FIGYELEM! Vállalat ESET figyelmeztet, hogy az utóbbi időben fokozott aktivitást és fertőzésveszélyt jegyeztek fel vállalati hálózat rosszindulatú program, amelynek következményei:

1) Titkosítás bizalmas információés fájlok, beleértve az adatbázist 1C, dokumentumok, képek. A titkosított fájlok típusa a kódoló konkrét módosításától függ. A titkosítási folyamat összetett algoritmusok szerint történik, és minden esetben egy bizonyos minta szerint történik a titkosítás. Így a titkosított adatokat nehéz visszaállítani.

2) Bizonyos esetekben rosszindulatú műveletek végrehajtása után a titkosítót automatikusan eltávolítják a számítógépről, ami megnehezíti a visszafejtő kiválasztását.

A rosszindulatú műveletek végrehajtása után egy ablak jelenik meg a fertőzött számítógép képernyőjén a következő információval: " A fájlok titkosítva vannak”, valamint a ransomware követelményeket, amelyeket teljesíteni kell a visszafejtő beszerzéséhez.

2) Használjon vírusirtó megoldásokat beépített tűzfalmodullal ( ESET NOD32 intelligens biztonság ), hogy csökkentse annak valószínűségét, hogy egy támadó kihasználja a biztonsági rést RDP akkor is, ha nincsenek szükséges frissítések operációs rendszer. Javasoljuk, hogy engedélyezze a fejlett heurisztikát a futtatható fájlok futtatásához (További beállítások(F5) - Számítógép - Vírus- és kémprogram-védelem programok- Védelem valós időben – Speciális beállítások. Kívül, ellenőrizze, hogy az ESET Live Grid szolgáltatás engedélyezve van-e(Speciális beállítások (F5) - Segédprogramok - ESET Live Grid).

3) Be levelezőszerver meg kell tiltani a végrehajtható fájlok fogadását és továbbítását *.alkalmazás, és *.js, mivel a támadók gyakran egy olyan e-mail mellékleteként küldik a kódolókat, amelyek fiktív információkat tartalmaznak az adósságbehajtásról, az arról szóló információkról és más hasonló tartalmakról, amelyek arra ösztönözhetik a felhasználót, hogy nyissa meg. rosszindulatú csatolás egy támadó leveléből, és ezzel elindítja a kódolót.

4) Tiltsa le a makrók végrehajtását az összes alkalmazásban, amely tartalmazza a Microsoft iroda vagy hasonló harmadik féltől származó szoftver. A makrók tartalmazhatnak parancsot a betöltésre és a végrehajtásra rosszindulatú kód, amely akkor indul el, amikor normálisan megtekint egy dokumentumot (például megnyit egy "" nevű dokumentumot Értesítés a követelés behajtásáról.doksi» behatolóktól származó levélből a rendszer megfertőzéséhez vezethet még akkor is, ha a szerver nem engedte át a kódoló futtatható fájlját tartalmazó rosszindulatú mellékletet, feltéve, hogy nem tiltotta le a makró végrehajtását a beállításokban irodai programok).

5) Gyakorolj rendszeresen biztonsági mentés (biztonsági mentés) fontos információ számítógépén tárolva. OS-től kezdve Windows Vista operációs rendszerekbe ablakok tartalmaz egy rendszervédelmi szolgáltatást minden meghajtón, amely biztonsági mentést készít a fájlokról és mappákról a biztonsági mentés vagy a rendszer-visszaállítási pont létrehozása során. Alapértelmezés szerint ez a szolgáltatás csak a következőnél engedélyezett rendszerpartíció. Javasoljuk, hogy ezt a funkciót minden partícióra engedélyezze.

Mi a teendő, ha a fertőzés már megtörtént?

Ha behatolók áldozatává válik, és a fájljai titkosítva vannak, ne rohanjon pénzt utalni a számlájukra, hogy válasszon visszafejtőt. Feltéve, hogy Ön az ügyfelünk, forduljon a műszaki ügyfélszolgálathoz, előfordulhat, hogy tudunk dekódert kiválasztani az Ön esetéhez, vagy ilyen dekóder már elérhető. Ehhez hozzá kell adnia az archívumhoz a kódoló mintáját és egyéb gyanús fájlokat, ha vannak ilyenek, és el kell küldenie nekünk ezt az archívumot a következő használatával. Adjon meg néhány mintát a titkosított fájlokról is az archívumban. A megjegyzésekben tüntesse fel, hogy milyen körülmények között történt a fertőzés, valamint a jogosítvány adatait ill kapcsolattartó e-mail Mert Visszacsatolás.

Megpróbálhatja visszaállítani a fájlok eredeti, titkosítatlan verzióját árnyékmásolatokból, feltéve, hogy ez történik adott funkciót engedélyezve volt, és ha az árnyékmásolatokat nem károsította a ransomware vírus. Bővebben róla:

További információkért tekintse meg a következőt: .

„Elnézést a zavarásért, de… a fájljai titkosítottak. A visszafejtő kulcs megszerzéséhez sürgősen utaljon át egy bizonyos összeget a pénztárcájába... Ellenkező esetben az adatok örökre megsemmisülnek. 3 órád van, az idő lejárt. És ez nem vicc. A ransomware vírus több mint valós fenyegetés.

Ma arról fogunk beszélni, hogy miben terjed utóbbi évek ransomware, mit tegyünk fertőzés esetén, hogyan gyógyítsuk meg a számítógépet és lehetséges-e egyáltalán, és hogyan védekezzünk ellenük.

Mindent titkosítunk!

Encryptor vírus (kódoló, titkosító) - egy speciális fajta rosszindulatú- ransomware, amelynek tevékenysége a felhasználó fájljainak titkosítása, majd a visszafejtő eszköz megvásárlásának követelése. A váltságdíj összege 200 dollártól kezdődik, és eléri a több tíz- és százezer zöldhasút.

Néhány évvel ezelőtt csak a Windows-alapú számítógépeket támadták meg az ilyen típusú rosszindulatú programok. Mára a választékuk a látszólag jól védett Linuxra, Macre és Androidra bővült. Emellett a kódolók fajdiverzitása is folyamatosan növekszik - sorra jelennek meg az új tételek, amelyekkel meglepheti a világot. Így egy klasszikus titkosítási trójai és egy hálózati féreg „kereszteződése” miatt merült fel (egy rosszindulatú program, amely a felhasználók aktív részvétele nélkül terjed a hálózatokon).

A WannaCry után nem kevésbé kifinomult Petya és Bad Rabbit jelent meg. És mivel a "titkosítási üzlet" jó bevételt hoz a tulajdonosoknak, biztos lehet benne, hogy nem ők az utolsók.

Egyre több kriptográfus, különösen azok, akik az elmúlt 3-5 évben láttak napvilágot, használ olyan erős kriptográfiai algoritmusokat, amelyeket sem nyers erővel, sem más létező eszközökkel nem lehet feltörni. Az adatok helyreállításának egyetlen módja az eredeti kulcs használata, amelyet a támadók megvásárolnak. Azonban még a szükséges összeg átutalása sem garantálja a kulcs átvételét. A bûnözõk nem sietnek felfedni titkaikat, és elvesztik a lehetséges nyereséget. És mi értelme betartani az ígéreteket, ha már megvan a pénz?

A kódoló vírusok terjesztésének módjai

A magánfelhasználók és szervezetek számítógépére a rosszindulatú programok fő útvonala e-mailben, vagy inkább az e-mailekhez csatolt fájlokon és hivatkozásokon keresztül juthat be.

Példa egy ilyen levélre, amelyet "vállalati ügyfeleknek" szánnak:

• – Azonnal fizesse ki a kölcsönét.
• – A keresetet benyújtották a bíróságnak.
• "Fizetd be a bírságot/díjat/adót."
• "Közüzemi díjak felára".
• – Ó, te vagy a képen?
• „Lena megkért, hogy sürgősen utaljam át neked” stb.

Elfogadom, csak egy hozzáértő felhasználó kezeli óvatosan az ilyen leveleket. A legtöbben nem haboznak megnyitni a mellékletet, és maguk futtatni a kártevőt. Egyébként a vírusirtó kiáltásai ellenére.

A zsarolóvírusok terjesztéséhez a következőket is aktívan használják:

• Közösségi hálózatok (ismerősök és ismeretlenek fiókjaiból történő levelezés).
• Rosszindulatú és fertőzött webes források.
• Banner reklám.
• Küldés üzenetküldőn keresztül feltört fiókokból.
• Warez oldalak és kulcsgensek és repedések forgalmazói.
• Oldalak felnőtteknek.
• Alkalmazás- és tartalomboltok.

A titkosító vírusokat gyakran más rosszindulatú programok, például reklámprogramok és hátsó ajtós trójai programok is hordozzák. Utóbbiak a rendszer és a szoftver sérülékenységeit felhasználva segítik a bűnözőket a bejutáshoz távoli hozzáférés a fertőzött eszközre. A ransomware futtatása ilyen esetekben nem mindig esik egybe a potenciálisan veszélyes felhasználói műveletekkel. Amíg a hátsó ajtó a rendszerben marad, a támadó bármikor behatolhat az eszközbe, és elkezdheti a titkosítást.

A szervezetek számítógépeinek megfertőzésére (mert azokat jobban ki lehet szorítani, mint az otthoni felhasználókat) különösen kifinomult módszereket fejlesztenek ki. Például a Petya trójai a MEDoc adószámviteli szoftver frissítési modulján keresztül hatolt be az eszközökbe.

A hálózati férgek funkcióival rendelkező titkosítók, mint már említettük, a protokoll-sérülékenységek révén terjednek el a hálózatokon, beleértve az internetet is. És megfertőződhet velük anélkül, hogy bármit is tenne. A ritkán frissített Windows operációs rendszerek felhasználói vannak a legnagyobb veszélyben, mivel a frissítések bezárják az ismert kiskapukat.

Egyes kártevők, mint például a WannaCry, 0 napos (nulladik napos) sebezhetőségeket használnak ki, vagyis azokat, amelyekről a rendszerfejlesztők még nem tudnak. Sajnos így lehetetlen teljesen ellenállni a fertőzésnek, de annak a valószínűsége, hogy az áldozatok közé kerül, még az 1%-ot sem éri el. Miért? Igen, mert a rosszindulatú programok nem képesek egyszerre megfertőzni az összes sérülékeny gépet. És miközben új áldozatokat tervez, a rendszerfejlesztőknek van idejük kiadni egy mentési frissítést.

Hogyan viselkedik a ransomware egy fertőzött számítógépen

A titkosítási folyamat általában észrevétlenül kezdődik, és amikor a jelei nyilvánvalóvá válnak, már késő menteni az adatokat: addigra a kártevő mindent titkosított, amit elért. Néha a felhasználó észreveheti, hogy a megnyitott mappákban lévő fájlok kiterjesztése hogyan változott.

Egy új, és néha egy második kiterjesztés indokolatlan megjelenése a fájlokban, amely után a megnyitás leáll, száz százalékban jelzi a ransomware támadás következményeit. Mellesleg, a sérült objektumok által fogadott kiterjesztéssel általában lehetséges a rosszindulatú programok azonosítása.

Példa arra, hogy mik lehetnek a titkosított fájlok kiterjesztései: . xtbl, .kraken, .cesar, .da_vinci_code, [e-mail védett] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn stb.

Rengeteg lehetőség van, holnaptól újak is megjelennek, így nincs értelme mindent felsorolni. A fertőzés típusának meghatározásához elegendő több bővítményt táplálni a keresőmotorba.

Egyéb tünetek, amelyek közvetve jelzik a titkosítás kezdetét:

• Az ablakok megjelenése a képernyőn a másodperc töredékéig parancs sor. Leggyakrabban ez normális jelenség rendszer- és programfrissítések telepítésekor, de jobb, ha nem hagyja felügyelet nélkül.
• Az UAC felkér néhány olyan program elindítására, amelyet nem szándékozott megnyitni.
• A számítógép hirtelen újraindítása, majd a rendszerlemez-ellenőrző segédprogram működésének utánzása (más változatok is lehetségesek). Az "ellenőrzés" során a titkosítási folyamat megtörténik.

A rosszindulatú művelet sikeres befejezése után egy üzenet jelenik meg a képernyőn váltságdíj követeléssel és különféle fenyegetésekkel.

A ransomware titkosítja a felhasználói fájlok jelentős részét: fényképeket, zenéket, videókat, szöveges dokumentumokat, archívumokat, leveleket, adatbázisokat, programkiterjesztésű fájlokat stb. De nem érintik az operációs rendszer objektumokat, mert a támadóknak nincs szükségük a fertőzött számítógép leállítására munka. Egyes vírusok lecserélik a lemezek és partíciók rendszerindító rekordjait.

A titkosítás után általában minden árnyékmásolatot és visszaállítási pontot eltávolítanak a rendszerből.

Hogyan lehet megvédeni a számítógépet a zsarolóprogramoktól

A rosszindulatú programok eltávolítása a fertőzött rendszerről egyszerű – szinte minden vírusirtó könnyedén megbirkózik a legtöbbjükkel. De! Naivitás azt hinni, hogy a tettestől való megszabadulás megoldja a problémát: eltávolítja a vírust vagy sem, és a fájlok továbbra is titkosítva maradnak. Ezenkívül bizonyos esetekben ez megnehezíti a későbbi visszafejtést, ha lehetséges.

A műveletek helyes sorrendje a titkosítás indításakor

• Amint a titkosítás jeleit észleli, azonnal kapcsolja ki a számítógépet a gomb lenyomásával és nyomva tartásávalKapcsolja be 3-4 másodpercig. Ezzel a fájlok legalább egy részét elmentheti.
• Hozzon létre egy másik számítógépen indítólemez vagy egy pendrive-ot vírusirtó programmal. Például, Kaspersky Rescue Disk 18, DrWeb LiveDisk, ESET NOD32 LiveCD stb.
• Indítsa el a fertőzött gépet erről a lemezről, és ellenőrizze a rendszert. Távolítsa el a talált vírusokat, és mentse karanténba (ha a visszafejtéshez szükségesek). Csak ezután innen indíthatja számítógépét merevlemez .
• Próbálja meg visszaállítani a titkosított fájlokat árnyékmásolatokból rendszereszközök vagy harmadik féltől származó eszközök segítségével.

Mi a teendő, ha a fájlok már titkosítva vannak

• Ne veszítse el a reményt. A víruskereső termékfejlesztők webhelyei ingyenes visszafejtő segédprogramokat tartalmaznak a különböző típusok rosszindulatú. Különösen a közműveket AvastÉs Kaspersky Labs.
• A kódoló típusának meghatározása után töltse le a megfelelő segédprogramot, mindenképpen tedd másolatokat sérült fájlok és próbálja megfejteni őket. Ha sikeres, dekódolja a többit.

Ha a fájlok nincsenek visszafejtve

Ha egyik segédprogram sem segített, akkor valószínűleg olyan vírusban szenvedett, amelyre még nincs gyógymód.

Mit lehet tenni ebben az esetben:

• Ha fizetős víruskereső terméket használ, vegye fel a kapcsolatot az ügyfélszolgálattal. Küldjön több példányt a sérült fájlokról a laborba, és várja meg a választ. Jelenlétében műszaki megvalósíthatóság segíteni fog neked.

Apropó, Dr. Web- azon kevés laboratóriumok egyike, amely nemcsak felhasználóit, hanem minden érintettet segít. Ezen az oldalon kérelmet küldhet egy fájl visszafejtésére.

• Ha kiderül, hogy a fájlok reménytelenül megsérültek, de nagy értéket képviselnek az Ön számára, akkor csak reménykedhet és várhat, hogy egyszer megtalálják a mentő megoldást. A legjobb, amit tehet, ha a rendszert és a fájlokat úgy hagyja, ahogy vannak, azaz teljesen leállítja, és nem használja a merevlemezt. A rosszindulatú programok eltávolítása, az operációs rendszer újratelepítése és akár a frissítése is megfoszthatja Önt attól és ezt a lehetőséget, mivel a titkosítási-dekódolási kulcsok generálásakor gyakran egyedi rendszerazonosítókat és a vírus másolatait használják fel.

A váltságdíj kifizetése nem lehetséges, mivel annak valószínűsége, hogy megkapja a kulcsot, közel nulla. És nem kell finanszírozni egy bűnözői vállalkozást.

Hogyan védekezhet az ilyen típusú rosszindulatú programok ellen

Nem szeretném megismételni azt a tanácsot, amelyet az olvasók mindegyike több százszor hallott. Igen, telepítse jó vírusirtó, ne kattintson a gyanús linkekre és blablabla - ez fontos. Azonban, ahogy az élet megmutatta, ma nincs olyan varázstabletta, amely 100%-os biztonságot adna.

Az ilyen típusú zsarolóvírusok elleni védekezés egyetlen hatékony módja az adatmentés más fizikai adathordozókra, beleértve felhő szolgáltatások. Biztonsági mentés, biztonsági mentés, biztonsági mentés...

Előfordult már, hogy e-mailben, Skype-on vagy ICQ-n kapott üzenetet egy ismeretlen feladótól, amely a barátja fényképére mutató linket tartalmaz, vagy gratulálok a közelgő ünnephez? Úgy tűnik, nem számít semmilyen beállításra, és a hivatkozásra kattintva hirtelen súlyos kártékony szoftverek töltődnek be a számítógépére. Nincs ideje észhez térni, mivel a vírus már titkosította az összes fájlt. Mit kell tenni ilyen helyzetben? Lehetséges a dokumentumok visszaszerzése?

A rosszindulatú programok kezelésének megértéséhez tudnia kell, mi az, és hogyan hatol be az operációs rendszerbe. Ráadásul nem mindegy, hogy mit Windows verzióÖn által használt - A Critroni-vírus célja bármely operációs rendszer megfertőzése.

Titkosító számítógépes vírus: meghatározás és cselekvési algoritmus

Új számítógépes vírusszoftver jelent meg az interneten, amelyet sokan CTB (Curve Tor Bitcoin) vagy Critroni néven ismernek. Ez egy fejlett ransomware trójai, amely elvileg hasonló a korábban ismert CriptoLocker malware-hez. Ha a vírus minden fájlt titkosított, mi a teendő ebben az esetben? Először is meg kell értenie a munka algoritmusát. A vírus lényege, hogy minden .ctbl, .ctb2, .vault, .xtbl vagy más kiterjesztésű fájlt titkosít. A kért pénzösszeg befizetéséig azonban nem tudja kinyitni őket.

A Trojan-Ransom.Win32.Shade és a Trojan-Ransom.Win32.Onion vírusok gyakoriak. Helyi tevékenységükben nagyon hasonlítanak az STV-kre. Ezeket a titkosított fájlok kiterjesztése alapján lehet megkülönböztetni. A Trojan-Ransom az információkat .xtbl formátumban kódolja. Bármely fájl megnyitásakor egy üzenet jelenik meg a képernyőn arról, hogy személyes dokumentumait, adatbázisait, fényképeit és egyéb fájljait rosszindulatú program titkosította. Ezek visszafejtéséhez térítés ellenében egyedi kulcsot kell beszerezni, amelyet egy titkos szerveren tárolnak, és csak ebben az esetben végezhet visszafejtési és kriptográfiai műveleteket a dokumentumokkal. De ne aggódjon, és még inkább küldjön pénzt a megadott számra, van egy másik módja az ilyen típusú kiberbűnözés kezelésére. Ha éppen egy ilyen vírus került a számítógépére, és titkosította az összes .xtbl fájlt, mit kell tennie ilyen helyzetben?

Mit ne tegyen, ha kriptográfiai vírus bejut a számítógépébe

Előfordul, hogy pánikszerűen telepítünk egy vírusirtót és segítségével az automatikus ill kézi üzemmód eltávolítjuk a vírusszoftvert, ezzel együtt elveszítjük a fontos dokumentumokat. Ez kellemetlen, ráadásul a számítógép olyan adatokat tárolhat, amelyeken hónapok óta dolgozol. Kár elveszíteni az ilyen dokumentumokat a visszaszerzés lehetősége nélkül.

Ha a vírus az összes .xtbl fájlt titkosította, néhányan megpróbálják megváltoztatni a kiterjesztését, de ez sem vezet pozitív eredményeket. A merevlemez újratelepítése és formázása véglegesen eltávolítja a rosszindulatú programokat, ugyanakkor elveszíti a dokumentumok helyreállításának lehetőségét. Ebben a helyzetben a speciálisan létrehozott dekódoló programok sem segítenek, mert a szoftveres ransomware nem szabványos algoritmus szerint van programozva, és speciális megközelítést igényel.

Mennyire veszélyes a ransomware vírus a személyi számítógépekre

Teljesen egyértelmű, hogy egyetlen rosszindulatú program sem lesz előnyös személyi számítógépének. Mire való ez a szoftver? Furcsa módon az ilyen programokat nem csak azért hozták létre, hogy a lehető legtöbb pénzt kicsikarják a felhasználóktól. Valójában a vírusmarketing sok víruskereső feltaláló számára meglehetősen jövedelmező. Végül is, ha egy vírus az összes fájlt titkosította a számítógépén, hová menjen először? Természetesen szakemberek segítségével. Mi a titkosítás a laptophoz ill személyi számítógép?

Munkájuk algoritmusa nem szabványos, tehát a szokásos víruskereső szoftver a fertőzött fájlok fertőtlenítése lehetetlen lesz. A rosszindulatú objektumok eltávolítása adatvesztést eredményez. Csak a karanténba helyezés teszi lehetővé más fájlok biztonságossá tételét, amelyeket a rosszindulatú vírus még nem tudott titkosítani.

A titkosítási rosszindulatú programok lejárati dátuma

Mi a teendő, ha számítógépét Critroni (rosszindulatú program) fertőzte meg, és a vírus az összes fájlt titkosítja? A .vault-, .xtbl-, .rar-formátumokat saját maga nem tudja visszafejteni, ha manuálisan módosítja a kiterjesztést .doc, .mp3, .txt és másokra. Ha 96 órán belül nem fizeti ki a szükséges összeget a kiberbűnözőknek, akkor levélben megfélemlítjük, hogy minden fájlja véglegesen törlődik. A legtöbb esetben az embereket éri az ilyen fenyegetés, és vonakodva, de engedelmesen hajtják végre ezeket a cselekedeteket, félve, hogy értékes információkat veszítenek el. Kár, hogy a felhasználók nem értik, hogy a kiberbűnözők nem mindig tartják be a szavukat. Miután megkapták a pénzt, gyakran nem aggódnak a zárolt fájlok visszafejtése miatt.

Amikor az időzítő lejár, automatikusan bezár. De még mindig van esélye a fontos dokumentumok visszaszerzésére. A képernyőn megjelenik egy üzenet, amely jelzi, hogy az idő lejárt, és a dokumentumok mappájában lévő fájlokról részletesebb információkat tekinthet meg egy speciálisan létrehozott DecryptAllFiles.txt jegyzettömb fájlban.

A kriptográfiai kártevők behatolási módjai az operációs rendszerbe

A zsarolóvírusok általában fertőzött e-mail üzeneteken vagy hamis letöltéseken keresztül jutnak be a számítógépbe. Ezek lehetnek hamis flash-frissítések vagy szélhámos videolejátszók. Amint a program letöltődik a számítógépre a fenti módok bármelyikén, azonnal titkosítja az adatokat, anélkül, hogy visszanyerné azokat. Ha a vírus az összes .cbf, .ctbl, .ctb2 fájlt más formátumba titkosította, és nincs biztonsági másolata a dokumentumról cserélhető adathordozón, akkor gondolja át, hogy többé nem tudja visszaállítani azokat. Tovább Ebben a pillanatban A víruskereső laborok nem tudják, hogyan kell feltörni az ilyen titkosító vírusokat. A szükséges kulcs nélkül csak a fertőzött fájlok blokkolása, karanténba helyezése vagy törlése lehetséges.

Hogyan kerüljük el a számítógépes vírusfertőzést

Baljós az összes .xtbl fájl. Mit kell tenni? Sok felesleges információt elolvasott már, amelyek a legtöbb webhelyen vannak írva, és nem találja meg a választ. Megesik, hogy a legalkalmatlanabb pillanatban, amikor sürgősen jelentést kell benyújtania a munkahelyén, diplomamunkát kell benyújtania az egyetemen vagy meg kell védenie a professzori diplomát, a számítógép elkezdi élni a saját életét: tönkremegy, vírusokkal fertőződik meg, lefagy. Fel kell készülnie az ilyen helyzetekre, és meg kell őriznie az információkat a szerveren és a cserélhető adathordozón. Ezzel bármikor újratelepítheti az operációs rendszert, és 20 perc után úgy dolgozhat a számítógépén, mintha mi sem történt volna. De sajnos nem vagyunk mindig ilyen vállalkozó kedvűek.

A számítógép vírussal való megfertőzésének elkerülése érdekében először telepítenie kell egy jó víruskereső programot. Biztosan helyesen konfiguráltad Windows tűzfal, amely megvédi a különféle rosszindulatú objektumok hálózaton keresztüli bejutását. És ami a legfontosabb: ne töltsön le szoftvereket ellenőrizetlen webhelyekről, torrentkövetőkről. A számítógép vírusos programokkal való megfertőzésének elkerülése érdekében ügyeljen arra, hogy milyen hivatkozásokra kattint. Ha érthetetlen címzetttől kapunk egy e-mailt, amelyben arra kérnek vagy ajánlanak fel, hogy lássák, mi rejtőzik a link mögött, célszerű az üzenetet áthelyezni a spam közé, vagy teljesen törölni.

A víruskereső szoftver laboratóriumai azt tanácsolják, hogy egy vírus egyszerre ne titkosítsa az összes .xtbl fájlt szabad utat védelem a titkosító vírusokkal való fertőzés ellen: hetente egyszer végezze el és ellenőrizze állapotukat.

A vírus a számítógépen lévő összes fájlt titkosította: kezelési módszerek

Ha kiberbűnözés áldozata lett, és a számítógépén lévő adatokat megfertőzték valamelyik titkosítási típusú rosszindulatú program, akkor itt az ideje, hogy megpróbálja helyreállítani a fájlokat.

Számos módja van a fertőzött dokumentumok ingyenes fertőtlenítésére:

1. A leggyakoribb, és jelenleg talán a leghatékonyabb módszer a dokumentumok biztonsági mentése, majd visszaállítása váratlan fertőzés esetén.
2. Érdekes módon működik a CTB vírus szoftveres algoritmusa. A számítógépbe kerülve fájlokat másol, titkosít, és az eredeti dokumentumokat törli, így kiküszöböli azok helyreállításának lehetőségét. A Photorec vagy az R-Studio szoftver segítségével azonban sikerül néhány érintetlen eredeti fájlt elmenteni. Tudnia kell, hogy minél tovább használja a számítógépet a fertőzés után, annál kisebb a valószínűsége, hogy helyreállítja az összes szükséges dokumentumot.
3. Ha a vírus az összes .vault fájlt titkosította, van egy másik jó módszer is a visszafejtésre – árnyékmásolat-kötetek használatával. Természetesen a vírus megpróbálja végleg és véglegesen törölni az összeset, de az is előfordul, hogy néhány fájl érintetlen marad. Ebben az esetben, bár kicsi, de esélye lesz a gyógyulásukra.
4. Lehetőség van adatok tárolására olyan fájlmegosztó szolgáltatásokban, mint a DropBox. Helyi meghajtóleképezésként telepíthető számítógépre. Természetesen a titkosító vírus őt is megfertőzi. De ebben az esetben sokkal reálisabb a dokumentumok és a fontos fájlok helyreállítása.

A személyi számítógép vírusfertőzésének programozott megelőzése

Ha attól tart, hogy rosszindulatú programok kerülnek a számítógépére, és nem akarja, hogy az alattomos vírus az összes fájlt titkosítsa, használja a szerkesztőt helyi politika vagy Windows csoportok. Ennek az integrált szoftvernek köszönhetően programkorlátozási házirendet állíthat be – és akkor nem kell attól tartania, hogy megfertőzi számítógépét.

Hogyan lehet visszaállítani a fertőzött fájlokat

Ha a CTB vírus az összes fájlt titkosította, mit kell tenni ebben az esetben a szükséges dokumentumok helyreállítása érdekében? Sajnos jelenleg egyetlen vírusirtó laboratórium sem tudja felajánlani a fájlok visszafejtését, de a fertőzés semlegesítését, teljes eltávolítása személyi számítógépről is lehetséges. A fentiek mind hatékony módszerek az információ visszaszerzésére. Ha a fájljai túl értékesek Önnek, és nem vette a fáradságot, hogy biztonsági másolatot készítsen róluk cserélhető adathordozóra vagy internetes meghajtóra, akkor ki kell fizetnie a kiberbűnözők által kért összeget. De nincs esély arra, hogy fizetés után is küldjenek visszafejtő kulcsot.

Hogyan lehet megtalálni a fertőzött fájlokat

A fertőzött fájlok listájának megtekintéséhez lépjen a következő elérési útra: "My Documents"\.html vagy "C:"\"Felhasználók"\"Minden felhasználó"\.html. Ez a html lap nemcsak véletlenszerű utasításokról, hanem fertőzött objektumokról is tartalmaz adatokat.

Hogyan lehet blokkolni a titkosító vírust

Ha egy számítógépet megfertőzött egy rosszindulatú program, a felhasználó első lépése az, hogy bekapcsolja a számítógépet a hálózaton keresztül. Ezt a billentyűzet F10 billentyűjének megnyomásával teheti meg.

Ha a Critroni vírus véletlenül a számítógépére került, és az összes fájlt .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf vagy bármilyen más formátumban titkosította, akkor már nehéz visszaállítani őket. De ha a vírus még nem tudott sok változtatást végrehajtani, akkor fennáll annak az esélye, hogy szoftverkorlátozási szabályzattal blokkolják.

A Trojan.Encoder család első titkosító trójai programjai 2006-2007 között jelentek meg. 2009 januárja óta mintegy 1900%-kal nőtt a fajtáik száma! Jelenleg a Trojan.Encoder az egyik legveszélyesebb fenyegetés a felhasználók számára, több ezer módosítással. 2013 áprilisa és 2015 márciusa között a Doctor Web víruslaboratóriuma 8553 kérést kapott a kódoló trójaiak által érintett fájlok visszafejtésére.
A titkosító vírusok majdnem elnyerték az első helyet a fórumokhoz intézett kérések között információ biztonság. Naponta átlagosan 40 visszafejtési kérelem érkezik csak a Doctor Web víruslaboratóriumának munkatársaihoz fertőzött felhasználóktól. különféle típusok ransomware trójaiak ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digitális széf, Digital Case lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault stb.). Az ilyen fertőzések fő jelei a felhasználói fájlok, például zenefájlok, képfájlok, dokumentumok stb. kiterjesztésének megváltoztatása, amikor megpróbálják megnyitni őket, megjelenik egy üzenet a támadóktól, amely fizetést követel a visszafejtő beszerzéséért. Lehetőség van az asztal háttérképének megváltoztatására, a szöveges dokumentumok és ablakok megjelenésére a megfelelő üzenetekkel a titkosításról, a licencszerződések megsértéséről stb. A titkosító trójaiak különösen veszélyesek a kereskedelmi cégekre, mivel az adatbázisokból és a fizetési dokumentumokból elveszett adatok határozatlan időre blokkolhatják a cég munkáját, ami nyereségkieséshez vezethet.

A Trojan.Encoder család trójai programjai több tucat különböző titkosítási algoritmust használnak a felhasználói fájlokhoz. Például a Trojan.Encoder.741 által titkosított fájlok egyszerű felsorolási módszerrel történő visszafejtéséhez szükséges kulcsok megtalálásához a következőkre lesz szüksége:
107902838054224993544152335601

A trójai által sérült fájlok visszafejtése az esetek legfeljebb 10%-ában lehetséges. Ez azt jelenti, hogy a legtöbb felhasználói adat örökre elveszik.

Manapság a zsarolóprogramok akár a fájlok visszafejtését is megkövetelik 1500 bitcoin.

Még ha ki is fizeted a váltságdíjat a támadónak, nem ad garanciát az információ visszaszerzésére.

Furcsaságokról van szó - olyan esetet rögzítettek, amikor a kifizetett váltságdíj ellenére a bűnözők nem tudták visszafejteni az általuk létrehozott trójai.Encoder által titkosított fájlokat, és az érintett felhasználót segítségért küldték ... a szolgáltatáshoz technikai támogatás vírusirtó cég!

Hogyan történik a fertőzés?

• Befektetés révén email; social engineering segítségével a támadók arra kényszerítik a felhasználót, hogy nyissa meg a csatolt fájlt.
• PDF-mellékletnek álcázott Zbot fertőzésekkel.
• A feltört webhelyeken található kizsákmányoló készleteken keresztül, amelyek a számítógép sérülékenységét használják fel fertőzés telepítésére.
• Trójaiakon keresztül, amelyek felajánlják az online videók megtekintéséhez szükséges lejátszó letöltését. Ez általában pornóoldalakon található.
• RDP-n keresztül, jelszókitalálás és sérülékenységek használatával ebben a protokollban.
• Fertőzött keygenek, repedések és aktiváló segédprogramok segítségével.

Az esetek több mint 90%-ában a felhasználók saját kezükkel indítanak (aktiválják) a zsarolóprogramokat a számítógépükön.

Az RDP jelszó kitalálása esetén a támadó ő jön be alatt feltörték fiókot, kikapcsolja vagy kirak egy vírusirtó terméket és elindítja magát Titkosítás.

Amíg nem kell félni az „Adósság”, „Büntetőeljárás” stb. feliratú levelektől, a támadók használni fogják a naivitását.

Gondolkozz... Tanulj magadnak, és taníts másokat is a biztonság alapjaira!

• Soha ne nyissa meg az ismeretlen címzettektől kapott e-mailek mellékleteit, bármilyen félelmetes is a cím. Ha a melléklet archívumként érkezett, vegye a fáradságot és egyszerűen megtekintse az archívum tartalmát. És ha van futtatható fájl (.exe, .com, .bat, .cmd, .scr kiterjesztés), akkor ez 99.(9)%-ban csapda az Ön számára.
• Ha még mindig félsz valamitől, ne légy túl lusta, hogy megtudd az igazat email cím az a szervezet, amelynek nevében a levelet elküldték Önnek. Információs korunkban nem is olyan nehéz ezt kideríteni.
• Még ha a feladó címe igaznak bizonyult is, ne legyen túl lusta telefonon tisztázni egy ilyen küldött levél létezését. A feladó címe könnyen hamisítható névtelen smtp szerverekkel.
• Ha a feladó azt mondja, hogy Sberbank vagy Russian Post, akkor ez nem jelent semmit. A normál betűket ideális esetben digitális aláírással kell aláírni. Gondosan ellenőrizze az ilyen levelekhez csatolt fájlokat megnyitás előtt.
• Rendszeresen készítsen biztonsági másolatot információiról külön adathordozóra.
• Felejtsd el a használatát egyszerű jelszavak amelyeket könnyű felvenni és bejutni helyi hálózat az Ön adatai alá tartozó szervezetek. Az RDP-hozzáféréshez használjon tanúsítványokat, VPN-hozzáférést vagy kéttényezős hitelesítést.
• Soha ne dolgozzon rendszergazdai jogokkal, legyen figyelmes az üzenetekre UAC, még ha van is "Kék szín" aláírt pályázat, ne kattintson "Igen", ha nem futtatott telepítéseket vagy frissítéseket.
• Rendszeresen telepítse a biztonsági frissítéseket nemcsak az operációs rendszerhez, hanem az alkalmazásprogramokhoz is.
• Telepítés jelszó a víruskereső beállításokhoz, amely eltér a fiók jelszavától, engedélyezze az önvédelmi opciót

Mi a teendő fertőzés esetén?

Idézzük a Dr.Web és a Kaspersky Lab ajánlásait:

• azonnal kapcsolja ki a számítógépet, hogy leállítsa a trójai tevékenységét, a számítógépen lévő Reset / Power on gombbal az adatok jelentős része menthető;
• Hozzászólás webhelye: Annak ellenére, hogy egy ilyen ajánlást jól ismert laboratóriumok adnak, bizonyos esetekben végrehajtása bonyolultabb dekódoláshoz vezet, mivel a kulcs tárolható véletlen hozzáférésű memóriaés a rendszer újraindítása után lehetetlen lesz visszaállítani. A további titkosítás leállításához leállíthatja a zsarolóprogram-folyamat végrehajtását a Process Explorer segítségével, vagy további javaslatokért.

Spoiler: Lábjegyzet

Egyetlen kódoló sem képes az összes adatot azonnal titkosítani, így a titkosítás végéig annak egy része érintetlen marad. És minél több idő telt el a titkosítás kezdete óta, annál kevesebb érintetlen adat marad. Mivel az a feladatunk, hogy minél többet elmentsünk belőlük, le kell állítanunk a kódolót. Elvileg elkezdheti elemezni a folyamatok listáját, megkeresheti, hol van bennük a trójai, megpróbálhatja leállítani... De hidd el, a kihúzott tápkábel sokkal gyorsabb! A Windows rendszeres leállítása jó alternatíva, de eltarthat egy ideig, vagy a trójai zavarhatja működését. Tehát az én választásom, hogy meghúzom a zsinórt. Ennek a lépésnek kétségtelenül megvannak a maga hátrányai: a fájlrendszer megsértésének lehetősége és a RAM további ürítésének lehetetlensége. sérült fájlrendszer egy felkészületlen ember számára a probléma komolyabb, mint a kódoló. A kódoló után legalább fájlok maradnak, míg a partíciós tábla sérülése lehetetlenné teszi az operációs rendszer indítását. Másrészt egy hozzáértő adat-helyreállítási szakember gond nélkül megjavítja ugyanazt a partíciós táblát, és előfordulhat, hogy a kódolónak egyszerűen nincs ideje sok fájlhoz eljutni.

A bűnelkövetők elleni büntetőeljárás megindításához a bűnüldöző szerveknek eljárási indokra van szükségük - az Ön nyilatkozatára a bűncselekményről. Alkalmazásminta

Készüljön fel arra, hogy számítógépét egy időre kivonják vizsgálat céljából.

Ha megtagadják kérelmének elfogadását, kérjen írásbeli elutasítást, és tegyen feljelentést egy magasabb rendészeti hatóságnál (városa vagy régiója rendőrfőnökénél).

• semmi esetre se próbálja meg újratelepíteni az operációs rendszert;
• ne töröljön semmilyen fájlt és mail üzenetek a számítógépeden;
• ne futtasson semmilyen "tisztítót" az ideiglenes fájlokról és a rendszerleíró adatbázisról;
• ne vizsgálja meg és ne kezelje számítógépét vírusirtókkal és víruskereső segédprogramokkal, és még inkább antivírus LiveCD-kkel; szélsőséges esetekben a fertőzött fájlokat áthelyezheti a víruskereső karanténba;

Spoiler: Lábjegyzet

A visszafejtéshez legmagasabb érték lehet, hogy egy nem feltűnő 40 bájtos fájl van az ideiglenes könyvtárban, vagy egy érthetetlen parancsikon az asztalon. Valószínűleg nem tudja, hogy ezek fontosak lesznek-e a visszafejtéshez vagy sem, ezért jobb, ha nem nyúl semmihez. A rendszerleíró adatbázis tisztítása általában kétes eljárás, és egyes kódolók a visszafejtéshez fontos munka nyomait hagyják hátra. A víruskeresők természetesen meg tudják találni a kódoló trójai törzsét. És akár törölhetik is végleg, de akkor mi marad elemzésre? Hogyan érthetjük meg, hogyan és milyen fájlokkal titkosítottak? Ezért jobb, ha az állatot a lemezen hagyja. Egy másik fontos pont: Nem ismerek olyan rendszertisztítót, ami figyelembe venné a kódoló működés lehetőségét, és a működésének minden nyomát megőrizné. És valószínűleg nem fognak megjelenni ilyen alapok. A rendszer újratelepítése határozottan megsemmisíti a trójai minden nyomát, kivéve a titkosított fájlokat.

• ne próbálja meg visszaállítani a titkosított fájlokat egyedül;

Spoiler: Lábjegyzet

Ha van pár év programírás a hátad mögött, akkor tényleg érted, hogy mi az RC4, AES, RSA és mi a különbség köztük, tudod mi az a Hiew és mit jelent a 0xDEADC0DE, akkor kipróbálhatod. nem ajánlom másoknak. Tegyük fel, hogy találtál valami csodamódszert a fájlok visszafejtésére, és még egy fájlt is sikerült visszafejtened. Ez nem garancia arra, hogy a technika minden fájlon működni fog. Ráadásul ez nem garancia arra, hogy ezzel a módszerrel nem fogja még jobban elrontani a fájlokat. Még a mi munkánkban is vannak kellemetlen pillanatok, amikor komoly hibákat találnak a visszafejtési kódban, de esetek ezreinél eddig a pontig a kód úgy működött, ahogy kell.

Most, hogy világos, mit kell tenni és mit nem, elkezdheti a dekódolást. Elméletileg a visszafejtés szinte mindig lehetséges. Ez az, ha ismeri az összes szükséges adatot, vagy korlátlan mennyiségű pénzzel, idővel és processzormagokkal rendelkezik. A gyakorlatban szinte azonnal meg lehet fejteni valamit. Valami néhány hónapig vagy akár évekig várni fog a sorára. Bizonyos esetekben nem is lehet vállalni: senki sem bérel szuperszámítógépet semmiért 5 évre. Az is rossz, hogy a látszólagos egyszerű eset Közelebbről megvizsgálva kiderül, hogy rendkívül nehéz. Ön dönti el, hogy kihez forduljon.

• vegye fel a kapcsolatot a cég víruskereső laboratóriumával, amelynek van egy víruselemző részlege, amely ezzel a problémával foglalkozik;
• csatolja a jegyhez a trójai által titkosított fájlt (és ha lehetséges, annak titkosítatlan másolatát);
• várja meg a víruselemző válaszát. A kérelmek nagy száma miatt ez eltarthat egy ideig.

Hogyan lehet visszaállítani a fájlokat?

Címek a titkosított fájlok küldéséhez szükséges űrlapokkal:

• Dr.Web (Az ingyenes visszafejtési kérelmeket csak a felhasználók fogadják el komplex vírusirtó Drweb)
• Kaspersky Lab (ingyenes visszafejtésre vonatkozó kéréseket csak a kereskedelmi Kaspersky Lab termékek felhasználói fogadnak el)
• ESET LLC ( Ingyenes visszafejtési kérelmeket csak az ESET kereskedelmi termékeinek felhasználói fogadnak el)
• A No More Ransom Project (kódtörők kiválasztása)
• Kriptográfusok – zsarolók (a visszafejtők kiválasztása)
• ID Ransomware (választott dekódolók)

Mi abszolút nem ajánlottállítsa vissza a fájlokat saját maga, mert nem megfelelő műveletekkel elveszítheti az összes információt anélkül, hogy bármit is visszaállítana !!! Ezenkívül bizonyos típusú trójaiak által titkosított fájlok helyreállítása egyszerűen lehetetlen a titkosítási mechanizmus erőssége miatt.

Helyreállítási segédprogramok törölt fájlok :
A ransomware trójaiak bizonyos típusai másolatot készítenek a titkosított fájlról, titkosítják és törlik az eredeti fájlt, ilyenkor használhatod valamelyik fájl-helyreállító segédprogramot (a letöltött és flash-re írt programok hordozható verzióit célszerű használni) meghajtó egy másik számítógépen):

• R.saver
• Recuva
• JPEG Ripper - segédprogram a sérült képek helyreállításához
• JPGscan leírás)
• PhotoRec - segédprogram a sérült képek helyreállításához (leírás)

Egyes verziókkal kapcsolatos problémák megoldásának módja Lockdir

A Lockdir egyes verzióival titkosított mappák archiválóval is megnyithatók 7zip

Sikeres adathelyreállítás után ellenőriznie kell a rendszert, hogy nem tartalmaz-e rosszindulatú programokat, ehhez futtasson és hozzon létre egy témát a probléma leírásával a részben.

Titkosított fájlok helyreállítása operációs rendszer eszközeivel.

A fájlok operációs rendszer használatával történő visszaállításához engedélyeznie kell a rendszervédelmet, mielőtt a trójai titkosító a számítógépére kerülne. A legtöbb zsarolóvírus trójai megpróbálja eltávolítani az árnyékmásolatokat a számítógépről, de néha ez nem sikerül (rendszergazdai jogosultságok és telepített frissítések Windows), és árnyékmásolatok segítségével helyreállíthatja a sérült fájlokat.

Emlékeztetni kell arra, hogy az árnyékmásolatok eltávolításának parancsa:

Kód:

A Vssadmin árnyékok törlése

csak rendszergazdai jogokkal működik, így a védelem engedélyezése után csak korlátozott jogokkal rendelkező felhasználóként kell dolgoznia, és figyelnie kell minden UAC figyelmeztetést a jogok emelésének kísérletéről.

Spoiler: Hogyan lehet engedélyezni a rendszervédelmet?

Hogyan lehet visszaállítani a fájlok korábbi verzióit, miután megsérültek?

jegyzet:

Visszaállítás egy fájl vagy mappa tulajdonságaiból a " Előző verziók" elérhető csak a Windows 7 és újabb "Professional" kiadásaiban. A Windows 7 otthoni kiadásai és az újabb Windows összes kiadása rendelkezik egy megkerülő megoldással (a spoiler alatt).

Spoiler

A második út - ez a segédprogram használata árnyékfeltáró(letöltheti a segédprogram telepítőjét és hordozható verzióját is).

Futtassa a programot
Válassza ki a meghajtót és a dátumot, amelyhez a fájlokat vissza szeretné állítani

Válassza ki a visszaállítani kívánt fájlt vagy mappát, és kattintson rá Jobb klikk egerek
Válasszon ki egy menüpontot Exportés adja meg annak a mappának az elérési útját, ahová vissza kívánja állítani a fájlokat az árnyékmásolatból.

A ransomware trójaiak elleni védekezés módjai

Sajnos a ransomware trójaiak elleni védekezés módjai hétköznapi felhasználók meglehetősen bonyolultak, mivel olyan biztonsági házirend-beállításokra vagy HIPS-re van szükség, amelyek csak bizonyos alkalmazások számára teszik lehetővé a fájlok elérését, és nem nyújtanak 100%-os védelmet olyan esetekben, amikor egy trójai egy megbízható alkalmazás címterébe kerül. Ezért az egyetlen hozzáférhető módon A védelem célja a felhasználói fájlok biztonsági mentése cserélhető adathordozó. Ebben az esetben, ha az adathordozó egy külső merevlemez vagy flash meghajtó, akkor ezeket az adathordozókat csak a biztonsági mentés során kell a számítógéphez csatlakoztatni, a többi idő alatt pedig le kell választani. A nagyobb biztonság érdekében a biztonsági mentéseket a rendszerindítással is el lehet végezni élő CD. Ezenkívül biztonsági mentések végezhetők az ún. felhőalapú tárolás egyes cégek biztosítják.

Beállítás víruskereső programok hogy csökkentse a ransomware trójaiak általi megfertőződés valószínűségét.

Minden termékre vonatkozik:

Engedélyeznie kell az önvédelmi modult, és telepítenie kell összetett jelszó a vírusirtó beállításoknál!!!

Körülbelül egy-két hete jelent meg a hálózaton a modern vírusgyártók újabb munkája, amely az összes felhasználói fájlt titkosítja. Még egyszer megvizsgálom azt a kérdést, hogyan lehet meggyógyítani a számítógépet egy ransomware vírus után crypted000007és visszaállíthatja a titkosított fájlokat. Ebben az esetben semmi új és egyedi nem jelent meg, csak az előző verzió módosítása.

A fájlok garantált visszafejtése ransomware vírus után - dr-shifro.ru. A munka részletei és az ügyféllel való interakció sémája alább található a cikkemben vagy a webhelyen a „Munkafolyamat” részben.

A CRYPTED000007 zsarolóvírus leírása

A CRYPTED000007 titkosító alapvetően nem különbözik elődeitől. Szinte egytől egyig működik. De mégis van néhány árnyalat, amely megkülönbözteti. Elmondok mindent sorban.

Ő is, társaihoz hasonlóan, postán érkezik. Társadalmi tervezési technikákat alkalmaznak arra, hogy a felhasználó érdeklődését felkeltse a levél iránt, és felnyissák azt. Az én esetemben a levél valamiféle bíróságról szólt, és az üggyel kapcsolatos fontos információkról a mellékletben. A melléklet indítása után a felhasználó megnyit egy Word-dokumentumot a Moszkvai Választottbíróság kivonatával.

A dokumentum megnyitásával párhuzamosan elindul a fájltitkosítás. Folyamatosan felbukkan egy tájékoztató üzenet a Windows felhasználói fiókok felügyeleti rendszeréből.

Ha egyetért a javaslattal, készítsen biztonsági másolatot a fájlok árnyékában a Windows másolatai törlésre kerül, és az információk helyreállítása nagyon nehéz lesz. Nyilvánvalóan a javaslattal semmi esetre sem lehet egyetérteni. Ebben a ransomware-ben ezek a kérések folyamatosan, egyenként bukkannak fel, és nem állnak le, kényszerítve a felhasználót, hogy beleegyezzen és törölje a biztonsági másolatokat. Ez a fő különbség a ransomware korábbi módosításaihoz képest. Soha nem láttam, hogy az árnyékmásolat-törlési kérelmek megállás nélkül mennének. Általában 5-10 mondat után abbahagyták.

Adok egy ajánlást a jövőre nézve. Nagyon gyakran az emberek kikapcsolják a figyelmeztetéseket a felhasználói fiókokat vezérlő rendszerből. Ezt nem kell megtenned. Ez a mechanizmus valóban segíthet a vírusok elleni küzdelemben. A második kézenfekvő tanács, hogy ne dolgozzon tartósan a számítógép rendszergazdai fiókja alatt, hacsak nincs rá objektív igény. Ebben az esetben a vírusnak nem lesz lehetősége nagy kárt okozni. Valószínűbb lesz, hogy ellenállsz neki.

De még ha mindig is negatívan válaszolt a ransomware kérésekre, minden adata már titkosítva van. A titkosítási folyamat befejezése után egy kép jelenik meg az asztalon.

Ugyanakkor sok lesz szöveges fájlok azonos tartalommal.

A fájljai titkosítva lettek. Az ux visszafejtéséhez javítania kell a 329D54752553ED978F94|0 kódot az e-mail címen [e-mail védett]. Ezután megkapja az összes szükséges utasítást. A saját megfejtésére tett kísérletek nem vezetnek semmihez, kivéve a visszahozhatatlan mennyiségű információt. Ha mégis meg akarja próbálni, akkor előtte készítsen biztonsági másolatot a fájlokról, különben ux változtatások esetén a visszafejtés semmilyen körülmények között nem lehetséges. Amennyiben 48 órán belül (és csak ebben az esetben!) nem kap választ a fenti címre, használja a visszajelzési űrlapot. Ezt kétféleképpen lehet megtenni: 1) Töltse le és telepítse Tor böngésző a következő linken: https://www.torproject.org/download/download-easy.html.en Írja be a címet: http://cryptsen7fo43rr6.onion/ a Tor Browser címmezőjébe, majd nyomja meg az Enter billentyűt. A kapcsolatfelvételi űrlapot tartalmazó oldal betöltődik. 2) Bármely böngészőben nyissa meg a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ A számítógépén lévő összes fontos fájl titkosítva volt. A fájlok visszafejtéséhez küldje el a következő kódot: 329D54752553ED978F94|0 e-mail címre [e-mail védett]. Ezután megkapja az összes szükséges utasítást. Az ön által végzett visszafejtési kísérletek csak az adatok visszavonhatatlan elvesztését eredményezik. Ha továbbra is meg akarja próbálni egyedül visszafejteni őket, kérjük, először készítsen biztonsági másolatot, mert a visszafejtés lehetetlenné válik a fájlokon belüli változtatások esetén. Ha több mint 48 órán keresztül (és csak ebben az esetben!) nem kapta meg a választ a fent említett e-mailből, használja a visszajelzési űrlapot. tudsz kétféleképpen teheti meg: 1) Töltse le a Tor böngészőt innen: https://www.torproject.org/download/download-easy.html.en Telepítse, és írja be a következő címet a címsorba: http://cryptsen7fo43rr6 .onion/ Nyomja meg az Enter billentyűt, és ekkor betöltődik a visszajelzési űrlapot tartalmazó oldal. 2) Nyissa meg bármelyik böngészőben a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

A postacím változhat. Láttam más ilyen címeket is:

• [e-mail védett]
• [e-mail védett]

A címek folyamatosan frissülnek, így teljesen eltérőek lehetnek.

Amint azt tapasztalja, hogy a fájlok titkosítva vannak, azonnal kapcsolja ki a számítógépet. Ezt meg kell tenni a titkosítási folyamat megszakításához mind a helyi számítógépen, mind a hálózati meghajtókon. A ransomware vírus titkosíthat minden információt, amelyet elérhet, beleértve a hálózati meghajtókat is. De ha nagy mennyiségű információ áll rendelkezésre, akkor ez sok időt vesz igénybe. Néha a titkosítónak még néhány órán belül sem volt ideje mindent titkosítani hálózati meghajtó körülbelül 100 gigabájt méretű.

Ezután alaposan át kell gondolnia, hogyan cselekedjen. Ha mindenképp információra van szüksége a számítógépéről, és nincs biztonsági másolata, akkor jobb, ha ebben a pillanatban kapcsolatba lép a szakemberekkel. Egyes cégeknél nem feltétlenül pénzért. Csak egy olyan emberre van szükséged, aki jól jártas információs rendszerek. Fel kell mérni a katasztrófa mértékét, el kell távolítani a vírust, össze kell gyűjteni az összes rendelkezésre álló információt a helyzetről, hogy megértsük, hogyan tovább.

Az ebben a szakaszban végzett helytelen műveletek jelentősen megnehezíthetik a fájlok visszafejtésének vagy helyreállításának folyamatát. A legrosszabb esetben ellehetetleníthetik. Tehát szánjon időt, legyen óvatos és következetes.

Hogyan titkosítja a fájlokat a CRYPTED000007 ransomware vírus

Miután a vírus elindult és befejezte tevékenységét, az összes hasznos fájl titkosításra kerül, és átnevezi őket kiterjesztés.crypted000007. És nem csak a fájl kiterjesztése lesz lecserélve, hanem a fájlnév is, így ha nem emlékszik, nem fogja tudni, hogy pontosan milyen fájljai voltak. Lesz valami ehhez hasonló kép.

Ilyen helyzetben nehéz lesz felmérni a tragédia mértékét, mivel nem fog tudni teljesen emlékezni arra, hogy mi volt a különböző mappákban. Ezt szándékosan tették, hogy megzavarják az embereket, és arra ösztönözzék őket, hogy fizessenek a fájlok visszafejtésére.

És ha titkosított hálózati mappái voltak, és nem készült teljes biztonsági másolat, akkor ez általában leállíthatja az egész szervezet munkáját. Nem fogod azonnal megérteni, mi veszett el végül ahhoz, hogy elkezdhesd a gyógyulást.

Hogyan kezelje számítógépét és távolítsa el a CRYPTED000007 zsarolóprogramot

A CRYPTED000007 vírus már megtalálható a számítógépén. Az első és legfontosabb kérdés az, hogy hogyan lehet meggyógyítani egy számítógépet, és hogyan lehet eltávolítani róla a vírust, hogy megakadályozzuk a további titkosítást, ha az még nem fejeződött be. Azonnal felhívom a figyelmet arra a tényre, hogy miután Ön elkezdett néhány műveletet végrehajtani a számítógépével, az adatok visszafejtésének esélye csökken. Ha mindenképpen helyre kell állítania a fájlokat, ne érintse meg számítógépét, hanem azonnal forduljon szakemberhez. Az alábbiakban beszélek róluk, linket adok az oldalra, és leírom munkájuk sémáját.

Addig is folytatjuk a számítógép önálló kezelését és a vírus eltávolítását. A zsarolóprogramok hagyományosan könnyen eltávolíthatók a számítógépről, mivel a vírusnak nem az a feladata, hogy mindenáron a számítógépen maradjon. A fájlok teljes titkosítása után még kifizetődőbb számára, ha törli magát és eltűnik, így nehezebb lesz az incidens kivizsgálása és a fájlok visszafejtése.

Egy vírus kézi eltávolításának leírása nehézkes, bár korábban próbálkoztam vele, de úgy látom, legtöbbször értelmetlen. A fájlnevek és a víruselhelyezési útvonalak folyamatosan változnak. Amit láttam, egy-két hét múlva már nem aktuális. A vírusokat általában hullámokban küldik levélben, és minden alkalommal új módosítás történik, amelyet az antivírusok még nem észleltek. Segítenek az univerzális eszközök, amelyek ellenőrzik az automatikus futtatást és észlelik a gyanús tevékenységeket a rendszermappákban.

A CRYPTED000007 vírus eltávolításához a következő programokat használhatja:

1. Kaspersky Virus Removal Tool – a Kaspersky segédprogramja http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - hasonló termék más webről http://free.drweb.ru/cureit.
3. Ha az első két segédprogram nem segít, próbálja ki a MALWAREBYTES 3.0 - https://ru.malwarebytes.com verziót.

Valószínűleg az egyik ilyen termék megtisztítja a számítógépet a CRYPTED000007 zsarolóvírustól. Ha hirtelen úgy történik, hogy nem segítenek, próbálja meg manuálisan eltávolítani a vírust. Példaként az eltávolítási technikát hoztam fel, ott láthatod. Dióhéjban a következőket kell tenned:

1. Megnézzük a folyamatok listáját, miután korábban több további oszlopot is hozzáadtunk a feladatkezelőhöz.
2. Megtaláljuk a vírus folyamatát, megnyitjuk a mappát, amelyben található, és töröljük.
3. Megtisztítjuk a vírusfolyamat említését a fájlnévvel a rendszerleíró adatbázisban.
4. Újraindítjuk, és megbizonyosodunk arról, hogy a CRYPTED000007 vírus nem szerepel a futó folyamatok listájában.

Hol lehet letölteni a CRYPTED000007 dekódolót

Az egyszerű és megbízható visszafejtő kérdése mindenekelőtt akkor merül fel, ha egy ransomware vírusról van szó. Az első dolog, amit tanácsolok, hogy használja a https://www.nomoreransom.org szolgáltatást. Mi van, ha szerencséd van, lesz egy visszafejtőjük a CRYPTED000007 titkosító verziójához. Azonnal mondom, hogy nincs sok esélyed, de a próbálkozás nem kínzás. Tovább kezdőlap kattintson az Igen gombra:

Ezután töltsön fel néhány titkosított fájlt, és kattintson a Go! kitalál:

A cikk írásakor a dekóder nem volt az oldalon.

Talán több szerencséd lesz. A letölthető dekódolók listáját egy külön oldalon is megtekintheti - https://www.nomoreransom.org/decryption-tools.html. Talán van ott valami hasznos. Amikor a vírus nagyon friss, ennek kicsi az esélye, de idővel megjelenhet valami. Vannak példák arra, hogy a ransomware bizonyos módosításainak dekódolói megjelentek a hálózaton. És ezek a példák a megadott oldalon találhatók.

Hol találok még dekódert, nem tudom. Nem valószínű, hogy valóban létezik, figyelembe véve a modern ransomware munkájának sajátosságait. Csak a vírus szerzői rendelkezhetnek teljes értékű dekódolóval.

Hogyan lehet visszafejteni és visszaállítani a fájlokat a CRYPTED000007 vírus után

Mi a teendő, ha a CRYPTED000007 vírus titkosította a fájlokat? A titkosítás technikai megvalósítása nem teszi lehetővé a fájlok visszafejtését kulcs vagy dekódoló nélkül, amivel csak a titkosító szerzője rendelkezik. Lehet, hogy van más mód is a beszerzésére, de nincs ilyen információm. Csak rögtönzött módszerekkel próbálhatjuk meg helyreállítani a fájlokat. Ezek tartalmazzák:

• Eszköz árnyékmásolatok ablakok.
• Programok a törölt adatok helyreállítására

Először is ellenőrizzük, hogy engedélyezve vannak-e az árnyékmásolatok. Ez az eszköz alapértelmezés szerint működik a Windows 7 és újabb rendszerekben, hacsak nem tiltja le manuálisan. Az ellenőrzéshez nyissa meg a számítógép tulajdonságait, és lépjen a rendszervédelem részhez.

Ha nem erősítette meg a fertőzés időpontjában UAC kérés az árnyékmásolatokban lévő fájlok törléséhez, akkor néhány adatnak ott kell maradnia. Erről a kérésről a történet elején részletesebben beszéltem, amikor a vírus munkájáról beszéltem.

A fájlok árnyékmásolatokból történő egyszerű visszaállításához javaslom a használatát ingyenes program ehhez - ShadowExplorer . Töltse le az archívumot, csomagolja ki a programot és futtassa.

Megnyílik a fájlok utolsó példánya és a C meghajtó gyökere, balra felső sarok választhat egy biztonsági másolatot, ha több van. Ellenőrizze a különböző példányokat kívánt fájlokat. Hasonlítsa össze dátumok szerint, ahol több friss változat. Az alábbi példámban 2 olyan fájlt találtam az asztalomon, amelyek legutóbbi szerkesztésükkor három hónaposak voltak.

Sikerült visszaállítani ezeket a fájlokat. Ehhez kijelöltem őket, jobb gombbal rákattintottam, az Export lehetőséget választottam, és megjelöltem a mappát, ahová vissza kell állítani őket.

Ugyanígy azonnal visszaállíthatja a mappákat. Ha az árnyékmásolatok működtek Önnek, és nem törölte őket, akkor elég sok esélye van az összes vagy majdnem minden vírus által titkosított fájl helyreállítására. Talán néhány közülük több lesz régi verzió mint szeretném, de ennek ellenére jobb, mint a semmi.

Ha valamilyen oknál fogva nem rendelkezik árnyékmásolattal a fájlokról, akkor az egyetlen lehetőség a titkosított fájlok legalább egy részének megszerzésére, ha visszaállítja azokat a törölt fájlok helyreállítására szolgáló eszközök segítségével. Ehhez javaslom az ingyenes Photorec program használatát.

Futtassa a programot, és válassza ki a lemezt, amelyen a fájlokat helyreállítja. A program grafikus verziójának elindítása végrehajtja a fájlt qphotorec_win.exe. Ki kell választani azt a mappát, ahová a talált fájlok kerülnek. Jobb, ha ez a mappa nem ugyanazon a meghajtón található, ahol keresünk. Ehhez csatlakoztasson egy flash meghajtót vagy külső merevlemezt.

A keresési folyamat sokáig fog tartani. A végén látni fogja a statisztikákat. Most beléphet a korábban megadott mappába, és megnézheti, mi található ott. Valószínűleg sok fájl lesz, és a legtöbb vagy megsérül, vagy valamilyen rendszer és haszontalan fájlok lesznek. Ennek ellenére ebben a listában lehet majd találni egy alkatrészt hasznos fájlokat. Itt nincs garancia, amit találsz, azt megtalálod. A legjobb az egészben, hogy általában a képeket visszaállítják.

Ha az eredmény nem kielégítő, akkor még mindig vannak programok a törölt fájlok helyreállítására. Az alábbiakban felsoroljuk azokat a programokat, amelyeket általában akkor használok, amikor vissza kell állítani maximális összeget fájlok:

• R.saver
• Starus fájl helyreállítás
• JPEG Recovery Pro
• Active File Recovery Professional

Ezek a programok nem ingyenesek, ezért nem adok hivatkozásokat. Erős vágy esetén magad is megtalálhatod őket az interneten.

A teljes fájl-helyreállítási folyamatot részletesen bemutatja a cikk végén található videó.

Kaspersky, eset nod32 és mások a Filecoder.ED ransomware elleni küzdelemben

A népszerű antivírusok a CRYPTED000007 ransomware-t a következőképpen határozzák meg Filecoder.EDés akkor lehet valami más megnevezés. Végignéztem a főbb vírusirtók fórumait, és nem láttam ott semmi hasznosat. Sajnos, mint általában, a víruskeresők nem álltak készen a ransomware új hullámának inváziójára. Itt van egy üzenet a Kaspersky fórumról.

A víruskeresők hagyományosan kihagyják a ransomware trójaiak új módosításait. Ennek ellenére javaslom a használatát. Ha szerencséd van, és nem a fertőzések első hullámában, hanem kicsit később kapsz egy ransomware-t a leveledben, akkor van esély arra, hogy a vírusirtó segítségedre lesz. Mindannyian egy lépéssel a támadók mögött dolgoznak. színt vall egy új verzió ransomware, az antivírusok nem reagálnak rá. Amint összegyűlik egy bizonyos mennyiségű anyag egy új vírus kutatásához, az antivírusok frissítést adnak ki, és elkezdenek reagálni rá.

Nem világos számomra, hogy mi akadályozza meg a víruskeresőket abban, hogy azonnal reagáljanak a rendszer bármely titkosítási folyamatára. Talán van néhány technikai árnyalat ebben a témában, amely nem teszi lehetővé a megfelelő választ és megakadályozza a felhasználói fájlok titkosítását. Számomra úgy tűnik, hogy lehetséges lenne legalább egy figyelmeztetést megjeleníteni arról, hogy valaki titkosítja a fájljait, és felajánlhatná a folyamat leállítását.

Hol igényelhető garantált visszafejtés

Véletlenül találkoztam egy olyan céggel, amely valóban dekódolja az adatokat a különféle titkosító vírusok, köztük a CRYPTED000007 munkája után. Címük: http://www.dr-shifro.ru. Fizetés csak a teljes visszafejtés és az Ön ellenőrzése után. Íme egy példa munkafolyamat:

1. A cég szakembere autóval felkeresi az Ön irodáját vagy otthonát, és szerződést köt veled, amelyben rögzíti a munka költségét.
2. Futtatja a visszafejtőt, és visszafejti az összes fájlt.
3. Győződjön meg arról, hogy minden fájl meg van nyitva, és aláírja az elvégzett munka átadási/átvételi okiratát.
4. Fizetés csak sikeres visszafejtés esetén.

Őszintén szólva nem tudom, hogyan csinálják, de nem kockáztatsz semmit. Fizetés csak a dekóder bemutatása után. Kérjük, írjon véleményt a céggel kapcsolatos tapasztalatairól.

A CRYPTED000007 vírus elleni védekezési módszerek

Hogyan védheti meg magát a zsarolóvírusok munkájától, és hogyan teheti meg anyagi és erkölcsi károk nélkül? Van néhány egyszerű és hatékony tipp:

1. Biztonsági mentés! Biztonsági másolat minden fontos adatot. És nem csak egy biztonsági másolat, hanem egy olyan mentés, amelyhez nincs állandó hozzáférés. Ellenkező esetben a vírus a dokumentumokat és a biztonsági másolatokat is megfertőzheti.
2. Licenc vírusirtó. Bár nem adnak 100%-os garanciát, növelik a titkosítás elkerülésének esélyét. Leggyakrabban nem állnak készen a ransomware új verzióira, de 3-4 nap múlva reagálni kezdenek. Ez növeli a fertőzés elkerülésének esélyét, ha nem szerepel az új ransomware-módosítások első hullámában.
3. Ne nyissa meg a gyanús mellékleteket a levélben. Itt nincs mit kommentálni. Minden általam ismert kriptográfus levélben jutott el a felhasználókhoz. És minden alkalommal új trükköket találnak ki az áldozat megtévesztésére.
4. Ne nyisson meg ész nélkül a barátaitól a közösségi hálózatokon vagy azonnali üzenetküldőkön keresztül küldött linkeket. Így terjednek néha a vírusok.
5. Beindítani windows kijelző fájlkiterjesztéseket. Ennek módja könnyen megtalálható az interneten. Ez lehetővé teszi, hogy észrevegye a vírus fájlkiterjesztését. Leggyakrabban az lesz .alkalmazás, .vbs, .src. A dokumentumokkal való mindennapi munka során valószínűleg nem találkozik ilyen fájlkiterjesztésekkel.

Igyekeztem kiegészíteni a ransomware vírusról szóló cikkekben korábban már leírtakat. Addig elköszönök. Örülök, ha hasznos megjegyzéseket kapok a cikkről és általában a CRYPTED000007 titkosító vírusról.

Videó visszafejtéssel és fájl-helyreállítással

Itt van egy példa a vírus korábbi módosítására, de a videó teljes mértékben releváns a CRYPTED000007 esetében is.