وقتی روی مانیتور نوشته شده است "توجه کنید همه فایل های مهم روی همه دیسک ها با crypted000007 رمزگذاری شده اند" خوشایندترین اتفاق نیست. همه قربانیان علاقه مند هستند که اگر چه کاری انجام دهند تمامی فایل ها توسط تروجان CryptXXX رمزگذاری شده اندو پسوند فایل crypted000007 شد? آزمایشگاه‌های آنتی ویروس فایل را با نام Trojan.Encoder.20 شناسایی می‌کنند و بقیه با نام Trojan.Encoder.858. این تروجان با نام های Shade و XTBL نیز شناخته می شود. هنگام تلاش برای تجزیه و تحلیل فایل ها، مشخص شد که این رمزگذاری GPG است.

این پرونده تحت پوشش قراردادها، فاکتورها، بازرسی ها، حسابرسی های حسابداری توزیع می شود - به طور کلی، هدف آن شرکت هایی است که بر خلاف اشخاص حقیقیپول داشتن.

چه فایل هایی رمزگذاری شده اند

تروجان کاملاً همه پرونده ها (از هر پسوند / فرمت) را رمزگذاری می کند و آنها را به آنها تبدیل می کند crypted000007, crypted0000078یا .no_more_ransomگذاشتن روی دسکتاپ و درایو سیستمدسته ای از فایل های README، که در آن به زبان های انگلیسی و روسی از آنها خواسته می شود با آدرس های ایمیل با آنها تماس بگیرند:

  • و دیگران

ایمیل آنها مدام در حال تغییر است. در مرحله بعد، از شما خواسته می شود که باج بپردازید و برنامه ای برای رمزگشایی فایل ها دریافت کنید. مجرمان سایبری را تشویق نکنید و باج نپردازید، اتفاقاً مجرمان بسته به کشور محل سکونت شما، حق امتیاز زیادی را در بیت کوین اخاذی می کنند!

به شرکت های رمزگشایی پول ندهید، آنها فقط واسطه هستند، کلید را از هکرها می خرند و به شما می فروشند، اما با قیمت بالاتر. بلافاصله به یاد آورد

شما پانیکوفسکی را نمی شناسید. پانیکوفسکی همه شما را می فروشد، شما را می خرد و دوباره می فروشد، اما با قیمتی بالاتر.»

چگونه فایل ها را رمزگشایی کنیم؟

زمان را برای بازیابی فایل ها تلف نکنید، همانطور که تمرین نشان داده است، با استفاده از Qphotorec، Data Recovery Pro این کار را نمی کند نتایج مثبت، و همچنین تلاش کردن بازیابی فایل ها از طریق کپی های سایهشاید یک ویروس آنها را حذف کند.

از فایل های رمزگذاری شده نسخه پشتیبان تهیه کنید و از رمزگشاهای زیر که از وب سایت nomoreransom گرفته شده است استفاده کنید:

سعی کنید در آینده از اطلاعات خود نسخه پشتیبان تهیه کنید. اگر نمی توانید فایل ها را با این رمزگشاها رمزگشایی کنید، طبق دستورالعمل ما آنها را به آزمایشگاه های آنتی ویروس ارسال کنید.

نتیجه اسفناک این است: یک آنتی ویروس مجاز شما را از "پسران جدی" نجات نمی دهد، پشتیبان تهیه نمی کند، تحت حقوق محدود کار می کند. شما به یک متخصص بازیابی اطلاعات بسیار خوب یا متخصص امنیت رایانه نیاز دارید که الگوریتم های رمزگذاری را به خوبی بلد باشد. من می ترسم در هر دو مورد، چنین خدماتی می تواند بسیار گران باشد، حداقل 300 دلار.

یک فایل CRYPT (فایل کامل پایگاه داده رمزگذاری شده Whatsapp) فقط در پلتفرم Android قابل تولید است و یک پایگاه داده (DB) کدگذاری شده است. چنین فایلی توسط برنامه جهانی تلفن همراه WhatsApp Messenger ایجاد شده است.

اساساً، یک فایل CRYPT حاوی پیام های متنی است که با استفاده از AES 256 بیتی رمزگذاری شده اند. فایل‌های با پسوند CRYPT در آن ذخیره می‌شوند حافظه داخلییا در کارت SD خارجیسیار دستگاه های اندرویدی(بسته به تنظیمات کاربر).

AT آخرین نسخه هااندروید به جای پسوند CRYPT از CRYPT12 استفاده شده است که پیشوند پسوند دیتابیس آشنا () است. این فایل با نام name.db.crypt12 (ممکن است در ترکیب با تاریخ نمایش داده شود) به پایان می رسد.

برای انتقال فرمت های پایگاه داده (CRYPT12->CRYPT) بر روی شما دستگاه موبایلشما می توانید استفاده کنید ماژول نرم افزار omnicrypt.

برای مشاهده تاریخچه تاریخچه پیام های کاربر، باید کلید رمزگذاری را در دایرکتوری com.whatsapp/files/key پیدا و فعال کنید. فایل CRYPT 12.

برنامه هایی برای باز کردن فایل های CRYPT

برای رمزگشایی و باز کردن یک فایل CRYPT، اکثر کاربران با موفقیت از پلاگین های نرم افزار زیر استفاده می کنند:

این برنامه ها فایل CRYPT را رمزگشایی می کنند و به شما امکان می دهند تاریخچه پیام های کاربر را برای مشاهده و ویرایش باز کنید.

تبدیل CRYPT به فرمت های دیگر

رایج ترین راه برای تبدیل یک فایل پایگاه داده رمزگذاری شده CRYPT، ترجمه داده ها به فرمت CRYPT12 است. برای این کار می توان از اپلیکیشن موبایل Omni-crypt استفاده کرد. رله معکوس داده ها (CRYPT12->CRYPT) نیز به کمک همین برنامه به طور گسترده مورد استفاده قرار می گیرد.

چرا دقیقا CRYPT و مزایای آن چیست؟

دامنه فایل با پسوند CRYPT چندان گسترده نیست. با این حال، بدون این فرمتتبادل یکپارچه و سریع پیام های کاربر را بر اساس تصور کنید اپلیکیشن موبایل پیام رسان واتساپ، تقریبا غیرممکن.

اگر پیام متنی روی رایانه شما ظاهر شد که می گوید فایل های شما رمزگذاری شده اند، عجله نکنید و وحشت نکنید. علائم رمزگذاری فایل چیست؟ پسوند معمولی به *.vault، *.xtbl، * تغییر می کند. [ایمیل محافظت شده] _XO101 و غیره فایل ها را نمی توان باز کرد - یک کلید مورد نیاز است که با ارسال نامه ای به آدرس مشخص شده در پیام قابل خریداری است.

فایل های رمزگذاری شده را از کجا آورده اید؟

رایانه ویروسی را شناسایی کرد که دسترسی به اطلاعات را مسدود کرد. اغلب آنتی ویروس ها آنها را نادیده می گیرند، زیرا این برنامه معمولاً بر اساس برخی بی ضرر است ابزار رایگانرمزگذاری شما به سرعت خود ویروس را حذف خواهید کرد، اما ممکن است با رمزگشایی اطلاعات مشکلات جدی ایجاد شود.

پشتیبانی فنی Kaspersky Lab، Dr.Web و دیگر شرکت‌های معروف درگیر در توسعه نرم‌افزار ضد ویروس، در پاسخ به درخواست‌های کاربر برای رمزگشایی داده‌ها، به شما می‌گوید چه کاری باید انجام دهید. زمان قابل قبولغیر ممکن چندین برنامه وجود دارند که می توانند کد را دریافت کنند، اما آنها فقط می توانند با ویروس هایی که قبلاً مطالعه شده اند کار کنند. اگر با یک اصلاح جدید روبرو هستید، شانس بازگرداندن دسترسی به اطلاعات بسیار کم است.

چگونه یک ویروس باج افزار بر روی کامپیوتر وارد می شود؟

در 90 درصد موارد، کاربران خودشان ویروس را روی رایانه فعال می کنندبا باز کردن ایمیل های ناشناس پس از آن، یک پیام الکترونیکی با موضوع تحریک آمیز - "احضار به دادگاه"، "بدهی وام"، "اعلامیه از بازرسی مالیاتی" و غیره می رسد. یک پیوست در داخل ایمیل جعلی وجود دارد که پس از دانلود آن باج افزار وارد رایانه می شود و شروع به مسدود کردن تدریجی دسترسی به فایل ها می کند.

رمزگذاری فوراً انجام نمی‌شود، بنابراین کاربران زمان دارند تا قبل از اینکه همه اطلاعات رمزگذاری شوند، ویروس را حذف کنند. از بین رفتن اسکریپت مخربمی توانید از ابزارهای تمیز کننده Dr.Web CureIt استفاده کنید، اینترنت کسپرسکیامنیت و Malwarebytes Antimalware.

راه های بازیابی فایل ها

اگر محافظت سیستم در رایانه فعال شده باشد، حتی پس از عمل ویروس باج افزار، شانس بازگرداندن فایل ها به حالت عادی با استفاده از کپی های سایه ای از فایل ها وجود دارد. باج افزار معمولا سعی می کند آنها را حذف کند، اما گاهی اوقات به دلیل نداشتن امتیاز مدیر موفق به انجام این کار نمی شوند.

بازیابی نسخه قبلی:

برای حفظ نسخه های قبلی، حفاظت سیستم باید فعال باشد.

مهم: حفاظت از سیستم باید قبل از ظاهر شدن باج افزار فعال شود، پس از آن دیگر کمکی نخواهد کرد.

  1. ویژگی های "رایانه" را باز کنید.
  2. از منوی سمت چپ "System Protection" را انتخاب کنید.
  3. درایو C را برجسته کرده و روی "Configure" کلیک کنید.
  4. تنظیمات بازیابی را انتخاب کنید و نسخه های قبلیفایل ها. با کلیک روی OK تغییرات را اعمال کنید.

اگر این اقدامات را قبل از ظهور ویروسی که فایل‌ها را رمزگذاری می‌کند انجام داده‌اید، پس از تمیز کردن رایانه خود از آن کد مخربشانس خوبی برای بازیابی اطلاعات خواهید داشت.

استفاده از ابزارهای ویژه

آزمایشگاه کسپرسکی چندین ابزار کمکی برای کمک به باز کردن فایل های رمزگذاری شده پس از حذف ویروس آماده کرده است. اولین رمزگشایی که ارزش امتحان کردن را دارد، Kaspersky RectorDecryptor است.

  1. برنامه را از وب سایت رسمی آزمایشگاه کسپرسکی دانلود کنید.
  2. سپس برنامه را اجرا کنید و روی "شروع اسکن" کلیک کنید. مسیر هر فایل رمزگذاری شده را مشخص کنید.

اگر یک بد افزارپسوند فایل ها را تغییر نداده است، سپس برای رمزگشایی باید آنها را در یک پوشه جداگانه جمع آوری کنید. اگر ابزار RectorDecryptor است، دو برنامه دیگر را از وب سایت رسمی Kaspersky دانلود کنید - XoristDecryptor و RakhniDecryptor.

جدیدترین ابزار آزمایشگاه کسپرسکی Ransomware Decryptor نام دارد. این به رمزگشایی فایل‌ها پس از ویروس CoinVault کمک می‌کند، که هنوز در RuNet رایج نیست، اما ممکن است به زودی جایگزین تروجان‌های دیگر شود.

حدود یک یا دو هفته پیش، اثر دیگری از ویروس سازان مدرن در شبکه ظاهر شد که تمام فایل های کاربر را رمزگذاری می کند. یک بار دیگر، من این سوال را در نظر خواهم گرفت که چگونه کامپیوتر را پس از یک ویروس باج افزار crypted000007 درمان کنیم و فایل های رمزگذاری شده را بازیابی کنیم. در این مورد، هیچ چیز جدید و منحصر به فردی ظاهر نشده است، فقط اصلاح نسخه قبلی است

شرح ویروس باج افزار CRYPTED000007

رمزگذار CRYPTED000007 اساساً با نسخه های قبلی خود تفاوتی ندارد. تقریباً یک به یک مانند no_more_ransom کار می کند. اما هنوز هم چند تفاوت وجود دارد که آن را متمایز می کند. من به ترتیب همه چیز را به شما خواهم گفت.

او مانند همتایان خود از طریق پست می آید. از تکنیک ها استفاده می شود مهندسی اجتماعیتا کاربر حتما به نامه علاقه مند شود و آن را باز کند. در مورد من، نامه در مورد نوعی دادگاه و در مورد اطلاعات مهمدر مورد پرونده در پیوست پس از راه اندازی پیوست، کاربر یک سند Word را با عصاره ای از دادگاه داوری مسکو باز می کند.

به موازات باز شدن سند، رمزگذاری فایل شروع می شود. به طور مداوم یک پیام اطلاعاتی از سیستم کنترل حساب کاربری ویندوز ظاهر می شود.

اگر با پیشنهاد موافق هستید، از فایل‌ها در سایه نسخه پشتیبان تهیه کنید کپی های ویندوزحذف خواهد شد و بازیابی اطلاعات بسیار دشوار خواهد بود. بدیهی است که در هر صورت امکان موافقت با این پیشنهاد وجود ندارد. در این باج‌افزار، این درخواست‌ها دائماً یکی یکی ظاهر می‌شوند و متوقف نمی‌شوند و کاربر را مجبور به موافقت و حذف نسخه‌های پشتیبان می‌کنند. این تفاوت اصلی با اصلاحات قبلی باج افزار است. من هرگز ندیده‌ام که درخواست‌های حذف کپی سایه‌ای بدون توقف انجام شود.

معمولا بعد از 5-10 جمله قطع می کردند.
من برای آینده به شما توصیه می کنم. اغلب مردم هشدارهای سیستم کنترل حساب کاربری را خاموش می کنند. شما نیازی به انجام این کار ندارید. این مکانیسم واقعا می تواند به مقاومت در برابر ویروس ها کمک کند. دومین توصیه واضح - به طور مداوم در زیر کار نکنید حسابمدیر کامپیوتر، در صورتی که این امر از نظر عینی ضروری نباشد. در این صورت، ویروس فرصت آسیب زیادی را نخواهد داشت. به احتمال زیاد در مقابل او مقاومت خواهید کرد.

اما حتی اگر همیشه به درخواست‌های باج‌افزار پاسخ منفی داده باشید، همه داده‌های شما قبلاً رمزگذاری شده‌اند. پس از تکمیل فرآیند رمزگذاری، تصویری را روی دسکتاپ خود خواهید دید.

در عین حال، فایل های متنی زیادی با محتوای مشابه روی دسکتاپ وجود خواهد داشت.

فایل های شما رمزگذاری شده اند. برای رمزگشایی ux، باید کد 329D54752553ED978F94|0 را به آدرس ایمیل تصحیح کنید. [ایمیل محافظت شده]. سپس تمام دستورالعمل های لازم را دریافت خواهید کرد. تلاش برای رمزگشایی آن به جز تعداد غیرقابل بازگشت اطلاعات، به هیچ چیز منجر نخواهد شد. اگر باز هم می خواهید امتحان کنید، از قبل از فایل ها نسخه پشتیبان تهیه کنید، در غیر این صورت در صورت تغییر ux، رمزگشایی تحت هیچ شرایطی امکان پذیر نخواهد بود. اگر ظرف 48 ساعت (و فقط در این مورد!) پاسخی به آدرس فوق دریافت نکردید، لطفاً از فرم بازخورد استفاده کنید. این کار به دو صورت انجام می شود: 1) دانلود و نصب کنید مرورگر Torدر لینک: https://www.torproject.org/download/download-easy.html.en آدرس: http://cryptsen7fo43rr6.onion/ را در کادر آدرس مرورگر Tor وارد کرده و Enter را فشار دهید. صفحه با فرم تماس بارگیری می شود. 2) در هر مرورگری به یکی از آدرس ها بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ تمام فایل های مهم رایانه شما رمزگذاری شده است. برای رمزگشایی فایل ها باید کد زیر را ارسال کنید: 329D54752553ED978F94|0 به آدرس ایمیل [ایمیل محافظت شده]. سپس تمام دستورالعمل های لازم را دریافت خواهید کرد. تمام تلاش‌های رمزگشایی توسط خودتان تنها منجر به از دست دادن غیرقابل برگشت داده‌های شما می‌شود. اگر هنوز هم می‌خواهید سعی کنید آن‌ها را خودتان رمزگشایی کنید، لطفاً ابتدا یک نسخه پشتیبان تهیه کنید زیرا در صورت تغییر در فایل‌ها، رمزگشایی غیرممکن می‌شود. اگر بیش از 48 ساعت (و فقط در این مورد!) پاسخ را از ایمیل اعلام شده دریافت نکردید، از فرم بازخورد استفاده کنید. تو می توانیاین کار را به دو روش انجام دهید: 1) مرورگر Tor را از اینجا دانلود کنید: https://www.torproject.org/download/download-easy.html.en آن را نصب کنید و آدرس زیر را در نوار آدرس تایپ کنید: http://cryptsen7fo43rr6 .onion/ Enter را فشار دهید و سپس صفحه با فرم بازخورد بارگیری می شود. 2) در هر مرورگر به یکی از آدرس های زیر بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

آدرس پستی ممکن است تغییر کند. من آدرس های دیگری مانند این را دیده ام:

آدرس ها به طور مداوم به روز می شوند، بنابراین می توانند کاملاً متفاوت باشند.

به محض اینکه متوجه شدید که فایل ها رمزگذاری شده اند، بلافاصله رایانه را خاموش کنید. این باید انجام شود تا فرآیند رمزگذاری مطابق با متوقف شود کامپیوتر محلیو در درایوهای شبکه. یک ویروس باج‌افزار می‌تواند تمام اطلاعاتی را که می‌تواند به آن دست یابد، از جمله درایوهای شبکه، رمزگذاری کند. اما اگر مقدار زیادی اطلاعات وجود داشته باشد، زمان قابل توجهی از او خواهد گرفت. گاهی اوقات، حتی در چند ساعت، رمزگذار زمان رمزگذاری همه چیز را نداشت درایو شبکهحدود 100 گیگابایت حجم دارد.

در مرحله بعد، باید به دقت در مورد نحوه عمل کردن فکر کنید. اگر به هر طریقی به اطلاعاتی در رایانه خود نیاز دارید و نسخه پشتیبان ندارید، بهتر است در این لحظه با متخصصان تماس بگیرید. در برخی از شرکت ها لزوما برای پول نیست. شما فقط به فردی نیاز دارید که به خوبی در این زمینه مسلط باشد سیستم های اطلاعاتی. ارزیابی مقیاس فاجعه، حذف ویروس، جمع آوری تمام اطلاعات موجود در مورد وضعیت به منظور درک چگونگی ادامه ضروری است.

اقدامات نادرست در این مرحله می تواند به طور قابل توجهی روند رمزگشایی یا بازیابی فایل ها را پیچیده کند. در بدترین حالت، آنها می توانند آن را غیرممکن کنند. پس وقت خود را صرف کنید، مراقب باشید و ثابت قدم باشید.

چگونه ویروس باج افزار CRYPTED000007 فایل ها را رمزگذاری می کند

پس از راه اندازی ویروس و پایان فعالیت خود، همه فایل های مفید رمزگذاری شده و نام آن تغییر می کند extension.crypted000007. و نه تنها پسوند فایل جایگزین می شود، بلکه نام فایل نیز جایگزین می شود، بنابراین اگر به خاطر نیاورید، دقیقاً نمی دانید چه نوع فایل هایی دارید. چیزی شبیه این تصویر وجود خواهد داشت.


در چنین شرایطی، ارزیابی مقیاس فاجعه دشوار خواهد بود، زیرا شما نمی توانید به طور کامل آنچه را که در آن داشته اید به خاطر بسپارید. پوشه های مختلف. این کار عمداً برای گیج کردن یک فرد و تشویق آنها به پرداخت هزینه برای رمزگشایی فایل ها انجام شد.

و اگر رمز شده بودید و پوشه های شبکهو نه پشتیبان گیری کامل، آنگاه به طور کلی می تواند کار کل سازمان را متوقف کند. شما فوراً متوجه نخواهید شد که در نهایت چه چیزی برای شروع بهبودی از دست می رود.

چگونه با رایانه خود رفتار کنید و باج افزار CRYPTED000007 را حذف کنید

ویروس CRYPTED000007 از قبل روی رایانه شما وجود دارد. اولین و مهمترین سوال این است که چگونه یک کامپیوتر را درمان کنیم و چگونه ویروس را از آن پاک کنیم تا در صورتی که هنوز کامل نشده است از رمزگذاری بیشتر جلوگیری شود. من بلافاصله توجه شما را به این واقعیت جلب می کنم که پس از اینکه خودتان شروع به انجام برخی اقدامات با رایانه خود کردید، شانس رمزگشایی داده ها کاهش می یابد. اگر نیاز به بازیابی فایل‌ها دارید، به رایانه خود دست نزنید، بلکه فوراً با متخصصان تماس بگیرید. در زیر در مورد آنها صحبت خواهم کرد و به سایت لینک می دهم و طرح کار آنها را شرح می دهم.

در عین حال، ما به طور مستقل به درمان رایانه و حذف ویروس ادامه خواهیم داد. به طور سنتی، باج افزار به راحتی از رایانه حذف می شود، زیرا ویروس وظیفه ندارد به هر قیمتی در رایانه باقی بماند. پس از رمزگذاری کامل فایل ها، سود بیشتری برای او دارد که خودش را پاک کرده و ناپدید شود تا بررسی حادثه و رمزگشایی فایل ها دشوارتر شود.

توصیف حذف دستی یک ویروس دشوار است، اگرچه قبلاً سعی کردم این کار را انجام دهم، اما می بینم که اغلب اوقات بی معنی است. نام فایل ها و مسیرهای قرارگیری ویروس دائما در حال تغییر هستند. چیزی که من دیدم در عرض یکی دو هفته دیگر ربطی ندارد. معمولاً ویروس ها از طریق پست به صورت امواج ارسال می شوند و هر بار اصلاح جدیدی وجود دارد که هنوز توسط آنتی ویروس ها شناسایی نشده است. ابزارهای جهانی که اتوران را بررسی می کنند و فعالیت مشکوک را در پوشه های سیستم تشخیص می دهند کمک می کنند.

برای حذف ویروس CRYPTED000007 می توانید از برنامه های زیر استفاده کنید:

  1. ابزار حذف ویروس Kaspersky - ابزاری از Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - یک محصول مشابه از وب دیگر http://free.drweb.ru/cureit.
  3. اگر دو ابزار اول کمک نکردند، MALWAREBYTES 3.0 - https://ru.malwarebytes.com را امتحان کنید.

به احتمال زیاد یکی از این محصولات کامپیوتر را از باج افزار CRYPTED000007 پاک می کند. اگر به طور ناگهانی اتفاق افتاد که آنها کمکی نکردند، سعی کنید ویروس را به صورت دستی حذف کنید. من تکنیک حذف را با استفاده از مثال داوینچی و ویروس اسپورا ارائه کردم، می توانید آن را در آنجا ببینید. به طور خلاصه، این چیزی است که شما باید انجام دهید:

  1. ما به لیست فرآیندها نگاه می کنیم، زیرا قبلا چندین ستون اضافی به مدیر وظیفه اضافه کرده ایم.
  2. ما روند ویروس را پیدا می کنیم، پوشه ای که در آن قرار دارد را باز می کنیم و آن را حذف می کنیم.
  3. ما ذکر فرآیند ویروس را با نام فایل در رجیستری پاک می کنیم.
  4. ما راه اندازی مجدد می کنیم و مطمئن می شویم که ویروس CRYPTED000007 در لیست فرآیندهای در حال اجرا نیست.

رمزگشا CRYPTED000007 را از کجا دانلود کنیم

سوال رمزگشای ساده و قابل اعتماد قبل از هر چیز زمانی که صحبت از ویروس باج افزار به میان می آید مطرح می شود. اولین چیزی که توصیه می کنم استفاده از سرویس https://www.nomoreransom.org است. اگر خوش شانس باشید، آنها یک رمزگشا برای نسخه رمزگذار CRYPTED000007 شما خواهند داشت. من فوراً می گویم که شما شانس زیادی ندارید ، اما تلاش شکنجه نیست. در صفحه نخستروی بله کلیک کنید:

سپس چند فایل رمزگذاری شده را آپلود کنید و روی Go کلیک کنید! دریابید:

در زمان نگارش، رمزگشا در سایت نبود.

شاید شانس بیشتری داشته باشید. همچنین می توانید لیست رمزگشاها را برای دانلود در یک صفحه جداگانه مشاهده کنید - https://www.nomoreransom.org/decryption-tools.html. شاید چیز مفیدی در آنجا وجود داشته باشد. هنگامی که ویروس بسیار تازه است، احتمال کمی وجود دارد، اما با گذشت زمان، ممکن است چیزی ظاهر شود. نمونه‌هایی وجود دارد که رمزگشاهای برخی از تغییرات باج‌افزار در شبکه ظاهر می‌شوند. و این نمونه ها در صفحه مشخص شده هستند.

از کجا می توانم رمزگشا پیدا کنم، نمی دانم. با در نظر گرفتن ویژگی های کار باج افزار مدرن، بعید است که واقعاً وجود داشته باشد. فقط نویسندگان ویروس می توانند رمزگشای کامل داشته باشند.

نحوه رمزگشایی و بازیابی فایل ها پس از ویروس CRYPTED000007

وقتی ویروس CRYPTED000007 فایل های شما را رمزگذاری کرده است چه باید کرد؟ اجرای فنی رمزگذاری اجازه رمزگشایی فایل‌ها را بدون کلید یا رمزگشا نمی‌دهد، که فقط نویسنده رمزگذار آن را دارد. شاید راه دیگری برای دریافت آن وجود داشته باشد، اما من چنین اطلاعاتی ندارم. ما فقط می توانیم سعی کنیم فایل ها را با استفاده از روش های بداهه بازیابی کنیم. این شامل:

  • ابزار کپی های سایهپنجره ها.
  • برنامه هایی برای بازیابی اطلاعات حذف شده

ابتدا، بیایید بررسی کنیم که آیا کپی های سایه فعال شده است یا خیر. این ابزار به طور پیش فرض در ویندوز 7 و بالاتر کار می کند مگر اینکه به صورت دستی آن را غیرفعال کنید. برای بررسی ویژگی های کامپیوتر را باز کرده و به قسمت system protection بروید.

اگر در زمان عفونت تایید نکردید درخواست UACبرای حذف فایل‌های موجود در کپی‌های سایه، برخی از داده‌ها باید در آنجا باقی بمانند. در ابتدای داستان که درباره کار ویروس صحبت کردم در مورد این درخواست با جزئیات بیشتری صحبت کردم.

برای بازیابی آسان فایل ها از کپی های سایه، پیشنهاد می کنم از آن استفاده کنید برنامه رایگانبرای این - ShadowExplorer. آرشیو را دانلود کنید، برنامه را از حالت بسته خارج کنید و اجرا کنید.

آخرین کپی از فایل ها و ریشه درایو C باز می شود. در سمت چپ گوشه بالاییاگر بیش از یک نسخه پشتیبان دارید می توانید یک نسخه پشتیبان انتخاب کنید. نسخه های مختلف را بررسی کنید فایل های مورد نظر. مقایسه بر اساس تاریخ که در آن بیشتر نسخه تازه. در مثال زیر، 2 فایل روی دسکتاپ خود پیدا کردم که آخرین ویرایش آنها سه ماهه بود.

من توانستم این فایل ها را بازیابی کنم. برای انجام این کار، آنها را انتخاب کردم، کلیک کردم کلیک راستماوس، Export را انتخاب کرده و پوشه ای را که می توان آنها را بازیابی کرد، نشان داد.

به همین ترتیب می توانید بلافاصله پوشه ها را بازیابی کنید. اگر کپی های سایه برای شما کار کردند و آنها را حذف نکردید، شانس زیادی برای بازیابی همه یا تقریباً همه پرونده های رمزگذاری شده توسط ویروس دارید. شاید برخی از آنها بیشتر باشد نسخه قدیمیاز آنچه که من می خواهم، اما با این حال، بهتر از هیچ است.

اگر به دلایلی کپی سایه ای از فایل ها ندارید، تنها شانس دریافت حداقل چیزی از فایل های رمزگذاری شده بازیابی آنها با استفاده از ابزارهای بازیابی است. فایل های حذف شده. برای این کار پیشنهاد می کنم از برنامه رایگان Photorec استفاده کنید.

برنامه را اجرا کنید و دیسکی را که روی آن فایل ها را بازیابی خواهید کرد انتخاب کنید. با راه اندازی نسخه گرافیکی برنامه، فایل اجرا می شود qphotorec_win.exe. باید پوشه ای را انتخاب کنید که فایل های یافت شده در آن قرار می گیرند. بهتر است این پوشه در همان درایوی که در آن جستجو می کنیم قرار نگیرد. فلش مموری یا خارجی را وصل کنید HDDبرای این.

روند جستجو زمان زیادی را به طول خواهد انجامید. در پایان آماری را مشاهده خواهید کرد. حالا می توانید به پوشه ای که قبلا مشخص شده است بروید و ببینید چه چیزی در آنجا یافت می شود. به احتمال زیاد فایل های زیادی وجود خواهد داشت و اکثر آنها یا خراب می شوند یا نوعی فایل های سیستمی و بی مصرف خواهند بود. اما با این وجود، در این لیست امکان یافتن بخشی وجود خواهد داشت فایل های مفید. هیچ تضمینی در اینجا وجود ندارد، آنچه پیدا می کنید همان چیزی است که خواهید یافت. بهتر از همه، معمولاً تصاویر بازیابی می شوند.

اگر نتیجه شما را راضی نکرد، هنوز برنامه هایی برای بازیابی فایل های حذف شده وجود دارد. در زیر لیستی از برنامه هایی است که من معمولاً در هنگام نیاز به بازیابی از آنها استفاده می کنم بیشترین مقدارفایل ها:

  • R.saver
  • بازیابی فایل Starus
  • JPEG Recovery Pro
  • اکتیو فایل های بازیابی حرفه ای

این برنامه ها رایگان نیستند، بنابراین من لینک ارائه نمی کنم. با یک میل شدید، می توانید خودتان آنها را در اینترنت پیدا کنید.

کل فرآیند بازیابی فایل به طور مفصل در ویدیوی انتهای مقاله نشان داده شده است.

Kaspersky، eset nod32 و دیگران در مبارزه با باج افزار Filecoder.ED

آنتی ویروس های محبوب باج افزار CRYPTED000007 را به عنوان باج افزار تعریف می کنند Filecoder.EDو سپس ممکن است نام دیگری وجود داشته باشد. من توی انجمن های آنتی ویروس های اصلی رفتم و هیچ چیز مفیدی در آنجا ندیدم. متاسفانه طبق معمول آنتی ویروس ها برای تهاجم موج جدیدی از باج افزارها آماده نبودند. در اینجا پیامی از انجمن کسپرسکی آمده است.

در اینجا نتیجه بحث مفصل درباره باج افزار CRYPTED000007 در انجمن آنتی ویروس Eset nod32 است. در حال حاضر درخواست های زیادی وجود دارد، اما آنتی ویروس نمی تواند کاری انجام دهد.

آنتی ویروس ها به طور سنتی از اصلاحات جدید تروجان های باج افزار صرف نظر می کنند. با این حال، استفاده از آنها را توصیه می کنم. اگر خوش شانس باشید و نه در موج اول آلودگی، بلکه کمی دیرتر، یک باج افزار را در ایمیل خود دریافت کنید، این احتمال وجود دارد که آنتی ویروس به شما کمک کند. همه آنها یک قدم عقب تر از مهاجمان کار می کنند. بیرون آمدن یک نسخه جدیدباج افزارها، آنتی ویروس ها به آن پاسخ نمی دهند. به محض اینکه حجم مشخصی از مواد برای تحقیق در مورد یک ویروس جدید جمع می شود، آنتی ویروس ها به روز رسانی را منتشر می کنند و شروع به پاسخ دادن به آن می کنند.

چه چیزی مانع از پاسخ سریع آنتی ویروس ها به هر فرآیند رمزگذاری در سیستم می شود برای من روشن نیست. شاید برخی نکات ظریف فنی در این موضوع وجود داشته باشد که به شما اجازه نمی دهد به اندازه کافی پاسخ دهید و از رمزگذاری فایل های کاربر جلوگیری کنید. به نظر من حداقل می توان هشداری در مورد این واقعیت که شخصی فایل های شما را رمزگذاری می کند نشان داد و پیشنهاد توقف این روند را داد.

روش های محافظت در برابر ویروس CRYPTED000007

چگونه از خود در برابر کار یک باج افزار محافظت کنید و بدون آسیب مادی و معنوی انجام دهید؟ چند نکته ساده و موثر وجود دارد:

  1. پشتیبان گیری! نسخه پشتیبانتمام داده های مهم و نه فقط یک نسخه پشتیبان، بلکه یک نسخه پشتیبان که دسترسی دائمی به آن وجود ندارد. در غیر این صورت، ویروس می تواند اسناد و نسخه های پشتیبان شما را آلوده کند.
  2. آنتی ویروس دارای مجوز اگرچه آنها 100٪ ضمانت نمی دهند، اما شانس اجتناب از رمزگذاری را افزایش می دهند. آنها اغلب برای نسخه های جدید باج افزار آماده نیستند، اما پس از 3-4 روز شروع به واکنش می کنند. اگر در موج اول ارسال‌های یک اصلاح جدید باج‌افزار قرار نگیرید، این شانس شما را برای جلوگیری از عفونت افزایش می‌دهد.
  3. پیوست های مشکوک را در نامه باز نکنید. اینجا چیزی برای اظهار نظر وجود ندارد. همه رمزنگاران شناخته شده من از طریق پست به کاربران دسترسی پیدا کردند. و هر بار ترفندهای جدیدی برای فریب قربانی اختراع می شود.
  4. لینک هایی که دوستانتان از طریق آن برای شما ارسال می کنند را بی خیال باز نکنید شبکه های اجتماعییا پیام رسان ها ویروس ها گاهی اوقات به این ترتیب پخش می شوند.
  5. تحویل بده نمایش ویندوزپسوند فایل نحوه انجام این کار به راحتی در اینترنت پیدا می شود. این به شما امکان می دهد پسوند فایل روی ویروس را مشاهده کنید. بیشتر اوقات این کار را خواهد کرد exe, vbs, .src. در کار روزمره با اسناد، بعید است که با چنین پسوند فایلی روبرو شوید.

سعی کردم آنچه را که قبلاً در هر مقاله درباره ویروس باج افزار نوشتم تکمیل کنم. تا اون موقع خداحافظی میکنم خوشحال می شوم نظرات مفیدی را در مورد مقاله و به طور کلی ویروس رمزگذاری CRYPTED000007 دریافت کنم.

ویدیو با رمزگشایی و بازیابی فایل

در اینجا نمونه‌ای از اصلاحات قبلی این ویروس آورده شده است، اما ویدیو کاملاً برای CRYPTED000007 نیز مرتبط است.

.a1crypt- رمزگذار دیگری از خانواده GlobeImposter، درست مانند سلف خود. این ویروس پسوند فایل را به *.a1crypt تغییر می دهد. البته پس از رمزگذاری کامل این فایل ها.

حدود 40 فرمت فایل را رمزگذاری می کند، از جمله پایگاه های داده (شامل پایگاه های داده 1C، mySQL)، اسناد، فایل های متنی، صفحات گسترده، عکس ها و فیلم ها.

در واقع غیرممکن است که خودتان آن را رمزگشایی کنید، در حال حاضر هیچ رمزگشایی وجود ندارد (2017/07/12). در برخی موارد، A1crypt کپی های سایه فایل ها را نیز حذف می کند.

چندین نسخه از این باج افزار بومی سازی شده برای یک "بازار" خاص وجود دارد: روسی، اوکراینی، انگلیسی، اسپانیایی.

A1crypt از طریق هرزنامه های ایمیل و همچنین از طریق هک کردن به یک پیکربندی RDP ناامن پخش می شود.

باج افزار A1crypt را با پاک کننده خودکار حذف کنید

یک روش بسیار موثر برای مقابله با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه امنیتی اثبات شده، ضامن دقیق تشخیص هر گونه اجزای ویروسی، آنهاست حذف کاملبا یک کلیک لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای به کمک آن وجود دارد.

  1. . پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع اسکن). .
  2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف همه تهدیدات یافت شده، گزینه را انتخاب کنید رفع تهدیدها(حذف تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار no_more_ransom فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند تا داده‌های رمزگذاری‌شده را نتوان با موجی از عصای جادویی بازیابی کرد - اگر پرداخت یک باج ناشناخته را در نظر نگیرید. اما برخی از روش‌ها واقعاً می‌توانند به نجاتی تبدیل شوند که به شما در بازیابی اطلاعات مهم کمک می‌کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکارفایل ها (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت تخریب می کند فایل های منبعبه صورت رمزگذاری نشده بنابراین فرآیند رمزگذاری اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصتی را برای چنین چیزی فراهم می کند ابزارهای نرم افزارینحوه بازیابی اشیاء حذف شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. اکیداً توصیه می شود به روش بازیابی پرونده متوسل شوید ، اثربخشی آن بدون شک است.

حجم کپی سایه

این رویکرد مبتنی بر رویه ویندوز است کپی رزرو کنیدفایل هایی که در هر نقطه بازیابی تکرار می شود. یک شرط کاری مهم این روش: بازیابی سیستم باید قبل از عفونت فعال شود. با این حال، هر تغییری که پس از نقطه بازیابی در فایل ایجاد شود، در نسخه بازیابی شده فایل منعکس نخواهد شد.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون خرید است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده، فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان شروع کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

اجزای احتمالی باقیمانده باج افزار A1crypt را بررسی کنید

تمیز کردن در حالت دستیمملو از قطعات گمشده باج افزار است که می تواند از حذف در قالب اشیاء مخفی جلوگیری کند. سیستم عاملیا ورودی های رجیستری برای از بین بردن خطر حفظ جزئی عناصر مخرب فردی، رایانه خود را با استفاده از یک امنیت مطمئن اسکن کنید بسته نرم افزاریمتخصص در بدافزار