalar kalırken, bölüm tablosundaki hasar işletim sisteminin önyüklenmesini imkansız hale getirir. Öte yandan, yetkin bir veri kurtarma uzmanı, aynı bölüm tablosunu sorunsuz bir şekilde onaracaktır ve kodlayıcının çok sayıda dosyaya ulaşmak için zamanı olmayabilir.

Suç işleyenlere karşı bir ceza davası başlatmak için kolluk kuvvetlerinin usule ilişkin bir nedene ihtiyacı var - suçla ilgili açıklamanız. Örnek Uygulama

Bilgisayarınızın bir süre inceleme için geri çekileceği gerçeğine hazır olun.

Başvurunuzu kabul etmeyi reddederlerse, yazılı bir ret belgesi alın ve daha yüksek bir polis kurumuna (şehrinizin veya bölgenizin polis şefi) şikayette bulunun.

  • hiçbir durumda işletim sistemini yeniden yüklemeye çalışmayın;
  • bilgisayarınızdaki hiçbir dosyayı ve posta mesajını silmeyin;
  • geçici dosyaların ve kayıt defterinin herhangi bir "temizleyicisini" çalıştırmayın;
  • Bilgisayarınızı antivirüslerle taramamalı ve işlememelisiniz ve antivirüs yardımcı programları, ve hatta daha fazlası anti-virüs LiveCD, aşırı durumlarda, virüslü dosyaları anti-virüs karantinasına taşıyabilirsiniz;

Spoyler: Dipnot

Şifre çözme için, geçici bir dizindeki göze çarpmayan 40 baytlık bir dosya veya masaüstündeki anlaşılmaz bir kısayol en büyük değere sahip olabilir. Muhtemelen şifre çözme için önemli olup olmayacaklarını bilmiyorsunuz, bu yüzden hiçbir şeye dokunmamak en iyisidir. Kayıt defterini temizlemek genellikle şüpheli bir prosedürdür ve bazı kodlayıcılar şifre çözme için önemli iş izleri bırakır. Antivirüsler elbette kodlayıcı truva atının gövdesini bulabilir. Ve hatta onu tamamen silebilirler, ancak o zaman analiz için geriye ne kalacak? Nasıl ve hangi dosyaların şifrelendiğini nasıl anlarız? Bu nedenle, hayvanı diskte bırakmak daha iyidir. Bir diğer önemli nokta: Kodlayıcının çalışma olasılığını hesaba katan ve çalışmasının tüm izlerini koruyan herhangi bir sistem temizleyici bilmiyorum. Ve büyük olasılıkla, bu tür fonlar görünmeyecek. Sistemin yeniden yüklenmesi, şifrelenmiş dosyalar dışında kesinlikle Trojan'ın tüm izlerini yok edecektir.

  • şifrelenmiş dosyaları kurtarmaya çalışmayın kendi başına;

Spoyler: Dipnot

Arkanızda birkaç yıl program yazarlığınız varsa, RC4, AES, RSA'nın ne olduğunu ve aralarındaki farkın ne olduğunu gerçekten anlamışsanız, Hiew'in ne olduğunu ve 0xDEADC0DE'nin ne anlama geldiğini biliyorsunuz, deneyebilirsiniz. Başkalarına tavsiye etmiyorum. Diyelim ki dosyaların şifresini çözmek için bir çeşit mucizevi yöntem buldunuz ve hatta bir dosyanın şifresini çözmeyi başardınız. Bu, tekniğin tüm dosyalarınız üzerinde çalışacağının garantisi değildir. Üstelik bu, bu yöntemle dosyaları daha fazla bozmayacağınızın garantisi değildir. Çalışmamızda bile, şifre çözme kodunda ciddi hatalar bulunduğunda hoş olmayan anlar oluyor, ancak bu noktaya kadar binlerce durumda kod olması gerektiği gibi çalıştı.

Artık ne yapılması ve ne yapılmaması gerektiği açık olduğuna göre, kod çözmeye başlayabilirsiniz. Teorik olarak, şifre çözme neredeyse her zaman mümkündür. Bu, bunun için ihtiyacınız olan tüm verileri biliyorsanız veya sınırsız miktarda para, zaman ve işlemci çekirdeğine sahipseniz olur. Uygulamada, bir şey neredeyse anında deşifre edilebilir. Bir şey birkaç ay hatta yıllarca sırasını bekleyecek. Bazı durumlarda, onu bile alamazsınız: kimse 5 yıl boyunca bir süper bilgisayarı bedavaya kiralamaz. Ayrıca, basit gibi görünen bir davanın, ayrıntılı bir şekilde ele alındığında son derece karmaşık hale gelmesi de kötüdür. Kiminle iletişime geçeceğiniz size kalmış.

  • bu sorunla ilgilenen bir virüs analistleri bölümü bulunan şirketin virüsten koruma laboratuvarıyla iletişime geçin;
  • Truva atı ile şifrelenmiş dosyayı bilete (ve mümkünse şifrelenmemiş kopyasına) ekleyin;
  • virüs analistinin yanıtını bekleyin. Yoğun istek nedeniyle bu işlem biraz zaman alabilir.
Dosyalar nasıl kurtarılır?

Şifreli dosyaları göndermek için formları olan adresler:

  • Dr.Web (Ücretsiz şifre çözme başvuruları, yalnızca Drweb karmaşık antivirüs kullanıcıları tarafından kabul edilir.)
  • Kaspersky Lab (Ücretsiz şifre çözme istekleri yalnızca ticari Kaspersky Lab ürünlerinin kullanıcılarından kabul edilir)
  • ESET LLC ( Ücretsiz şifre çözme başvuruları yalnızca ESET ticari ürünlerinin kullanıcılarından kabul edilir.)
  • Artık Fidye Yok Projesi (kod kırıcı seçimi)
  • Kriptograflar - gaspçılar (şifre çözücülerin seçimi)
  • ID Ransomware (şifre çözücü seçimi)

Biz kesinlikle tavsiye edilmez dosyaları kendi başınıza geri yükleyin, çünkü beceriksiz eylemlerle hiçbir şeyi geri yüklemeden tüm bilgileri kaybetmek mümkündür !!! Ayrıca, bazı Truva atları tarafından şifrelenmiş dosyaların kurtarılması sadece imkansızşifreleme mekanizmasının gücü nedeniyle.

Silinen dosyaları kurtarmak için yardımcı programlar:
Bazı şifreleme truva atı türleri, şifrelenmekte olan dosyanın bir kopyasını oluşturur, şifreler ve orijinal dosyayı siler; bu durumda, dosya kurtarma yardımcı programlarından birini kullanabilirsiniz (tercihen taşınabilir sürümler indirilen ve başka bir bilgisayardaki bir flash sürücüye yazılan programlar):

  • R.koruyucu
  • Recuva
  • JPEG Ripper - kurtarma programı hasarlı görseller
  • JPG tarama açıklaması)
  • PhotoRec - hasarlı görüntüleri kurtarmak için yardımcı program (açıklama)
Bazı sürümlerle ilgili sorunları çözme yöntemi Lockdir

Lockdir'in bazı sürümleriyle şifrelenmiş klasörler bir arşivleyici ile açılabilir 7zip

Başarılı bir veri kurtarma işleminden sonra, sistemde kötü amaçlı yazılım olup olmadığını kontrol etmeniz gerekir, bunun için çalıştırmalı ve bölümde sorunun açıklamasını içeren bir konu oluşturmalısınız.

İşletim sistemi araçları kullanılarak şifrelenmiş dosyaların kurtarılması.

Dosyaları işletim sistemini kullanarak geri yüklemek için, Trojan şifreleyici bilgisayarınıza girmeden önce sistem korumasını etkinleştirmelisiniz. Çoğu fidye yazılımı truva atı, bilgisayarınızdaki tüm gölge kopyaları kaldırmaya çalışır, ancak bazen başarısız olur (yönetici ayrıcalıkları olmadığında ve yüklü Windows güncellemeleri) ve bozuk dosyaları kurtarmak için gölge kopyaları kullanabilirsiniz.

Gölge kopyaları kaldırma komutunun şu şekilde olduğu unutulmamalıdır:

kod:

Vssadmin gölgeleri sil

yalnızca yönetici haklarıyla çalışır, bu nedenle korumayı etkinleştirdikten sonra yalnızca sınırlı haklara sahip bir kullanıcı olarak çalışmalı ve hakları yükseltme girişimiyle ilgili tüm UAC uyarılarına dikkat etmelisiniz.


Bir şeyin önceden reklamı: Sistem koruması nasıl etkinleştirilir?


Dosyaların önceki sürümleri bozulduktan sonra nasıl geri yüklenir?


Not:

" kullanarak bir dosya veya klasörün özelliklerinden geri yükleme Önceki sürümler" mevcut yalnızca Windows 7 ve üzeri "Professional" sürümlerinde. Windows 7'nin ev sürümleri ve daha yeni Windows'un tüm sürümleri bir geçici çözüme sahiptir (spoiler altında).

Bir şeyin önceden reklamı


ikinci yol - bu, yardımcı programın kullanımıdır gölge gezgini(yardımcı programın hem yükleyicisini hem de taşınabilir sürümünü indirebilirsiniz).

Programı çalıştır
Dosyalarını kurtarmak istediğiniz sürücüyü ve tarihi seçin




Geri yüklenecek dosya veya klasörü seçin ve üzerine tıklayın sağ tık fareler
Bir menü öğesi seçin İhracat ve gölge kopyadan dosyaları geri yüklemek istediğiniz klasörün yolunu belirtin.



Fidye yazılımı truva atlarına karşı koruma yolları

Ne yazık ki, fidye yazılımı truva atlarına karşı korunmanın yolları sıradan kullanıcılar Yalnızca belirli uygulamaların dosyalara erişmesine izin veren ve güvenilir bir uygulamanın adres alanına bir Truva atının girdiği durumlarda %100 koruma sağlamayan güvenlik ilkesi veya HIPS ayarları gerektiğinden oldukça karmaşıktır. Bu nedenle, tek erişilebilir yol koruma destek olmak kullanıcı dosyalarını çıkarılabilir medyaya aktarın. Ayrıca, böyle bir taşıyıcı harici ise HDD veya flash sürücü, bu ortamlar bilgisayara yalnızca yedekleme sırasında bağlanmalı ve diğer zamanlarda bağlantısı kesilmelidir. Daha fazla güvenlik için, yedeklemeler şu adresten başlatılarak yapılabilir: canlı CD. Ayrıca, yedeklemeler sözde " Bulut depolama bazı şirketler tarafından sağlanmaktadır.

Ayar antivirüs programları fidye yazılımı truva atlarından etkilenme olasılığını azaltmak için.

Tüm ürünler için geçerlidir:

Kendini koruma modülünü etkinleştirmeniz ve kurmanız gerekir. karmaşık şifre antivirüs ayarlarında!!!

Herkese selam! Bugün bununla ilgili bir sorunu vurgulamak istiyorum. kötü amaçlı yazılım bilgisayarınızdaki dosyaları şifreler. Böyle bir sorun var ve ardından “Yardım edin! Virüs dosyaları şifreledi”, birçok bilgisayar sihirbazı aynı sorunu yaşıyor, hatta bazen yardım etmeyi taahhüt ediyorlar, ancak sonunda aşağıda açıklananları kullanıyorlar. Ancak, bir virüs bilgisayarınızda dosyaları şifrelediyse gerçekten ne yapabilirsiniz?! Yazıyı sonuna kadar okuyun, yazılanları dinleyin, sakinleşin ve harekete geçin. Gitmek!

Şifreleyiciler, truva atı kodlayıcı ailesinin çeşitleridir (örneğin, dr.web'in onları sınıflandırdığı şekliyle). Fidye yazılımı programının kendisi, kaçırırsa genellikle bir süre sonra antivirüs tarafından yakalanır. Ancak çalışmasının sonuçları iç karartıcı. Bu tür bir pisliğin kurbanı olursanız ne yapmalısınız? Hadi çözelim. Öncelikle, tefi olan bir şamanın ortaya çıkıp sorununuzu anında çözmesi umuduyla herkesi ve her şeyi aptalca sorularla doldurmayı bırakmak için düşmanın nasıl çalıştığını kabaca bilmeniz gerekir. Yani virüs bildiğim kadarıyla asimetrik anahtarlar kullanıyor, aksi takdirde bu kadar çok sorun olmazdı. Böyle bir sistem, biri şifreleyen, diğeri şifre çözen iki anahtar kullanır. Ayrıca, birincisi ikinciden hesaplanır (ancak tersi değil). Bunu ve parmaklarda denilen şeyi görselleştirmeye çalışalım. Şifreleme ve şifre çözme sürecini açıkça gösteren birkaç rakamı ele alalım.

nasıl olduğu konusunda ayrıntılara girmeyeceğiz. Genel anahtar. Bu iki resim şifreleme ve ardından şifre çözme sürecini gösteriyor, bu bir kapıyı kapatıp sonra açmak gibi. Fidye yazılımı virüsünün asıl sorunu nedir? Sorun şu ki, hiç anahtarınız yok. Saldırganın anahtarları var. Ve bu teknolojiyi kullanan şifreleme algoritmaları çok kurnazdır. Dosyayı inceleyerek genel anahtarı bir şekilde elde edebilirsiniz, ancak bu mantıklı değil çünkü ihtiyacınız var. gizli anahtar. Ve işte onunla yakalama. Açık anahtarı bilsek bile, gizli olanı elde etmek neredeyse imkansızdır. Filmlerde ve kitaplarda, ayrıca arkadaşların ve tanıdıkların hikayelerinde, küçük parmaklarını klavyenin üzerinde bir sallayarak her şeyin şifresini çözecek, alnındaki her şeyi hackleyecek bazı süper kandırılmış bilgisayar korsanları olduğu açıktır. gerçek dünyada her şey hiç de o kadar basit değil. Bu sorunun kafa kafaya çözülemeyeceğini söyleyeceğim, nokta.

Ve şimdi bu pisliği alırsanız ne yapacağınız hakkında. Çok fazla seçeneğiniz yok. En yaygın olanı, yazarla e-posta yoluyla iletişim kurmaktır; bu, size masaüstünüz için nazikçe yeni bir duvar kağıdı sağlayacak ve ayrıca her bozuk dosyanın adını yazacaktır. Dikkatli olun, aksi takdirde herhangi bir dosya veya para alamazsınız. İkinci seçenek - anti-virüs şirketleri, özellikle Dr. Web. https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru adresinden teknik destekle iletişime geçin. Gerekli öğeleri gözden geçirin ve işte oldu. Doğru, bir tane var Ama! Dr.Web'den lisanslı bir antivirüs kullanmalısınız, yoksa lisans satın almanız gerekecektir. Başarılı olursa, talebiniz şirketin teknik destek servisine gidecek ve ardından yanıt beklenecektir. Lütfen bu yöntemin tüm dosyaların şifresini tamamen çözme konusunda %100 garanti vermemesine özellikle dikkat edin, bunun nedeni tüm anahtarların ve algoritmaların mevcut olmamasıdır. Diğer anti-virüs şirketleri de şifre çözme işlemine dahil olur. benzer koşullar. Üçüncü seçenek, kolluk kuvvetleriyle iletişime geçmektir. Bu arada Doctor Web'e istek oluştursan onlar bile sana anlatır. Üçüncü seçenek uzun sürebilir ve başarısız olabilir (ancak ilk ikisi gibi), ancak başarılı olursa saldırgan cezalandırılır ve insanlara daha az zarar verir ve anahtar antivirüs şirketlerine verilir. Dördüncü bir seçenek de var - başarısız bir şekilde onu çok gizli bir şekilde deşifre edecek olan ustanın mucizesini bulmaya çalışmak. Gidin çocuklar! Ama düşün! Peki, antivirüs şirketleri% 100 garanti vermiyorsa ve polise başvurmayı öneriyorsa, başka ne aranmalı? Vaktinizi ve paranızı boşa harcamayın, gerçekçi olun.

özetliyorum Ne yazık ki, birçok insan, onları polise veya polise gönderen zanaatkarlardan rahatsız oluyor. anti-virüs şirketi, yardım etmeleri için yalvarıyor, ancak sevgili kullanıcılarımız, ustaların her şeye kadir olmadığını anlıyorlar ve burada mükemmel kriptografi bilgisine ihtiyacınız var ve onların yardım etmesi pek olası değil. Bu nedenle, yukarıdaki üç yöntemi kullanın, ancak ilkine dikkat edin ( aşırı zor vaka), yetkililerle iletişime geçmek ve aynı zamanda bir anti-virüs şirketinden uzmanların yardımıyla en azından bir şeyleri kurtarmaya çalışmak daha iyidir.
Evet, bu arada, polise başvurmak diğer mağdurlara yardımcı olacaktır ve herkes bunu yapmaya çalışırsa enfeksiyon kat kat daha az olacaktır, bu nedenle sadece kendinizi değil diğer insanları da düşünün. Ayrıca, virüsün yazarı dışında belki de hiç kimsenin sorununuzu çözemeyeceği gerçeğine hazırlıklı olun! Bu nedenle, kendiniz için önemli bir sonuç çıkarın ve değerli dosyaları birkaç nüsha halinde sarın. farklı cihazlar veya bulut hizmetlerini kullanın.