Ang isa sa mga pinaka-problemang malware ngayon ay isang trojan o virus na nag-encrypt ng mga file sa disk ng gumagamit. Ang ilan sa mga file na ito ay maaaring decrypted, at ilan - hindi pa. Ang manu-manong naglalaman ng mga posibleng algorithm para sa mga pagkilos sa parehong mga sitwasyon, mga paraan upang matukoy ang tiyak na uri ng pag-encrypt sa mga serbisyo ng No More Ransom at ID Ransomware, pati na rin ang isang maikling pangkalahatang-ideya ng anti-virus software na pag-encrypt (ransomware).
Mayroong ilang mga pagbabago sa mga virus o ransomware Trojans (at ang mga bago ay palaging lumilitaw), ngunit ang pangkalahatang kakanyahan ng trabaho ay na pagkatapos i-install ang mga file ng mga dokumento, mga larawan at iba pang mga file na potensyal na mahalaga, sila ay naka-encrypt na may extension at pagtanggal ng mga orihinal na file. pagkatapos ay nakatanggap ka ng isang mensahe sa readme.txt na file na nagsasabi na ang lahat ng iyong mga file ay naka-encrypt, at upang i-decrypt ang mga ito kailangan mong magpadala ng isang tiyak na halaga sa magsasalakay. Tandaan: Ang Windows 10 Fall Creators Update ay may built-in na proteksyon laban sa mga virus ng pag-encrypt.
Paano kung ang lahat ng mahalagang data ay naka-encrypt
Para sa mga starter, ilang pangkalahatang impormasyon para sa pag-encrypt ng mga mahahalagang file sa iyong computer. Kung ang naka-encrypt na mahalagang data sa iyong computer, pagkatapos ay una sa lahat hindi ka dapat biglang pagkatakot.
Kung mayroon kang ganitong pagkakataon, kopyahin ang isang sample na file na may kahilingan ng teksto mula sa magsasalakay para sa decryption, kasama ang isang halimbawa ng naka-encrypt na file, sa panlabas na drive (flash drive) mula sa computer disk kung saan lumitaw ang virus-encryptor (ransomware). Patayin ang computer upang ang virus ay hindi maaaring patuloy na i-encrypt ang data, at isagawa ang natitirang mga pagkilos sa isa pang computer.
Ang susunod na yugto ay upang malaman kung anong uri ng virus ang iyong data ay naka-encrypt gamit ang magagamit na naka-encrypt na mga file: para sa ilan sa kanila mayroong mga descrambler (ilang ituturo ko dito, ang ilan ay ipinahiwatig na mas malapit sa dulo ng artikulo), para sa ilan - hindi pa. Ngunit kahit na sa kasong ito, maaari kang magpadala ng mga halimbawa ng mga naka-encrypt na file sa mga lab na anti-virus (Kaspersky, Dr Web) para sa pag-aaral.
Paano eksaktong malaman? Magagawa mo ito gamit ang Google, paghahanap ng mga talakayan o isang uri ng cryptographer sa pamamagitan ng extension ng file. Nagsimula ring lumitaw ang mga serbisyo upang matukoy ang uri ng ransomware.
Walang Higit na Pantubos
Walang Higit na Ransom ang isang aktibong pag-unlad na mapagkukunan na suportado ng mga developer ng mga tool sa seguridad at magagamit sa bersyon ng Russian, na naglalayong labanan ang mga virus sa pamamagitan ng cryptographers (Trojans-extortionists).
Sa Suwerte, Walang Higit na Ransom ang maaaring makatulong sa i-decrypt ang iyong mga dokumento, database, mga larawan at iba pang impormasyon, i-download ang mga kinakailangang programa para sa decryption, at makakuha din ng impormasyon na makatutulong na maiwasan ang mga naturang banta sa hinaharap.
Sa No More Ransom, maaari mong subukang i-decrypt ang iyong mga file at matukoy ang uri ng encryption virus gaya ng sumusunod:
- I-click ang "Oo" sa pangunahing pahina ng serbisyo //www.nomoreransom.org/ru/index.html
- Ang pahina ng Crypto Sheriff ay magbubukas, kung saan maaari mong i-download ang mga halimbawa ng mga naka-encrypt na file na hindi mas malaki kaysa sa 1 Mb ang laki (inirerekomenda ko ang pag-upload ng walang kumpidensyal na data), at tukuyin din ang mga email address o mga site kung saan hinihiling ng mga fraudsters ang isang ransom (o i-download ang readme.txt file kinakailangan).
- I-click ang pindutang "Suriin" at hintayin ang tseke at ang resulta nito upang makumpleto.
Bukod pa rito, ang site ay may kapaki-pakinabang na mga seksyon:
- Decryptors - halos lahat ng kasalukuyang umiiral na mga utility para sa pag-decrypting ng mga virus-encrypt na file.
- Pag-iwas sa impeksiyon - ang impormasyong naglalayong lalo na sa mga gumagamit ng baguhan, na makakatulong upang maiwasan ang impeksiyon sa hinaharap.
- Mga Tanong at Sagot - impormasyon para sa mga taong nais na mas mahusay na maunawaan ang gawain ng mga virus at pagkilos ng pag-encrypt sa mga kaso kapag nahaharap ka sa katunayan na ang mga file sa iyong computer ay naka-encrypt.
Ngayon, Walang Higit pang Ransom ang marahil ang pinaka-may-katuturan at kapaki-pakinabang na mapagkukunang nauugnay sa pag-decrypting ng mga file para sa isang Ruso na gumagamit, inirerekomenda ko.
Ransomware ng Id
Ang isa pang ganoong serbisyo ay //id-ransomware.malwarehunterteam.com/ (bagaman hindi ko alam kung gaano ito gumagana para sa mga variant ng virus na Russian-language, ngunit ito ay nararapat na sinusubukan sa pamamagitan ng pagpapakain sa serbisyo ng isang halimbawa ng isang naka-encrypt na file at isang text file na may isang kahilingan sa pagtubos).
Pagkatapos matukoy ang uri ng cryptographer, kung magtagumpay ka, subukan upang makahanap ng isang utility upang i-decrypt ang pagpipiliang ito para sa mga query tulad ng: Decryptor Type_Chiler. Ang ganitong mga utility ay libre at ginawa ng mga antivirus developer, halimbawa, ang ilang mga utility ay matatagpuan sa Kaspersky site //support.kaspersky.ru/viruses/utility (iba pang mga kagamitan ay mas malapit sa dulo ng artikulo). At, tulad ng nabanggit na, huwag mag-atubiling makipag-ugnay sa mga developer ng mga antivirus program sa kanilang mga forum o serbisyo ng suporta sa mail.
Sa kasamaang palad, ang lahat ng ito ay hindi palaging tulong at doon ay hindi palaging nagtatrabaho file decrypters. Sa kasong ito, ang mga sitwasyon ay naiiba: marami ang nag-aaway ng mga intruder, na naghihikayat sa kanila na ipagpatuloy ang aktibidad na ito. Ang ilang mga gumagamit ay nakatulong sa pamamagitan ng isang programa upang mabawi ang data sa isang computer (dahil ang isang virus, sa pamamagitan ng paggawa ng isang naka-encrypt na file, nag-aalis ng isang regular, mahalagang file na maaaring theoretically mabawi).
Ang mga file sa computer ay naka-encrypt sa xtbl
Ang isa sa mga pinakabagong variant ng virus ng ransomware ay nag-encrypt ng mga file, na pinapalitan ang mga ito gamit ang mga file na may extension na .xtbl at isang pangalan na binubuo ng isang random na hanay ng mga character.
Kasabay nito, isang tekstong file readme.txt ay inilagay sa computer na may tinatayang sumusunod na nilalaman: "Ang iyong mga file ay naka-encrypt. Upang i-decrypt ang mga ito, kailangan mong ipadala ang code sa email address [email protected], [email protected] o [email protected]. matatanggap mo ang lahat ng mga kinakailangang tagubilin. Ang mga pagsisikap na i-decrypt ang mga file ay hahantong sa hindi maibabalik na pagkawala ng impormasyon "(maaaring mag-iba ang mail address at teksto).
Sa kasamaang palad, kasalukuyang walang paraan upang i-decrypt .xtbl (sa lalong madaling lumitaw ito, ang pagtuturo ay maa-update). Ang ilang mga gumagamit na talagang mahalagang impormasyon sa kanilang ulat sa computer sa mga forum ng anti-virus na nagpadala sila ng 5000 rubles o ibang kinakailangang halaga sa mga may-akda ng virus at nakatanggap ng isang descrambler, ngunit ito ay lubhang mapanganib: hindi ka maaaring makatanggap ng anumang bagay.
Paano kung ang mga file ay naka-encrypt sa .xtbl? Ang aking mga rekomendasyon ay ang mga sumusunod (ngunit naiiba ang mga ito sa mga iba pang mga site na may temang, kung saan, halimbawa, inirerekomenda nila na i-off mo ang computer mula sa power supply kaagad o hindi tanggalin ang virus.Sa aking opinyon, ito ay hindi kailangan, at sa ilalim ng ilang mga pangyayari ay maaaring maging mapanganib, gayunpaman nagpasya ka.):
- Kung magagawa mo, matakpan ang proseso ng pag-encrypt sa pamamagitan ng pag-alis ng mga kaukulang gawain sa task manager, i-disconnect ang iyong computer mula sa Internet (maaaring ito ay isang kinakailangang kondisyon para sa pag-encrypt)
- Tandaan o isulat ang code na kinakailangang ipadala ng mga attacker sa isang email address (hindi lamang sa isang text file sa computer, kung sakali, upang hindi rin ito i-encrypt).
- Paggamit ng Malwarebytes Antimalware, pagsubok na bersyon ng Kaspersky Internet Security o DrWeb Lunas Ito upang alisin ang virus na naka-encrypt ng mga file (lahat ng mga tool sa itaas ay gumagawa ng magandang trabaho dito). Pinapayuhan ko kayong magpalit-ulit gamit ang una at ikalawang produkto mula sa listahan (bagaman kung may naka-install na antivirus, i-install ang pangalawang isa sa "itaas" ay hindi kanais-nais, dahil maaari itong humantong sa mga problema sa operasyon ng computer.)
- Maghintay na lumitaw ang kumpanya ng anti-virus. Sa harap dito ay Kaspersky Lab.
- Maaari ka ring magpadala ng isang halimbawa ng isang naka-encrypt na file at ang kinakailangang code [email protected], kung mayroon kang isang kopya ng parehong file sa unencrypted na form, ipadala din ito. Sa teorya, ito ay maaaring mapabilis ang hitsura ng decoder.
Ano ang hindi dapat gawin:
- Palitan ang pangalan ng mga naka-encrypt na file, palitan ang extension at tanggalin ang mga ito kung sila ay mahalaga sa iyo.
Marahil ito ang maaari kong sabihin tungkol sa mga naka-encrypt na file gamit ang extension na .xtbl sa puntong ito sa oras.
Ang mga file ay naka-encrypt na better_call_saul
Ang pinakabagong virus sa pag-encrypt ay Better Call Saul (Trojan-Ransom.Win32.Shade), na nagtatakda ng extension ng .better_call_saul para sa mga naka-encrypt na file. Kung paano i-decrypt ang mga naturang file ay hindi pa malinaw. Ang mga gumagamit na nakipag-ugnay sa Kaspersky Lab at Dr.Web ay nakatanggap ng impormasyon na hindi ito maaaring gawin sa sandaling ito (subalit subukang magpadala pa rin - higit pang mga sample ng mga naka-encrypt na file mula sa mga developer = mas malamang na makahanap ng isang paraan).
Kung lumabas na nakahanap ka ng isang paraan upang i-decrypt (ibig sabihin, ito ay nai-post sa isang lugar, ngunit hindi ako sumunod), mangyaring ibahagi ang impormasyon sa mga komento.
Trojan-Ransom.Win32.Aura at Trojan-Ransom.Win32.Rakhni
Ang sumusunod na Trojan na naka-encrypt ng mga file at nag-install ng mga extension mula sa listahang ito:
- .locked
- .crypto
- .kraken
- .AES256 (hindi kinakailangan ang trojan na ito, may iba pa ang pag-install ng parehong extension).
- .codercsu @ gmail_com
- .enc
- .oshit
- At iba pa.
Upang i-decrypt ang mga file pagkatapos ng operasyon ng mga virus na ito, ang Kaspersky website ay may libreng utility, RakhniDecryptor, na magagamit sa opisyal na pahina //support.kaspersky.com/viruses/disinfection/10556.
Mayroon ding isang detalyadong pagtuturo kung paano gamitin ang utility na ito, na nagpapakita kung paano mabawi ang mga naka-encrypt na file, mula sa kung saan nais kong basta alisin ang item na "Tanggalin ang naka-encrypt na mga file pagkatapos ng matagumpay na pag-decryption" (kahit na sa tingin ko ang lahat ay magiging masarap sa naka-install na opsyon).
Kung mayroon kang lisensya laban sa Dr.Web, maaari mong gamitin ang libreng pag-decryption mula sa kumpanyang ito sa //support.drweb.com/new/free_unlocker/
Higit pang mga variant ng encryption virus
Mas bihira, ngunit mayroon ding mga sumusunod na Trojans, nag-encrypt ng mga file at nangangailangan ng pera para sa decryption. Ang mga link na ibinigay ay hindi lamang mga kagamitan para sa pagbabalik ng iyong mga file, kundi pati na rin ang isang paglalarawan ng mga palatandaan na makakatulong matukoy na mayroon ka ng partikular na virus na ito. Kahit na sa pangkalahatan, ang pinakamahusay na paraan: sa tulong ng Kaspersky Anti-Virus, i-scan ang sistema, alamin ang pangalan ng Trojan ayon sa pag-uuri ng kumpanyang ito, at pagkatapos ay maghanap para sa utility sa pamamagitan ng pangalan na iyon.
- Trojan-Ransom.Win32.Rector ay isang libreng utility RectorDecryptor para sa decryption at gabay sa paggamit na magagamit dito: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist ay isang katulad Trojan na nagpapakita ng isang window na humihiling sa iyo na magpadala ng isang bayad na SMS o makipag-ugnay sa pamamagitan ng e-mail para sa mga tagubilin sa pag-decode. Ang mga tagubilin para sa pagbawi ng mga naka-encrypt na file at ang utility ng XoristDecryptor para dito ay nasa pahina //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 utility
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 at iba pa na may parehong pangalan (kapag naghahanap sa pamamagitan ng Dr.Web anti-virus o ang Paggaling na utility nito) at iba't ibang numero - subukang maghanap sa Internet sa pamamagitan ng pangalan ng Troyano. Para sa ilan sa mga ito ay may mga utility sa decryption ng Dr.Web, kung hindi mo mahanap ang utility, ngunit mayroong isang lisensya ng Dr.Web, maaari mong gamitin ang opisyal na pahina //support.drweb.com/new/free_unlocker/
- CryptoLocker - upang i-decrypt ang mga file pagkatapos tumakbo CryptoLocker, maaari mong gamitin ang site //decryptcryptolocker.com - pagkatapos maipadala ang sample na file, makakatanggap ka ng isang susi at utility upang mabawi ang iyong mga file.
- Sa site//bitbucket.org/jadacyrus/ransomwareremovalkit/available na mga pag-download ng Ransomware Removal Kit - isang malaking archive na may impormasyon sa iba't ibang uri ng cryptographers at mga utility ng decryption (sa Ingles)
Gayunpaman, mula sa pinakabagong balita - Kaspersky Lab, kasama ang mga opisyal ng pagpapatupad ng batas mula sa Netherlands, ay bumuo ng Ransomware Decryptor (//noransom.kaspersky.com) upang i-decrypt ang mga file pagkatapos ng CoinVault, gayunpaman, ang extortionist na ito ay hindi pa natagpuan sa aming mga latitude.
Mga protektor ng anti-virus o ransomware
Sa paglaganap ng Ransomware, maraming mga tagagawa ng mga anti-virus at mga anti-malware tool ang nagsimulang mag-release ng kanilang mga solusyon upang maiwasan ang pag-encrypt sa computer, bukod sa mga ito ay:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Ngunit: ang mga programang ito ay hindi idinisenyo upang i-decrypt, ngunit lamang upang pigilan ang pag-encrypt ng mga mahahalagang file sa iyong computer. At sa pangkalahatan, tila sa akin na ang mga pagpapaandar na ito ay dapat na ipatupad sa mga produkto ng anti-virus, kung hindi man ay kakaiba ang sitwasyon na nakuha: ang gumagamit ay kailangang panatilihin ang antivirus sa computer, isang paraan upang labanan ang AdWare at Malware, at ngayon din Anti-ransomware utility, kasama lamang sa kaso Anti- pagsamantalahan.
Sa pamamagitan ng paraan, kung biglang lumabas na mayroon kang isang bagay na idagdag (dahil sa hindi ko magkaroon ng panahon upang subaybayan kung ano ang nangyayari sa mga pamamaraan ng decryption), mag-ulat sa mga komento, ang impormasyon na ito ay magiging kapaki-pakinabang sa ibang mga user na nakaranas ng problema.