Vaše soubory byly šifrovány - co dělat?

Jedním z nejproblematičtějších škodlivých programů je trojské nebo virové šifrování souborů na uživatelském disku. Některé z těchto souborů mohou být dešifrovány a některé ještě nejsou. Manuál uvádí možné algoritmy akcí v obou situacích, způsoby, jak určit konkrétní typ šifrování na žádné další výkupné a ID ransomware služby, jakož i stručný přehled programů pro ochranu proti sofistikovaným virům (ransomware).

Existuje několik modifikací takových virů nebo triang-nosičů (a nové se neustále objevují), ale obecná podstata práce se scvrkává na skutečnost, že po instalaci na počítač vaše soubory dokumentů, obrázků a dalších, které jsou potenciálně důležité Šifrováno se změnou expanze a odstraněním původních souborů, poté získáte zprávu v souboru ReadMe.txt, že všechny vaše soubory byly šifrovány, a pro jejich dešifrování musíte poslat určitou částku útočníkovi. POZNÁMKA: V aktualizaci tvůrců FALL FALL FALL FALL FALL ELITUS VELMI VELKÁ OCHRANA PRO VIRY SIPSESIS.

Co dělat, pokud jsou všechny důležité údaje šifrovány

Pro začátek, některé obecné informace pro šifrování důležitých souborů v jejich počítači. Pokud byly zašifrovány důležité údaje o vašem počítači, pak by se nejprve neměli panikařit.

Pokud máte takovou příležitost, z počítačového disku, na kterém se objevil virus kouzelníka (ransomware), zkopírujte někde na externí jednotku (Flash Drive) příklad souboru s textovým požadavkem pro útočníka pro dekódování a kopii šifrovaný soubor a poté, pokud jde o příležitosti, vypněte počítač tak, aby virus nemohl pokračovat v šifrování dat, a provést zbytek akcí na jiném počítači.

Dalším krokem je zjistit, co přesně typ viru zašifroval vaše data pomocí dostupných šifrovaných souborů: pro některé z nich existují dekodéry (některé zde označím, některé jsou označeny blíže ke konci článku), pro Některé - zatím neexistuje žádná. Ale i v tomto případě můžete poslat příklady šifrovaných souborů do antivirových laboratoří (Kaspersky, Dr. Web) studovat.

Jak to zjistit? To můžete udělat pomocí Google nalezením diskusí nebo typu šifrování pro rozšíření souboru. Služby se také začaly objevovat, aby určovaly typ ransomwaru.

Už žádné výkupné

Žádné další výkupné není aktivně vyvíjející se zdroj podporovaný vývojáři zabezpečení a přístupný ve verzi v ruštině, zaměřený na boj proti virům se šifrováními (trojské koně -robbers).

S trochou štěstí už žádné výkupné nemůže pomoci dešifrovat vaše dokumenty, databáze, fotografie a další informace, stáhnout potřebné programy pro dekódování a také získat informace, které v budoucnu pomohou vyhnout se těmto hrozbám.

Na žádném výkupném se můžete pokusit dešifrovat své soubory a určit typ viru sipperu následujícím způsobem:

1. Klikněte na „Ano“ na hlavní stránce služby https: // www.Nomoreransom.Org/ru/index.Html
2. Otevře se stránka „Crypto-Sheep“, kde si můžete stáhnout příklady šifrovaných souborů s velikostí nejvýše 1 MB (doporučuji stahovat nezastavující důvěrná data), a také označit e-mailové adresy nebo weby, pro které podvodníci vyžadují nákup (nebo nahrajte soubor README.txt s poptávkou). 
3. Klikněte na tlačítko „Zkontrolujte“ a počkejte na dokončení šeku a jeho výsledku.

Kromě toho jsou na webu k dispozici užitečné sekce:

• Decritory jsou téměř všechny nástroje existující v současné době pro dešifrování souborů šifrovaných virů. 
• Prevence infekce - informace zaměřené především na začátečníky, které mohou v budoucnu zabránit infekci.
• Otázky a odpovědi - informace pro ty, kteří chtějí lépe porozumět práci šifrovacích virů a akcí v případech, kdy jste čelili skutečnosti, že soubory v počítači byly šifrovány.

Dnes už žádné výkupné není pravděpodobně nejrelevantnějším a nejužitečnějším zdrojem souvisejícím s dešifrováním souborů pro ruského uživatele, doporučuji, doporučuji.

Id ransomware

Další taková služba je https: // id -ransomware.MalwareHunterteam.Com/(pravda, nevím, jak dobře to funguje pro ruské -jazykové varianty viru, ale stojí za to vyzkoušet, nakrmit službu příkladem šifrovaného souboru a textového souboru vyžadujícího nákup).

Po určení typu šifrování, pokud se vám to podařilo, zkuste najít nástroj pro dešifrování této možnosti na požadavcích jako: typ_ -shifor of decryptor. Takové veřejné služby jsou zdarma a produkují antivirové vývojáři, například několik takových nástrojů lze nalézt na webových stránkách Kaspersky HTTPS: // Support.Kaspersky.RU/Virys/Utility (jiné nástroje jsou blíže ke konci článku). A jak již bylo zmíněno, neváhejte kontaktovat vývojáře antiviru na jejich fórech nebo na podpůrnou službu poštou.

Bohužel to vše ne vždy pomáhá a ne vždy má pracovní dekodéry pracovních souborů. V tomto případě jsou skripty odlišné: Mnoho útočníků platí a povzbuzuje je, aby pokračovali v této činnosti. Některým uživatelům pomáhají programy k obnovení dat na počítači (protože virus, který vytváří šifrovaný soubor, Deleys pravidelný důležitý soubor, který lze teoreticky obnovit).

Počítačové soubory jsou šifrovány v XTBL

Jedna z posledních možností pro virus monitoru šifruje soubory a nahrazuje je za příponu .Xtbl a jméno sestávající z náhodné sady znaků.

Současně je v počítači zveřejněn textový soubor.TXT s přibližně následujícím obsahem: „Vaše soubory byly šifrovány. Chcete -li je dešifrovat, musíte odeslat kód na e -mailovou adresu [email protected], [email protected] nebo [email protected]. Dále obdržíte všechny potřebné pokyny. Pokusy o dešifrování souborů povedou nezávisle k neodvolatelné ztrátě informací “(adresa pošty a textu se může lišit).

Bohužel způsob, jak dešifrovat .XXBL v současné době není (jakmile se objeví, instrukce bude aktualizována). Někteří uživatelé, kteří mají opravdu důležité informace o počítačové zprávě na antivirových fórech, že poslali autorům viru 5 000 rublů nebo jiné požadované množství a obdrželi dekodér, ale to je velmi riskantní: nic nemůžete získat.

Co dělat, pokud byly soubory šifrovány .Xtbl? Moje doporučení vypadají následovně (ale liší se od doporučení na mnoha jiných tematických stránkách, kde například doporučují okamžitě vypnout počítač z sítě nebo ne smazat virus. Podle mého názoru je to zbytečné a v kombinaci okolností to může být dokonce škodlivé, ale rozhodnete se.):

1. Pokud víte, jak přerušit proces šifrování odstraněním příslušných úkolů v dávkovacím prostředku úkolů a vypnutím počítače z internetu (to může být nezbytná podmínka pro šifrování)
2. Nezapomeňte nebo zapište kód, který útočníci požadují odeslání na e -mailovou adresu (prostě ne do textového souboru v počítači, jen pro případ, aby se také ukázalo, že není šifrován).
3. Pomocí Malwarebytes Antimalware, zkušební verze Kaspersky Internet Security nebo DR.Webová vyléčení smazat virus, šifrování souborů (všechny tyto nástroje se s tím dobře vyrovnávají). Doporučuji vám, abyste se střídali pomocí prvního a druhého produktu ze seznamu (pokud máte nainstalovaný antivirus, instalace druhého „shora“ je nežádoucí, protože to může vést k problémům v počítači.)
4. Počkejte na dekodér od jakékoli antivirové společnosti. V popředí zde Kaspersky Lab.
5. Můžete také poslat příklad šifrovaného souboru a požadovaného kódu pro [email protected], Pokud máte kopii stejného souboru v nešifrovaném formuláři, pošlete ji také. Teoreticky to může urychlit vzhled dekodéru.

Co by se nemělo dělat:

• Přejmenujte šifrované soubory, změňte prodloužení a smažte je, pokud jsou důležité.

To je možná všechno, co mohu říci o šifrovaných souborech s expanzí .XTBL v daném čase.

Soubory jsou šifrovány lepší_call_saul

Poslední viry šifry - lepší volání Saul (trojan -ransom.Win32.Stín), nastavení expanze .Better_Call_Saul pro šifrované soubory. Jak dešifrovat takové soubory není dosud jasné. Ti uživatelé, kteří jsou spojeni s Kaspersky Laboratory a DR.Informace o webu, které prozatím nemůžete udělat (ale přesto se pokuste je poslat - více vzorků šifrovaných souborů od vývojářů = s větší pravděpodobností najde metodu).

Pokud se ukáže, že jste našli metodu dešifrování (t.E. Někde byl rozložen, ale já jsem nelepil), prosím sdílejte informace v komentářích.

Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni

Další trojský, šifrovací soubory a nastavení rozšíření z tohoto seznamu:

• .Uzamčený
• .Krypto
• .Kraken
• .AES256 (ne nutně tento trojský, existují i ​​další, kteří vytvářejí stejné rozšíření).
• .Codercsu@gmail_com
• .Enc
• .Oshit
• A další.

Dešifrovat soubory po provozu těchto virů má Kaspersky web bezplatný nástroj RakhnideCryptor k dispozici na oficiální stránce http: // podpora.Kaspersky.RU/viry/dezinfekce/10556.

Existují také podrobné pokyny pro použití tohoto nástroje, které ukazují, jak obnovit šifrované soubory, z nichž bych jen pro případ, že položku „Odstranit šifrované soubory po úspěšném dekódování“ (i když si myslím, že vše bude v pořádku možnost sady).

Pokud máte antivirovou licenci DR.Web můžete použít bezplatnou dešifrování z této společnosti na stránce http: // podpora.Drweb.Com/new/free_unlocker/

Další možnosti pro virus Sipper

Méně běžně jsou také nalezeny následující trojské koně, šifrovací soubory a vyžadující peníze na dekódování. Podle těchto odkazů existují nejen nástroje pro vrácení souborů, ale také popis značek, které pomohou určit, že máte tento virus. Ačkoli obecně, optimální cesta: pomocí Kaspersky Antivirus, naskenujte systém, zjistěte název Trojan klasifikací této společnosti a poté hledejte nástroj podle tohoto jména.

• Trojan-Ransom.Win32.Rektor - ZDARMA ZDARMA ZDARMA RectorDecryptor pro dekódování a použití je k dispozici zde: http: // podpora.Kaspersky.RU/viry/dezinfekce/4264
• Trojan-Ransom.Win32.Xorist je podobný trojan, který zobrazuje okno s žádostí o odeslání placeného SMS nebo kontaktu e -mail, aby obdržel pokyny pro dešifrování. Pokyny pro obnovení šifrovaných souborů a nástroje XoristDecryptor jsou na stránce http: // podpora.Kaspersky.RU/viry/dezinfekce/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Rannochdecryptor Utility http: // podpora.Kaspersky.Ru/viry/dezinfekce/8547
• trojský.Kodér.858 (XTBL), trojský.Kodér.741 a další se stejným názvem (při hledání antivirového dr.Web nebo Cure jeho) a různá čísla - zkuste hledat na internetu s názvem Troyan. Pro některé z nich existují dshpenth nástroje od DR.Web, také pokud jste nemohli najít nástroj, ale existuje licence DR.Web, můžete použít oficiální stránku http: // podpora.Drweb.Com/new/free_unlocker/
• CryptoLocker - Chcete -li dešifrovat soubory po práci CryptoLocker, můžete použít web http: // decryptcryptolocker.com - Po odeslání příkladu souboru obdržíte klíč a nástroj k obnovení souborů.
• Na stránce https: // bitbucket.Org/jadacyrus/ransomwarereramovalkit/Stahování Access Ransomware Demoval Kit - velký archiv s informacemi o různých typech šifrování a dešifrovacích nástrojů (v angličtině)

No, z nejnovějších zpráv - Kaspersky Laboratory, spolu s policisty z Nizozemska, vyvinula Decryptor Ransomware (http: // noransom.Kaspersky.Com) dešifrovat soubory po coinvaultu, ale v našich zeměpisných šířkách dosud nebyla nalezena tato vydírání.

Ochrana před šifrovacími viry nebo ransomware

Když se ransomware šíří, mnoho antivirových výrobců a prostředky boje proti škodlivým programům začaly vytvářet jejich řešení, aby se zabránilo práci šifrování na počítači, mezi nimi lze rozlišit:

• Malwarebytes Anti-Ransomware 
• Bitdefender Anti-Ransomware 
• Wintianransom

První dva jsou stále ve verzích beta, ale zdarma (podporují definici pouze omezené sady virů tohoto typu - Teslacrypt, Ctblocker, Locky, CryptoLocker. WINANTRANOM - Placený produkt, který slibuje zabránění šifrování téměř jakýmkoli vzorkům ransomwaru a poskytuje ochranu místních i síťových disků.

Ale: Tyto programy nejsou navrženy pro dekódování, ale pouze pro zabránění šifrování důležitých souborů v počítači. Každopádně se mi zdá, že tyto funkce by měly být implementovány v antivirových produktech, jinak se získá zvláštní situace: uživatel musí udržovat antivirus v počítači, prostředky k boji proti adwaru a malwaru a nyní také anti-ransomware utility plus anti-vykořisťování.

Mimochodem, pokud najednou ukážete, že máte co přidat (protože nemůžu mít čas na sledování toho, co se děje s metodami dešifrování), v komentářích se hlásí, tato informace bude užitečná pro ostatní uživatele, s nimiž se setkali problém.