Hakerzy ransomware są bardzo podobni do zwykłych szantażystów. Zarówno w świecie rzeczywistym, jak i w środowisku cybernetycznym istnieje pojedynczy lub grupowy obiekt ataku. Jest albo kradziony, albo niedostępny. Ponadto sprawcy wykorzystują określone środki komunikacji z ofiarami, aby przekazać swoje żądania. Oszuści komputerowi zwykle wybierają tylko kilka formatów żądań okupu, ale ich kopie można znaleźć w prawie każdym miejscu w pamięci zainfekowanego systemu. W przypadku rodziny programów szpiegujących znanych jako Troldesh lub Shade oszuści stosują inne podejście do kontaktu z ofiarą.

Przyjrzyjmy się bliżej temu szczepowi wirusa szyfrującego, którego celem jest rosyjskojęzyczna publiczność. Większość podobnych infekcji wykrywa układ klawiatury na zaatakowanym komputerze, a jeśli jednym z języków jest język rosyjski, włamanie zatrzymuje się. Jednak ransomware XTBL rozwiązły: niestety dla użytkowników atak jest przeprowadzany niezależnie od ich położenia geograficznego i preferencji językowych. Wyraźnym przykładem tej wszechstronności jest ostrzeżenie, które pojawia się jako tło pulpitu, a także plik TXT z instrukcjami zapłaty okupu.

Wirus XTBL jest zwykle rozprzestrzeniany za pośrednictwem spamu. Wiadomości przypominają listy od znanych marek lub po prostu przyciągają wzrok, ponieważ w temacie wiadomości używane są wyrażenia typu „Pilne!” lub „Ważne dokumenty finansowe”. Sztuczka phishingowa zadziała, gdy odbiorca takiego e-maila. wiadomość pobierze plik ZIP zawierający kod JavaScript lub obiekt Docm z potencjalnie podatnym na ataki makrem.

Po wykonaniu podstawowego algorytmu na zaatakowanym komputerze trojan ransomware przechodzi do wyszukiwania danych, które mogą być wartościowe dla użytkownika. W tym celu wirus skanuje lokalny i pamięć zewnętrzna, jednocześnie mapując każdy plik na zestaw formatów dopasowanych na podstawie rozszerzenia obiektu. Wszystkie pliki .jpg, .wav, .doc, .xls, a także wiele innych obiektów są szyfrowane przy użyciu algorytmu szyfrowania bloków symetrycznych AES-256.

Istnieją dwa aspekty tego szkodliwego efektu. Przede wszystkim użytkownik traci dostęp do ważnych danych. Ponadto nazwy plików są głęboko zakodowane, co skutkuje bezsensownym zestawem znaków szesnastkowych jako dane wyjściowe. Wszystko, co łączy nazwy plików, których dotyczy problem, to dodane do nich rozszerzenie xtbl, tj. nazwa cyberzagrożenia. Nazwy zaszyfrowanych plików mają czasem specjalny format. W niektórych wersjach Troldesh nazwy zaszyfrowanych obiektów mogą pozostać niezmienione, a na końcu dodawany jest unikalny kod: [e-mail chroniony], [e-mail chroniony], Lub [e-mail chroniony].

Oczywiście atakujący, wprowadzając adresy e-mail. mail bezpośrednio do nazw plików, wskazują ofiarom sposób komunikowania się. Wiadomość e-mail jest również wymieniona w innym miejscu, a mianowicie w żądaniu okupu zawartym w pliku „Readme.txt”. Takie dokumenty Notatnika pojawią się na Pulpicie, a także we wszystkich folderach z zaszyfrowanymi danymi. Kluczowym przesłaniem jest:

„Wszystkie pliki zostały zaszyfrowane. Aby je odszyfrować, musisz wysłać kod: [Twój unikalny szyfr] na adres adres e-mail [e-mail chroniony] Lub [e-mail chroniony]. Następnie otrzymasz wszystkie niezbędne instrukcje. Próby samodzielnego rozszyfrowania nie doprowadzą do niczego poza bezpowrotną utratą informacji”

Adres e-mail może ulec zmianie w zależności od grupy ransomware rozprzestrzeniającej wirusa.

Jeśli chodzi o dalsze działania, ogólnie rzecz biorąc, oszuści proponują okup, który może wynosić 3 bitcoiny lub inną kwotę z tego przedziału. Należy pamiętać, że nikt nie może zagwarantować, że hakerzy dotrzymają obietnicy nawet po otrzymaniu pieniędzy. Aby przywrócić dostęp do plików .xtbl, zagrożeni użytkownicy powinni najpierw wypróbować wszystkie dostępne alternatywne metody. W niektórych przypadkach dane można uporządkować za pomocą usługi kopiowania woluminów w tle (Volume Shadow Copy), dostarczanej bezpośrednio w systemie Windows, a także programów do odszyfrowywania i odzyskiwania danych od zewnętrznych dostawców oprogramowania.

Usuń ransomware XTBL za pomocą automatycznego czyszczenia

Niezwykle skuteczna metoda radzenia sobie ze złośliwym oprogramowaniem w ogóle, aw szczególności z oprogramowaniem ransomware. Zastosowanie sprawdzonego kompleksu bezpieczeństwa gwarantuje dokładność wykrywania wszelkich komponentów wirusowych, ich całkowite usunięcie jednym kliknięciem. Pamiętaj, że mówimy o dwóch różnych procesach: odinstalowaniu infekcji i przywróceniu plików na komputerze. Jednak zagrożenie z pewnością musi zostać usunięte, ponieważ istnieją informacje o wprowadzaniu innych trojanów komputerowych za jego pomocą.

1. . Po uruchomieniu oprogramowania kliknij przycisk Uruchom skanowanie komputera(Rozpocznij skanowanie).
2. Zainstalowane oprogramowanie dostarczy raport o zagrożeniach wykrytych podczas skanowania. Aby usunąć wszystkie znalezione zagrożenia, wybierz opcję Napraw zagrożenia(Usuń zagrożenia). Złośliwe oprogramowanie, o którym mowa, zostanie całkowicie usunięte.

Przywróć dostęp do zaszyfrowanych plików z rozszerzeniem .xtbl

Jak już wspomniano, ransomware XTBL blokuje pliki silnym algorytmem szyfrowania, dzięki czemu zaszyfrowanych danych nie można przywrócić za pomocą czarodziejskiej różdżki - jeśli nie weźmiesz pod uwagę zapłaty niespotykanego okupu. Ale niektóre metody mogą naprawdę uratować życie i pomóc odzyskać ważne dane. Poniżej możesz się z nimi zapoznać.

Dekoder - program automatyczne odzyskiwanie akta

Znana jest bardzo niezwykła okoliczność. Ta infekcja niszczy pliki źródłowe w postaci niezaszyfrowanej. Wyłudzający proces szyfrowania celuje zatem w ich kopie. Daje to taką możliwość narzędzia oprogramowania jak przywrócić usunięte obiekty, nawet jeśli gwarantowana jest niezawodność ich usunięcia. Zdecydowanie zaleca się skorzystanie z procedury odzyskiwania plików, której skuteczność została potwierdzona nie raz.

Kopie woluminów w tle

Podejście opiera się na procedurze systemu Windows Kopia rezerwowa plików, co jest powtarzane w każdym punkcie przywracania. Ważny warunek pracy Ta metoda: Przywracanie systemu musi być aktywowane przed infekcją. Jednak wszelkie zmiany dokonane w pliku po punkcie przywracania nie zostaną odzwierciedlone w przywróconej wersji pliku.

Kopia zapasowa

Jest to najlepsza spośród wszystkich metod bez wykupu. Jeżeli procedura tworzenia kopii zapasowej danych na serwerze zewnętrznym była stosowana przed atakiem ransomware na Twój komputer, aby przywrócić zaszyfrowane pliki, wystarczy wejść w odpowiedni interfejs, wybrać niezbędne pliki i uruchomić mechanizm odzyskiwania danych z kopii zapasowej. Przed wykonaniem operacji musisz upewnić się, że oprogramowanie ransomware zostało całkowicie usunięte.

Sprawdź możliwą obecność pozostałych składników wirusa ransomware XTBL

Sprzątanie w tryb ręczny jest pełen brakujących fragmentów oprogramowania ransomware, które mogą uniknąć usunięcia w postaci ukrytych obiektów system operacyjny lub wpisy rejestru. Aby wyeliminować ryzyko częściowego zachowania poszczególnych szkodliwych elementów, przeskanuj swój komputer za pomocą niezawodnego uniwersalnego pakietu antywirusowego.

Nowoczesne technologie pozwalają hakerom na ciągłe ulepszanie sposobów nadużyć w stosunku do zwykli użytkownicy. Z reguły do ​​tych celów wykorzystywane jest oprogramowanie antywirusowe, które przenika do komputera. Wirusy szyfrujące są uważane za szczególnie niebezpieczne. Zagrożenie polega na tym, że wirus rozprzestrzenia się bardzo szybko, szyfrując pliki (użytkownik po prostu nie może otworzyć żadnego dokumentu). A jeśli jest to dość proste, odszyfrowanie danych jest znacznie trudniejsze.

Co zrobić, jeśli wirus zaszyfrował pliki na komputerze

Każdy może zostać zaatakowany przez oprogramowanie ransomware, nawet użytkownicy posiadający potężne oprogramowanie antywirusowe nie są ubezpieczeni. Trojany szyfrujące pliki są reprezentowane przez inny kod, który może być poza zasięgiem działania programu antywirusowego. Hakerom udaje się w ten sposób atakować nawet duże firmy, które nie zadbały o niezbędną ochronę swoich informacji. Tak więc, po „wykryciu” programu ransomware online, musisz podjąć szereg działań.

Główne oznaki infekcji to wolne działanie komputera i zmiana nazw dokumentów (można to zobaczyć na pulpicie).

1. Uruchom ponownie komputer, aby zatrzymać szyfrowanie. Po włączeniu nie potwierdzaj uruchamiania nieznanych programów.
2. Uruchom program antywirusowy, jeśli nie został zaatakowany przez ransomware.
3. W niektórych przypadkach kopie w tle pomogą przywrócić informacje. Aby je znaleźć, otwórz „Właściwości” zaszyfrowanego dokumentu. Ta metoda działa z zaszyfrowanymi danymi rozszerzenia Vault, które zawiera informacje w portalu.
4. Pobierz narzędzie Ostatnia wersja do zwalczania wirusów ransomware. Najskuteczniejsze są oferowane przez firmę Kaspersky Lab.

Wirusy szyfrujące w 2016 roku: przykłady

Walcząc z jakimkolwiek atakiem wirusa, ważne jest, aby zrozumieć, że kod zmienia się bardzo często, jest uzupełniany nowa ochrona z programów antywirusowych. Oczywiście programy zabezpieczające potrzebują trochę czasu, zanim programista zaktualizuje bazy danych. Wybraliśmy najniebezpieczniejsze wirusy szyfrujące ostatnich czasów.

Ransomware Ishtar

Ishtar to ransomware, które wyłudza pieniądze od użytkownika. Wirus został zauważony jesienią 2016 roku, infekując ogromną liczbę komputerów użytkowników z Rosji i wielu innych krajów. Jest dystrybuowany za pomocą dystrybucji e-mail, która zawiera załączone dokumenty (instalatory, dokumenty itp.). Dane zainfekowane oprogramowaniem ransomware Ishtar otrzymują w nazwie przedrostek „ISHTAR”. Proces tworzy dokument testowy, który wskazuje, gdzie należy się udać, aby uzyskać hasło. Napastnicy żądają za niego od 3000 do 15 000 rubli.

Niebezpieczeństwo związane z wirusem Ishtar polega na tym, że obecnie nie ma deszyfratora, który pomógłby użytkownikom. Firmy produkujące oprogramowanie antywirusowe potrzebują czasu na odszyfrowanie całego kodu. Teraz możemy się tylko izolować ważna informacja(jeśli mają szczególne znaczenie) na osobny nośnik, czekając na wydanie narzędzia zdolnego do odszyfrowania dokumentów. Zaleca się ponowną instalację systemu operacyjnego.

Neitrino

Ransomware Neitrino pojawiło się w Internecie w 2015 roku. Pod względem zasady ataku jest podobny do innych wirusów tej kategorii. Zmienia nazwy folderów i plików, dodając „Neitrino” lub „Neutrino”. Wirus jest trudny do rozszyfrowania - nie wszyscy przedstawiciele firm antywirusowych podejmują się tego, odwołując się do bardzo złożonego kodu. Przywracanie kopii w tle może pomóc niektórym użytkownikom. Aby to zrobić, kliknij kliknij prawym przyciskiem myszy kliknij zaszyfrowany dokument, przejdź do „Właściwości”, zakładka „Poprzednie wersje”, kliknij „Przywróć”. Nie byłoby zbyteczne w użyciu bezpłatne narzędzie z Kaspersky Lab.

Portfel lub .portfel.

Wirus szyfrujący Wallet pojawił się pod koniec 2016 roku. Podczas procesu infekcji zmienia nazwę danych na „Nazwa..portfel” lub podobną. Podobnie jak większość wirusów ransomware, dostaje się do systemu poprzez załączniki wiadomości e-mail wysyłane przez hakerów. Ponieważ zagrożenie pojawiło się całkiem niedawno, programy antywirusowe go nie zauważają. Po zaszyfrowaniu tworzy dokument, w którym oszust określa pocztę do komunikacji. Obecnie twórcy oprogramowania antywirusowego pracują nad odszyfrowaniem kodu wirusa ransomware. [e-mail chroniony]. Zaatakowani użytkownicy mogą tylko czekać. Jeśli dane są ważne, zaleca się ich zapisanie dysk zewnętrzny poprzez wyczyszczenie systemu.

Enigma

Wirus szyfrujący Enigma zaczął infekować komputery rosyjskich użytkowników pod koniec kwietnia 2016 roku. Wykorzystuje model szyfrowania AES-RSA, który można znaleźć w większości dzisiejszych programów ransomware. Wirus przenika do komputera za pomocą skryptu, który sam użytkownik uruchamia, otwierając pliki z podejrzanej wiadomości e-mail. Jak dotąd nie ma uniwersalnego lekarstwa na szyfr zagadki. Użytkownicy posiadający licencję na program antywirusowy mogą poprosić o pomoc na oficjalnej stronie programisty. Znaleziono również małą „lukę” - Windows UAC. Jeśli użytkownik kliknie "Nie" w oknie, które pojawia się podczas infekcji wirusowej, może później przywrócić informacje za pomocą kopii w tle.

Granit

Nowy wirus ransomware Granit pojawił się w sieci jesienią 2016 roku. Infekcja przebiega zgodnie z następującym scenariuszem: użytkownik uruchamia instalator, który infekuje i szyfruje wszystkie dane na komputerze i podłączonych dyskach. Walka z wirusem jest trudna. Aby usunąć, możesz użyć specjalne narzędzia od Kaspersky, ale kod nie został jeszcze odszyfrowany. Pomocne może być przywrócenie poprzednich wersji danych. Ponadto specjalista, który ma duże doświadczenie, może odszyfrować, ale usługa jest droga.

Tysona

Widziany był niedawno. Jest to rozszerzenie znanego już ransomware no_more_ransom, o którym możesz dowiedzieć się na naszej stronie internetowej. Infiltruje komputery osobiste E-mail. Wiele komputerów firmowych zostało zaatakowanych. Wirus tworzy Dokument tekstowy z instrukcjami odblokowania, proponując zapłacenie „okupu”. Niedawno pojawiło się oprogramowanie ransomware Tyson, więc nie ma jeszcze klucza odblokowującego. Jedynym sposobem na odzyskanie informacji jest powrót poprzednie wersje chyba że zostały usunięte przez wirusa. Możesz oczywiście zaryzykować przelewając pieniądze na konto wskazane przez atakujących, ale nie ma gwarancji, że otrzymasz hasło.

Spora

Na początku 2017 roku wielu użytkowników padło ofiarą nowego oprogramowania ransomware Spora. Zasada działania nie różni się zbytnio od swoich odpowiedników, ale może pochwalić się bardziej profesjonalnym wykonaniem: instrukcje uzyskania hasła są lepsze, strona wygląda ładniej. Stworzył ransomware Spora w języku C, używa kombinacji RSA i AES do szyfrowania danych ofiary. Z reguły atakowane są komputery, które są aktywnie używane. program księgowy 1C. Wirus ukrywający się pod postacią prostej faktury w formacie .pdf zmusza pracowników firmy do jej uruchomienia. Nie znaleziono jeszcze lekarstwa.

1C.Upuść.1

Ten wirus szyfrujący dla 1C pojawił się latem 2016 roku, zakłócając pracę wielu działów księgowości. Zaprojektowany specjalnie dla komputerów, które używają oprogramowanie 1C. Przechodząc przez plik w wiadomości e-mail do komputera, monituje właściciela o aktualizację programu. Niezależnie od tego, który przycisk naciśnie użytkownik, wirus rozpocznie szyfrowanie plików. Specjaliści Dr.Web pracują nad narzędziami deszyfrującymi, ale jak dotąd nie znaleziono rozwiązania. Wynika to ze złożonego kodu, który może być w kilku modyfikacjach. Jedyną ochroną przed 1C.Drop.1 jest czujność użytkowników i regularne archiwizowanie ważnych dokumentów.

Kod da vinci

Nowe oprogramowanie ransomware z nietuzinkowym imieniem. Wirus pojawił się wiosną 2016 roku. Różni się od swoich poprzedników ulepszonym kodem i silnym trybem szyfrowania. da_vinci_code infekuje komputer za pomocą wykonywalnej aplikacji (zwykle dołączanej do wiadomości e-mail), którą użytkownik samodzielnie uruchamia. Koder da Vinci (kod da Vinci) kopiuje treść do katalogu systemowego i rejestru, zapewniając automatyczne uruchomienie po włączeniu systemu Windows. Każdemu komputerowi ofiary przypisany jest unikalny identyfikator (pomaga w zdobyciu hasła). Odszyfrowanie danych jest prawie niemożliwe. Możesz zapłacić atakującym pieniądze, ale nikt nie gwarantuje, że otrzymasz hasło.

[e-mail chroniony] / [e-mail chroniony]

Dwa adresy e-mail, które często towarzyszyły oprogramowaniu ransomware w 2016 r. Służą do łączenia ofiary z napastnikiem. Adresy były dołączone do różnych typów wirusów: da_vinci_code, no_more_ransom i tak dalej. Zdecydowanie nie zaleca się kontaktowania się, a także przesyłania pieniędzy oszustom. Użytkownicy w większości przypadków pozostają bez haseł. W ten sposób pokazuje, że atakujący ransomware działa, generując dochód.

Breaking Bad

Pojawił się na początku 2015 roku, ale aktywnie rozprzestrzenił się dopiero rok później. Zasada infekcji jest identyczna jak w przypadku innych programów ransomware: instalacja pliku z wiadomości e-mail, szyfrowanie danych. Konwencjonalne programy antywirusowe zazwyczaj nie wykrywają wirusa Breaking Bad. Niektóre kody nie mogą ominąć Windows UAC, więc użytkownik nadal może przywrócić poprzednie wersje dokumentów. Dekodera nie zaprezentowała dotychczas żadna firma tworząca oprogramowanie antywirusowe.

XTBL

Bardzo powszechne oprogramowanie ransomware, które sprawiało kłopoty wielu użytkownikom. Na komputerze wirus zmienia rozszerzenie pliku na .xtbl w ciągu kilku minut. Tworzony jest dokument, w którym atakujący wyłudza pieniądze. Niektóre szczepy wirusa XTBL nie mogą zniszczyć plików przywracania systemu, umożliwiając odzyskanie ważnych dokumentów. Sam wirus może zostać usunięty przez wiele programów, ale odszyfrowanie dokumentów jest bardzo trudne. Jeśli posiadasz licencjonowany program antywirusowy, skorzystaj z pomocy technicznej, załączając próbki zainfekowanych danych.

Kukaracza

Szyfr Kukaracha został zauważony w grudniu 2016 roku. Wirus o ciekawej nazwie ukrywa pliki użytkownika za pomocą wysoce odpornego algorytmu RSA-2048. Antywirus Kaspersky'ego oznaczył go jako Trojan-Ransom.Win32.Scatter.lb. Kukaracha może zostać usunięty z komputera, aby inne dokumenty nie zostały zainfekowane. Jednak zainfekowane są dziś prawie niemożliwe do odszyfrowania (bardzo potężny algorytm).

Jak działa ransomware

Istnieje ogromna liczba programów ransomware, ale wszystkie działają na podobnej zasadzie.

1. Uderzaj Komputer osobisty. Z reguły dzięki załączonemu plikowi do wiadomości e-mail. Instalację inicjuje sam użytkownik, otwierając dokument.
2. Infekcja pliku. Prawie wszystkie typy plików są szyfrowane (w zależności od wirusa). Tworzony jest dokument tekstowy zawierający kontakty do komunikacji z intruzami.
3. Wszystko. Użytkownik nie może uzyskać dostępu do żadnego dokumentu.

Remedium z popularnych laboratoriów

Powszechne stosowanie oprogramowania ransomware, uznawanego za najgroźniejsze zagrożenie dla danych użytkowników, stało się bodźcem dla wielu laboratoriów antywirusowych. Każda popularna firma udostępnia swoim użytkownikom programy pomagające im w walce z oprogramowaniem ransomware. Ponadto wiele z nich pomaga w odszyfrowaniu dokumentów chronionych przez system.

Kaspersky i wirusy szyfrujące

Jedno z najsłynniejszych laboratoriów antywirusowych w Rosji i na świecie oferuje dziś najskuteczniejsze środki do zwalczania wirusów ransomware. Pierwszą przeszkodą dla wirusa ransomware będzie Punkt końcowy Kaspersky Bezpieczeństwo 10s najnowsze aktualizacje. Program antywirusowy po prostu nie pozwoli zagrożeniu przedostać się do komputera (jednak nowe wersje mogą nie zostać zatrzymane). Aby odszyfrować informacje, programista udostępnia jednocześnie kilka bezpłatnych narzędzi: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Pomagają znaleźć wirusa i odebrać hasło.

Dr. Internet i ransomware

To laboratorium zaleca ich używanie program antywirusowy, główna cecha który był kopią zapasową plików. Magazyn z kopiami dokumentów jest również chroniony przed niepowołanym dostępem intruzów. Właściciele licencjonowanego produktu Dr. Web, funkcja wezwania pomocy jest dostępna w pomoc techniczna. To prawda, że ​​nawet doświadczeni specjaliści nie zawsze mogą oprzeć się tego typu zagrożeniom.

ESET Nod 32 i ransomware

Ta firma również nie stała z boku, zapewniając swoim użytkownikom dobrą ochronę przed wirusami przedostającymi się do komputera. Ponadto laboratorium niedawno wydało bezpłatne narzędzie z aktualnymi bazami danych - Eset Crysis Decryptor. Twórcy twierdzą, że pomoże to w walce nawet z najnowszym oprogramowaniem ransomware.

Jeśli system jest zainfekowany złośliwe oprogramowanie rodziny Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl lub Trojan-Ransom.Win32.CryptXXX, wszystkie pliki na komputerze zostaną zaszyfrowane w następujący sposób:

• Gdy Trojan-Ransom.Win32.Rannoh zostanie zainfekowany, nazwy i rozszerzenia zmienią się zgodnie z wzorcem zablokowany-<оригинальное_имя>.<4 произвольных буквы>.
• Gdy Trojan-Ransom.Win32.Cryakl zostaje zainfekowany, na końcu zawartości plików dodawany jest znak (CRYPTENDBLACKDC).
• Gdy Trojan-Ransom.Win32.AutoIt zostaje zainfekowany, rozszerzenie zmienia się zgodnie z wzorcem<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Na przykład, [e-mail chroniony] _.RZWDTDIC.
• Gdy Trojan-Ransom.Win32.CryptXXX zostaje zainfekowany, rozszerzenie zmienia się zgodnie z szablonami<оригинальное_имя>.krypta,<оригинальное_имя>.crypz i<оригинальное_имя>.kryp1.

Narzędzie RannohDecryptor jest przeznaczone do odszyfrowywania plików po infekcji Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl lub Trojan-Ransom.Win32.CryptXXX w wersjach 1, 2 i 3.

Jak wyleczyć system

Aby wyleczyć zainfekowany system:

1. Pobierz plik RannohDecryptor.zip.
2. Uruchom plik RannohDecryptor.exe na zainfekowanej maszynie.
3. W oknie głównym kliknij Rozpocznij weryfikację.

1. Określ ścieżkę do zaszyfrowanego i niezaszyfrowanego pliku.
   Jeśli plik jest zaszyfrowany przez Trojan-Ransom.Win32.CryptXXX, określ pliki Trojan-Ransom.Win32.CryptXXX duży rozmiar. Odszyfrowywanie będzie dostępne tylko dla plików o takim samym lub mniejszym rozmiarze.
2. Poczekaj do zakończenia wyszukiwania i odszyfrowywania zaszyfrowanych plików.
3. W razie potrzeby uruchom ponownie komputer.
4. po zamknięciu-<оригинальное_имя>.<4 произвольных буквы>Aby usunąć kopię zaszyfrowanych plików typu udanego odszyfrowania, wybierz .

Jeśli plik został zaszyfrowany przez Trojan-Ransom.Win32.Cryakl, narzędzie zapisze plik w jego starej lokalizacji z rozszerzeniem .decryptedKLR.original_extension. Jeśli wybrałeś Usuń zaszyfrowane pliki po pomyślnym odszyfrowaniu, odszyfrowany plik zostanie zapisany przez narzędzie z oryginalną nazwą.

1. Domyślnie narzędzie wysyła raport operacji do katalogu głównego dysk systemowy(dysk, na którym jest zainstalowany system operacyjny).

   Nazwa raportu jest następująca: UtilityName.Version_Date_Time_log.txt

   Na przykład C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

W systemie zainfekowanym Trojan-Ransom.Win32.CryptXXX narzędzie skanuje Limitowana ilość formaty plików. Gdy użytkownik wybierze plik, na który ma wpływ CryptXXX v2, odzyskanie klucza może zająć dużo czasu. W takim przypadku narzędzie wyświetla ostrzeżenie.

Ransomware szyfrujące stało się ostatnio jednym z głównych zagrożeń i codziennie dowiadujemy się o nowych atakach, nowych wirusach ransomware lub ich wersjach oraz niestety o ofiarach, od których cyberprzestępcy żądają okupu w celu odzyskania dostępu do zaszyfrowanych danych. Dlatego Kaspersky Lab w komponencie System Watcher (Monitorowanie aktywności) najnowszych produktów zawierał specjalny podsystem do zwalczania złośliwego oprogramowania szyfrującego programy Kaspersky'ego Podsystem przeciwdziałania złośliwemu oprogramowaniu kryptograficznemu. Dzięki zestawowi unikalnych technologii, na Łotwie i na całym świecie wśród użytkowników najnowszych produktów firmy Kaspersky którzy prawidłowo wykorzystali możliwości oferowane przez produkty, praktycznie nie ma ofiar ataków ransomware szyfrujących! I to nie jest magia ani spisek, jak czasami twierdzą nawet eksperci, widząc, jak w przeciwieństwie do użytkowników innych antywirusów, fani produktów firmy Kaspersky pozostają nietknięci w atakach wirusów szyfrujących ransomware. Są to po prostu technologie wymyślone i wdrożone przez twórców Kaspersky Lab!

Jakie produkty obejmują moduł Kontrola systemu i podsystem Kaspersky Cryptomalware Countermeasures Subsystem?

Zawiera specjalne technologie do zwalczania wirusów szyfrujących ransomware aktualne wersje następujące produkty do sali operacyjnej wymienione poniżej systemy Windows lub ich komponent dla systemu Windows.

Produkty dla małych firm:
Produkty bezpieczeństwa korporacyjnego:

* Wszystkie produkty Dostępna 30-dniowa bezpłatna, w pełni funkcjonalna wersja próbna z lokalnym wsparciem technicznym. Aby spróbować i zainstalować, jak również.

Jak działa Kontrola systemu i podsystem Kaspersky Cryptomalware Countermeasures Subsystem?

Kaspersky Lab przetwarza średnio 315 000 nowych próbek szkodliwego oprogramowania dziennie. Przy tak dużym napływie nowego złośliwego oprogramowania firmy antywirusowe bardzo często chronią użytkowników przed atakami złośliwego oprogramowania, o których nie są jeszcze świadomi. Analogicznie do świata rzeczywistego byłoby to to samo, co identyfikacja przestępcy przed uzyskaniem jego odcisków palców, fotografii i innych danych. Jak to zrobić? Obserwacja i analiza zachowania. To jest dokładnie to, co moduł o nazwie Kontrola systemu (Monitorowanie aktywności), który jest wbudowany w najnowsze produkty firmy Kaspersky Lab, stale monitoruje system komputerowy i robi to.

Kontrola systemu monitoruje procesy zachodzące w systemie i wykrywa złośliwe działania za pomocą sygnatur Behavior Stream Signatures (BSS), dzięki czemu pozwala zidentyfikować i zatrzymać działanie zupełnie nowego i nieznanego złośliwego oprogramowania na podstawie ich zachowania. Ale to nie wszystko. Dopóki staje się jasne, że jakiś program jest złośliwy, może mieć czas, aby coś zrobić. Dlatego kolejną funkcją Kontroli systemu jest możliwość cofnięcia zmian w systemie dokonanych przez złośliwe oprogramowanie.

Aby cofnąć zmiany wprowadzone przez nowe szyfrujące szkodliwe oprogramowanie, specjaliści z Kaspersky Lab dodali podsystem Kaspersky Cryptomalware Countermeasures do komponentu Kontrola systemu, który tworzy kopie zapasowe pliki, jeśli zostaną otwarte przez podejrzany program, a następnie w razie potrzeby przywraca je z zapisanych kopii. Zatem nawet jeśli wirus szyfrujący jest nowy, to znaczy antywirus nie ma swoich „odcisków palców” i nie jest identyfikowany przez inne mechanizmy, Kontrola systemu wykrywa go po jego zachowaniu i korzystając ze wspomnianego już podsystemu zwraca system komputerowy ze stanem sprzed ataku złośliwego oprogramowania.

Rozpoznanie nieznanego szkodliwego oprogramowania szyfrującego po jego zachowaniu, zatrzymanie jego działania i cofnięcie wprowadzonych przez nie zmian (zastąpienie zaszyfrowanych plików niezaszyfrowanymi kopiami) można zobaczyć na poniższym filmie demonstracyjnym.

W tym miejscu należy wyjaśnić, że dla każdego konkretnego użytkownika sytuacje, w których konieczne jest użycie podsystemu Kaspersky Cryptomalware Countermeasures, mogą wystąpić niezwykle rzadko, ponieważ informacje o każdym incydencie z nieznanym szkodliwym oprogramowaniem w ciągu kilku sekund trafiają do chmury Kaspersky Security Network i inni użytkownicy rozwiązań firmy Kaspersky od tej chwili są już zarezerwowani nowe zagrożenie system wczesnego wykrywania. Oznacza to, że wszelkie dalsze próby zainfekowania komputerów użytkowników Kaspersky zostaną zablokowane przez wczesną sygnaturę. To właśnie działanie tak unikalnych mechanizmów tłumaczy fakt, że na Łotwie praktycznie nie było ofiar wśród użytkowników najnowszych produktów firmy Kaspersky, ponieważ działa to jak globalny system odpornościowy dla wszystkich 400 milionów użytkowników firmy Kaspersky na całym świecie!

Aby uzyskać więcej informacji na temat Kontroli systemu i podsystemu Kaspersky Cryptomalware Countermeasures Subsystem, odwiedź stronę język angielski można znaleźć w dokumentach PDF:

Co jeszcze warto wiedzieć o Kontroli systemu i podsystemie Kaspersky Cryptomalware Countermeasures Subsystem?

Kontrola systemu i wraz z nią automatycznie Kaspersky Cryptomalware Countermeasures Subsystem zgodnie z początkowymi ustawieniami producenta są domyślnie włączone. Po zainstalowaniu produktów użytkownik nie musi wykonywać żadnych dodatkowych czynności, aby móc korzystać z wyżej opisanych technologii.

Należy szczególnie zauważyć, że Kontrola systemu nie jest zawarta w Produkt firmy Kaspersky Antywirus dla Windowsa Stacja robocza 6.0 (wydana w 2007 r.), która jest nadal sporadycznie używana. Zachęcamy użytkowników tego produktu do skorzystania z bezpłatnej aktualizacji do nowszej wersji Kaspersky Endpoint Security for Windows. Legalni użytkownicy mogą pobierać i instalować najnowsze wersje produkty za darmo, na przykład z sekcji „ ” tej witryny.