Kaspersky dešifrovanie. Obnovenie súborov po víruse ransomware. Pomocou špeciálnych nástrojov

Asi pred týždňom či dvomi sa na sieti objavil ďalší diel moderných tvorcov vírusov, ktorý šifruje všetky používateľské súbory. Opäť zvážim otázku, ako vyliečiť počítač po víruse ransomware zašifrované000007 a obnoviť zašifrované súbory. V tomto prípade sa neobjavilo nič nové a jedinečné, iba modifikácia predchádzajúcej verzie.

Zaručené dešifrovanie súborov po víruse ransomware - dr-shifro.ru. Podrobnosti o práci a schéma interakcie so zákazníkom sú uvedené nižšie v mojom článku alebo na webovej stránke v časti „Postup práce“.

Popis vírusu ransomware CRYPTED000007

Šifrovač CRYPTED000007 sa od svojich predchodcov zásadne nelíši. Funguje to takmer jeden k druhému. Ale stále existuje niekoľko nuancií, ktoré ho odlišujú. Poviem vám o všetkom v poriadku.

Prichádza, rovnako ako jeho kolegovia, poštou. Techniky sociálneho inžinierstva sa používajú na to, aby sa používateľ začal zaujímať o list a otvoril ho. V mojom prípade bol list o nejakom súde a o dôležitá informácia na prípade v prílohe. Po spustení prílohy používateľ otvorí dokument programu Word s výpisom z moskovského arbitrážneho súdu.

Súbežne s otvorením dokumentu sa spustí šifrovanie súboru. Začne neustále vyskakovať informačnú správu zo systému Windows User Account Control.

Ak s návrhom súhlasíte, zálohujte si kópie súborov v tieni kópie systému Windows budú vymazané a obnova informácií bude veľmi náročná. Je zrejmé, že v žiadnom prípade nemožno s návrhom súhlasiť. V tomto ransomvéri tieto požiadavky neustále vyskakujú, jedna po druhej, a nezastavia sa, čo núti používateľa súhlasiť a vymazať zálohy. Toto je hlavný rozdiel oproti predchádzajúcim modifikáciám ransomvéru. Nikdy som nevidel, že by žiadosti o vymazanie tieňovej kópie prebiehali nepretržite. Väčšinou po 5-10 vetách prestali.

Dám vám odporúčanie do budúcna. Ľudia veľmi často vypínajú upozornenia zo systému kontroly používateľských účtov. Nemusíte to robiť. Tento mechanizmus môže skutočne pomôcť pri odolnosti proti vírusom. Druhá zrejmá rada je nepracujte neustále pod účtu správcu počítača, ak to nie je objektívne potrebné. V tomto prípade vírus nebude mať príležitosť spôsobiť veľa škody. S väčšou pravdepodobnosťou mu budete odolávať.

Ale aj keď ste na žiadosti o ransomvér odpovedali negatívne, všetky vaše údaje sú už zašifrované. Po dokončení procesu šifrovania sa na pracovnej ploche zobrazí obrázok.

Zároveň toho bude veľa textové súbory s rovnakým obsahom.

Vaše súbory boli zašifrované. Ak chcete dešifrovať ux, musíte opraviť kód: 329D54752553ED978F94|0 na e-mailovú adresu [chránený e-mailom]. Potom dostanete všetky potrebné pokyny. Pokusy rozlúštiť to sami k ničomu nepovedú, okrem nenávratného množstva informácií. Ak to stále chcete skúsiť, urobte si vopred záložné kópie súborov, inak v prípade zmien ux nebude dešifrovanie za žiadnych okolností možné. Ak ste nedostali odpoveď na vyššie uvedenú adresu do 48 hodín (a iba v tomto prípade!), použite prosím formulár spätnej väzby. Môžete to urobiť dvoma spôsobmi: 1) Stiahnite si a nainštalujte Prehliadač Tor na odkaze: https://www.torproject.org/download/download-easy.html.en Zadajte adresu: http://cryptsen7fo43rr6.onion/ do poľa adresy prehliadača Tor a stlačte kláves Enter. Načíta sa stránka s kontaktným formulárom. 2) V ľubovoľnom prehliadači prejdite na jednu z adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Všetky dôležité súbory vo vašom počítači boli zašifrované. Na dešifrovanie súborov by ste mali poslať nasledujúci kód: 329D54752553ED978F94|0 na e-mailovú adresu [chránený e-mailom]. Potom dostanete všetky potrebné pokyny. Všetky vaše pokusy o dešifrovanie povedú iba k neodvolateľnej strate vašich údajov. Ak sa ich stále chcete pokúsiť dešifrovať sami, urobte si najskôr zálohu, pretože dešifrovanie nebude možné v prípade akýchkoľvek zmien v súboroch. Ak ste nedostali odpoveď z vyššie uvedeného e-mailu dlhšie ako 48 hodín (a iba v tomto prípade!), použite formulár spätnej väzby. Môžeš urobte to dvoma spôsobmi: 1) Stiahnite si Tor Browser odtiaľto: https://www.torproject.org/download/download-easy.html.en Nainštalujte ho a do panela s adresou zadajte nasledujúcu adresu: http://cryptsen7fo43rr6 .onion/ Stlačte Enter a následne sa načíta stránka s formulárom spätnej väzby. 2) V ľubovoľnom prehliadači prejdite na jednu z nasledujúcich adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Mailová adresa sa môže zmeniť. Videl som aj iné adresy, ako je táto:

Adresy sa neustále aktualizujú, takže môžu byť úplne odlišné.

Akonáhle zistíte, že súbory sú zašifrované, okamžite vypnite počítač. Toto je potrebné urobiť, aby ste prerušili proces šifrovania ako je uvedené vyššie lokálny počítač a na sieťových diskoch. Vírus ransomware dokáže zašifrovať všetky informácie, ku ktorým sa dostane, a to aj na sieťových diskoch. Ale ak existuje veľké množstvo informácií, potom mu to zaberie značné množstvo času. Niekedy ani za pár hodín ransomvér nestihol zašifrovať všetko na sieťovom disku s objemom približne 100 gigabajtov.

Ďalej si musíte dobre premyslieť, ako konať. Ak v každom prípade potrebujete informácie vo svojom počítači a nemáte ich zálohy, potom je v tejto chvíli lepšie obrátiť sa na špecialistov. Nie nevyhnutne za peniaze v niektorých firmách. Potrebujete len človeka, ktorý sa v tom dobre vyzná informačné systémy. Je potrebné posúdiť rozsah katastrofy, odstrániť vírus, zhromaždiť všetky dostupné informácie o situácii, aby sme pochopili, ako postupovať.

Nesprávne akcie v tejto fáze môžu výrazne skomplikovať proces dešifrovania alebo obnovy súborov. Prinajhoršom to dokážu znemožniť. Neponáhľajte sa preto, buďte opatrní a dôslední.

Ako vírus CRYPTED000007 ransomware šifruje súbory

Po spustení vírusu a ukončení činnosti budú všetky užitočné súbory zašifrované, premenované z rozšírenie.crypted000007. A nahradí sa nielen prípona súboru, ale aj názov súboru, takže ak si nepamätáte, nebudete presne vedieť, aké súbory ste mali. Bude tam niečo ako tento obrázok.

V takejto situácii bude ťažké posúdiť rozsah tragédie, pretože si nebudete môcť úplne spomenúť, čo ste mali rôzne priečinky. Toto bolo urobené zámerne, aby zmiatlo osobu a povzbudilo ju, aby zaplatila za dešifrovanie súborov.

A ak ste mali šifrované sieťové priečinky a žiadne úplné zálohy, potom to môže vo všeobecnosti zastaviť prácu celej organizácie. Okamžite nepochopíte, čo sa nakoniec stratí, aby ste mohli začať s obnovou.

Ako ošetriť počítač a odstrániť ransomvér CRYPTED000007

Vírus CRYPTED000007 je už vo vašom počítači. Prvý a väčšina hlavná otázka- ako vyliečiť počítač a ako z neho odstrániť vírus, aby sa zabránilo ďalšiemu šifrovaniu, ak ešte nebolo dokončené. Okamžite vás upozorňujem na skutočnosť, že keď sami začnete vykonávať nejaké akcie s počítačom, šanca na dešifrovanie údajov sa zníži. Ak potrebujete obnoviť súbory všetkými prostriedkami, nedotýkajte sa počítača, ale okamžite kontaktujte odborníkov. Nižšie o nich budem hovoriť a dám odkaz na stránku a opíšem schému ich práce.

Medzitým budeme pokračovať v nezávislej liečbe počítača a odstraňovaní vírusu. Tradične sa ransomvér ľahko odstráni z počítača, pretože vírus nemá za úlohu zostať v počítači za každú cenu. Po úplnom zašifrovaní súborov je pre neho ešte výhodnejšie sa vymazať a zmiznúť, takže by bolo ťažšie vyšetriť incident a dešifrovať súbory.

Popísať manuálne odstránenie vírusu je ťažké, aj keď som sa o to už predtým pokúšal, ale vidím, že väčšinou je to zbytočné. Názvy súborov a cesty umiestňovania vírusov sa neustále menia. To, čo som videl, už o týždeň alebo dva nie je aktuálne. Vírusy sa zvyčajne posielajú poštou vo vlnách a zakaždým sa objaví nová modifikácia, ktorú antivírusy ešte nerozpoznali. Univerzálne nástroje pomáhajú pri kontrole a detekcii automatického spustenia podozrivá aktivita v systémových priečinkoch.

Na odstránenie vírusu CRYPTED000007 môžete použiť nasledujúce programy:

  1. Kaspersky vírus Nástroj na odstránenie- nástroj od spoločnosti Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - podobný produkt z iného webu http://free.drweb.ru/cureit .
  3. Ak prvé dva nástroje nepomáhajú, skúste MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

S najväčšou pravdepodobnosťou jeden z týchto produktov vyčistí počítač od ransomvéru CRYPTED000007. Ak sa zrazu stane, že nepomáhajú, skúste vírus odstrániť manuálne. Techniku ​​odstraňovania som uviedol ako príklad a môžete ju tam vidieť. V skratke, čo musíte urobiť:

  1. Pozeráme sa na zoznam procesov a predtým sme do správcu úloh pridali niekoľko ďalších stĺpcov.
  2. Nájdeme proces vírusu, otvoríme priečinok, v ktorom sa nachádza, a odstránime ho.
  3. Zmienku o vírusovom procese vyčistíme podľa názvu súboru v registri.
  4. Reštartujeme a uistíme sa, že vírus CRYPTED000007 nie je v zozname spustených procesov.

Kde stiahnuť decryptor CRYPTED000007

Otázka jednoduchého a spoľahlivého decryptora vyvstáva v prvom rade, keď ide o vírus ransomware. Prvá vec, ktorú odporúčam, je použiť službu https://www.nomoreransom.org. Čo ak budete mať šťastie, budú mať dešifrovač pre vašu verziu šifrovača CRYPTED000007. Hneď poviem, že nemáte veľa šancí, ale pokus nie je mučenie. Na domovskej stránke kliknite na tlačidlo Áno:

Potom nahrajte niekoľko zašifrovaných súborov a kliknite na tlačidlo Prejsť! zistiť:

V čase písania tohto článku sa dekodér na stránke nenachádzal.

Možno budete mať viac šťastia. Zoznam decryptorov na stiahnutie si môžete pozrieť aj na samostatnej stránke - https://www.nomoreransom.org/decryption-tools.html . Možno je tam niečo užitočné. Keď je vírus veľmi čerstvý, je to malá šanca, ale časom sa môže niečo objaviť. Existujú príklady, keď sa v sieti objavili dešifrovače pre niektoré úpravy ransomvéru. A tieto príklady sú na uvedenej stránke.

Kde inde nájdem dekodér, neviem. Je nepravdepodobné, že bude skutočne existovať, berúc do úvahy zvláštnosti práce moderného ransomvéru. Plnohodnotný dekodér môžu mať len autori vírusu.

Ako dešifrovať a obnoviť súbory po víruse CRYPTED000007

Čo robiť, keď vírus CRYPTED000007 zašifroval vaše súbory? Technická implementácia šifrovania neumožňuje dešifrovanie súborov bez kľúča alebo dešifrovača, ktorý má iba autor šifrovača. Možno existuje nejaký iný spôsob, ako to získať, ale nemám takéto informácie. Súbory sa môžeme pokúsiť obnoviť iba pomocou improvizovaných metód. Tie obsahujú:

  • Nástroj tieňové kópie okná.
  • Programy na obnovu zmazaných údajov

Najprv skontrolujeme, či máme povolené tieňové kópie. Tento nástroj funguje predvolene v systéme Windows 7 a novšom, pokiaľ ho manuálne nezakážete. Ak chcete skontrolovať, otvorte vlastnosti počítača a prejdite do časti Ochrana systému.

Ak ste počas infekcie nepotvrdili požiadavku UAC na odstránenie súborov v tieňových kópiách, niektoré údaje by tam mali zostať. Podrobnejšie som o tejto požiadavke hovoril na začiatku príbehu, keď som hovoril o pôsobení vírusu.

Pre pohodlné obnovenie súborov z tieňových kópií navrhujem použiť bezplatný program - ShadowExplorer. Stiahnite si archív, rozbaľte program a spustite.

Otvorí sa posledná kópia súborov a koreňový adresár jednotky C. V ľavom hornom rohu si môžete vybrať zálohu, ak máte viac ako jednu. Skontrolujte rôzne kópie požadované súbory. Porovnajte podľa dátumov, kde je viac čerstvá verzia. V mojom príklade nižšie som na pracovnej ploche našiel 2 súbory, ktoré boli tri mesiace staré, keď boli naposledy upravované.

Podarilo sa mi obnoviť tieto súbory. Aby som to urobil, vybral som ich, klikol kliknite pravým tlačidlom myši myšou, vybrali Exportovať a označili priečinok, kde ich chcete obnoviť.

Rovnakým spôsobom môžete okamžite obnoviť priečinky. Ak vám tieňové kópie fungovali a neodstránili ste ich, máte pomerne veľkú šancu obnoviť všetky alebo takmer všetky súbory zašifrované vírusom. Možno niektorých z nich bude viac stará verzia ako by som chcel, ale napriek tomu je to lepšie ako nič.

Ak z nejakého dôvodu nemáte tieňové kópie súborov, jedinou šancou získať aspoň niektoré zo zašifrovaných súborov je obnoviť ich pomocou nástrojov na obnovenie odstránené súbory. Na tento účel navrhujem použiť bezplatný program Photorec.

Spustite program a vyberte disk, na ktorom budete obnovovať súbory. Spustenie grafickej verzie programu spustí súbor qphotorec_win.exe. Musíte vybrať priečinok, do ktorého budú umiestnené nájdené súbory. Je lepšie, ak sa tento priečinok nenachádza na rovnakom disku, na ktorom hľadáme. Pripojte flash disk alebo externý HDD pre to.

Proces vyhľadávania bude trvať dlho. Na konci uvidíte štatistiky. Teraz môžete prejsť do predtým určeného priečinka a zistiť, čo sa tam nachádza. S najväčšou pravdepodobnosťou bude veľa súborov a väčšina z nich bude buď poškodená, alebo to budú nejaké systémové a zbytočné súbory. V tomto zozname však bude možné nájsť niekoľko užitočných súborov. Tu neexistujú žiadne záruky, čo nájdete, to nájdete. Najlepšie zo všetkého je, že obrázky sa zvyčajne obnovia.

Ak vás výsledok neuspokojí, stále existujú programy na obnovenie odstránených súborov. Nižšie je uvedený zoznam programov, ktoré zvyčajne používam, keď potrebujem obnoviť maximálny počet súborov:

  • R.saver
  • Obnova súboru Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Tieto programy nie sú zadarmo, preto nebudem poskytovať odkazy. So silnou túžbou si ich môžete nájsť sami na internete.

Celý proces obnovy súboru je podrobne zobrazený vo videu na samom konci článku.

Kaspersky, eset nod32 a ďalší v boji proti ransomvéru Filecoder.ED

Populárne antivírusy definujú ransomvér CRYPTED000007 ako Filecoder.ED a potom môže byť nejaké iné označenie. Prešiel som fóra hlavných antivírusov a nevidel som tam nič užitočné. Bohužiaľ, ako to už býva, antivírusy neboli pripravené na inváziu novej vlny ransomvéru. Tu je správa z fóra Kaspersky.

Antivírusy tradične vynechávajú nové modifikácie ransomvérových trójskych koní. Odporúčam ich však používať. Ak budete mať šťastie a ransomvér vám príde poštou nie v prvej vlne infekcií, ale o niečo neskôr, existuje šanca, že vám antivírus pomôže. Všetci pracujú jeden krok za útočníkmi. vychádzanie novú verziu ransomware, antivírusy naň nereagujú. Akonáhle sa nahromadí určitá masa materiálu na výskum nového vírusu, antivírusy vydajú aktualizáciu a začnú na ňu reagovať.

Čo bráni antivírusom okamžite reagovať na akýkoľvek proces šifrovania v systéme, mi nie je jasné. Možno existuje nejaká technická nuansa v tejto téme, ktorá vám neumožňuje primerane reagovať a zabrániť šifrovaniu používateľských súborov. Zdá sa mi, že by bolo možné aspoň zobraziť varovanie o tom, že niekto šifruje vaše súbory, a ponúknuť zastavenie procesu.

Kde požiadať o zaručené dešifrovanie

Náhodou som sa stretol s jednou spoločnosťou, ktorá skutočne dešifruje dáta po práci rôznych šifrovacích vírusov, vrátane CRYPTED000007. Ich adresa je http://www.dr-shifro.ru. Platba až po úplnom dešifrovaní a vašom overení. Tu je príklad pracovného postupu:

  1. Špecialista spoločnosti príde do vašej kancelárie alebo domov a podpíše s vami zmluvu, v ktorej stanoví cenu práce.
  2. Spustí decryptor a dešifruje všetky súbory.
  3. Uistite sa, že sú otvorené všetky súbory a podpisujete akt doručenia / prevzatia vykonanej práce.
  4. Platba až po úspešnom výsledku dešifrovania.

Úprimne povedané, neviem, ako to robia, ale nič neriskujete. Platba až po predvedení dekodéra. Napíšte recenziu o svojich skúsenostiach s touto spoločnosťou.

Spôsoby ochrany pred vírusom CRYPTED000007

Ako sa chrániť pred prácou ransomvéru a zaobísť sa bez materiálnych a morálnych škôd? Existuje niekoľko jednoduchých a účinných tipov:

  1. Zálohujte! Zálohovanie všetkých dôležitých údajov. A nielen záloha, ale záloha, ku ktorej nie je trvalý prístup. V opačnom prípade môže vírus infikovať vaše dokumenty aj zálohy.
  2. Licencovaný antivírus. Neposkytujú síce 100% záruku, ale zvyšujú šancu vyhnúť sa šifrovaniu. Najčastejšie nie sú pripravené na nové verzie ransomvéru, ale po 3-4 dňoch začnú reagovať. To zvyšuje vaše šance vyhnúť sa infekcii, ak nie ste súčasťou prvej vlny rozosielania novej modifikácie ransomvéru.
  3. Neotvárajte podozrivé prílohy v pošte. Tu nie je čo komentovať. Všetci mne známi kryptografi sa k používateľom dostali cez poštu. A zakaždým sa vymyslia nové triky na oklamanie obete.
  4. Neotvárajte bezhlavo odkazy, ktoré vám poslali vaši priatelia cez sociálne siete alebo poslovia. Takto sa niekedy šíria vírusy.
  5. Odovzdajte sa zobrazenie okien prípony súborov. Ako to urobiť, je ľahké nájsť na internete. To vám umožní všimnúť si príponu súboru na víruse. Najčastejšie to bude .exe, .vbs, .src. Pri každodennej práci s dokumentmi sa s takýmito príponami súborov pravdepodobne nestretnete.

Snažil som sa doplniť to, čo som už napísal skôr v každom článku o víruse ransomware. Dovtedy sa lúčim. Budem rád, ak dostanem užitočné komentáre k článku a všeobecne k šifrovaciemu vírusu CRYPTED000007.

Video s dešifrovaním a obnovou súborov

Tu je príklad predchádzajúcej modifikácie vírusu, ale video je plne relevantné aj pre CRYPTED000007.

Ak má počítač textová správa, ktorý hovorí, že vaše súbory sú šifrované, potom sa neponáhľajte s panikou. Aké sú príznaky šifrovania súborov? Obvyklá prípona sa zmení na *.vault, *.xtbl, * [chránený e-mailom] _XO101 atď. Súbory sa nedajú otvoriť - je potrebný kľúč, ktorý je možné zakúpiť zaslaním listu na adresu uvedenú v správe.

Odkiaľ ste získali zašifrované súbory?

Počítač zachytil vírus, ktorý blokoval prístup k informáciám. Antivírusy ich často preskočia, pretože tento program je zvyčajne založený na nejakom neškodnom bezplatná pomôckašifrovanie. Samotný vírus odstránite dostatočne rýchlo, ale s dešifrovaním informácií môžu vzniknúť vážne problémy.

Technická podpora Kaspersky Lab, Dr.Web a ďalších známych spoločností zapojených do vývoja antivírusového softvéru v reakcii na požiadavky používateľov na dešifrovanie údajov uvádza, že to nie je možné urobiť v primeranom čase. Existuje niekoľko programov, ktoré dokážu zachytiť kód, ale môžu pracovať iba s predtým študovanými vírusmi. Ak čelíte novej úprave, potom sú šance na obnovenie prístupu k informáciám extrémne malé.

Ako sa ransomvérový vírus dostane do počítača?

V 90% prípadov samotní používatelia aktivujú vírus v počítači otváraním neznámych e-mailov. Potom príde e-mail s provokatívnym predmetom – „Predvolanie na súd“, „Dlh z pôžičky“, „Oznámenie daňového inšpektorátu“ atď. Vo vnútri falošného emailu sa nachádza príloha, po stiahnutí ktorej sa ransomvér dostane do počítača a začne postupne blokovať prístup k súborom.

Šifrovanie neprebehne okamžite, takže používatelia majú čas na odstránenie vírusu skôr, ako sú všetky informácie zašifrované. Škodlivý skript môžete zničiť pomocou čistiacich nástrojov Dr.Web CureIt, Kaspersky internetová bezpečnosť a Malwarebytes Antimalware.

Spôsoby obnovenia súborov

Ak bola v počítači povolená ochrana systému, potom aj po pôsobení vírusu ransomware existuje šanca na obnovenie súborov do normálneho stavu pomocou tieňových kópií súborov. Ransomware sa ich zvyčajne pokúša odstrániť, ale niekedy sa im to nepodarí z dôvodu nedostatku oprávnení správcu.

Obnovenie predchádzajúcej verzie:

Ak chcete zachovať predchádzajúce verzie, musí byť povolená ochrana systému.

Dôležité: Pred objavením sa ransomvéru musí byť povolená ochrana systému, potom už to nepomôže.

  1. Otvorte vlastnosti "Počítač".
  2. V ponuke vľavo vyberte položku „Ochrana systému“.
  3. Zvýraznite jednotku C a kliknite na „Konfigurovať“.
  4. Vyberte nastavenia obnovenia a predchádzajúce verzie súbory. Zmeny použite kliknutím na tlačidlo OK.

Ak ste tieto opatrenia vykonali pred objavením sa vírusu, ktorý šifruje súbory, potom po vyčistení počítača škodlivý kód budete mať veľkú šancu na obnovenie informácií.

Pomocou špeciálnych nástrojov

Spoločnosť Kaspersky Lab pripravila niekoľko nástrojov, ktoré vám pomôžu otvoriť šifrované súbory po odstránení vírusu. Prvý decryptor, ktorý stojí za vyskúšanie, je Kaspersky RectorDecryptor.

  1. Stiahnite si aplikáciu z oficiálnej webovej stránky spoločnosti Kaspersky Lab.
  2. Potom spustite obslužný program a kliknite na „Spustiť skenovanie“. Zadajte cestu k akémukoľvek šifrovanému súboru.

Ak malvér nezmenil príponu súborov, na ich dešifrovanie ich musíte zhromaždiť v samostatnom priečinku. Ak je nástrojom RectorDecryptor, stiahnite si ďalšie dva programy z oficiálnej webovej stránky Kaspersky - XoristDecryptor a RakhniDecryptor.

Najnovší nástroj od spoločnosti Kaspersky Lab sa nazýva Ransomware Decryptor. Pomáha dešifrovať súbory po víruse CoinVault, ktorý sa zatiaľ v RuNet veľmi nevyskytuje, ale čoskoro môže nahradiť iné trójske kone.

Tento text vás môže niekde zachrániť $300 . Približne túto sumu bude požadovať ako výkupné priemerný ransomvérový trójsky kôň. A v „rukojemníkoch“ bude mať vaše osobné fotografie, dokumenty a ďalšie súbory z infikovaného počítača.

Chytiť takúto infekciu je veľmi jednoduché. Aby ste to dosiahli, nie je vôbec potrebné liezť hodiny na pochybné porno stránky alebo otvárať všetky súbory v rade z priečinka Spam. Aj bez toho, aby ste na internete urobili čokoľvek odsúdeniahodné, ste stále v ohrození. Ako? Pokračuj v čítaní.

Čo sú ransomware vírusy?

Ide o škodlivé programy, ktoré vyžadujú výkupné na obnovenie zdravia počítača alebo smartfónu. Delia sa na dva typy.

Prvá skupina týchto programov šifruje súbory, takže ich nemožno použiť, kým nebudú dešifrované. A za dešifrovanie požadujú peniaze. Tieto ransomware sa nazývajú kryptografov(cryptor, crypto ransomware) – a tie sú najnebezpečnejšie.

Ďalšia skupina malvéru - blokátory(blokátor) - jednoducho blokuje bežnú prevádzku počítača alebo smartfónu. Zvyčajne je ľahšie sa ich zbaviť.

Koľko peňazí požadujú kryptografi ako výkupné?

Líši sa, ale 300 dolárov je suma, ktorú bude priemerný trójsky kôň šifrovať ako výkupné. Existujú „skromní“ vydierači, ktorým stačí aj 30 dolárov. A stáva sa, že suma sa meria v desiatkach tisíc dolárov. Od firiem a iných bohatých klientov sa zvyčajne požaduje veľké výkupné – často sú infikovaní cielene, v „manuálnom režime“.

Môžem dešifrovať infikované súbory bez výkupného?

Niekedy áno, ale nie vždy. Väčšina moderného ransomvéru používa silné kryptografické algoritmy. To znamená, že dešifrovaním sa dá neúspešne zaoberať aj mnoho rokov.

Útočníci niekedy robia chyby pri implementácii šifrovania alebo sa orgánom činným v trestnom konaní podarí zmocniť sa serverov zločincov s kryptografickými kľúčmi. V tomto prípade môžu odborníci vytvoriť pomôcku na dešifrovanie.

Ako sa platí výkupné?

Zvyčajne s pomocou kryptomeny – bitcoinov. Toto je taká prefíkaná elektronická hotovosť, ktorá sa nedá falšovať. História transakcií je viditeľná pre každého, ale je veľmi ťažké sledovať, kto je vlastníkom peňaženky. Práve kvôli tomu útočníci uprednostňujú bitcoiny. Menšia šanca na prichytenie políciou.

Niektorý ransomvér používa anonymné online peňaženky alebo dokonca platby na číslo mobilný telefón. Najextravagantnejšia metóda v našej pamäti bola, keď útočníci prijali výkupné výlučne pomocou kariet iTunes v nominálnej hodnote 50 dolárov.

Ako sa môže ransomvér dostať do môjho počítača?

Najbežnejší spôsob je cez email. Ransomware zvyčajne predstiera, že ide o nejakú užitočnú investíciu – urgentný účet za platbu, zaujímavý článok alebo bezplatný program. Otvorením takejto prílohy spustíte do svojho počítača malvér.

Ransomware môžete chytiť jednoduchým prehliadaním internetu bez toho, aby ste spustili akékoľvek súbory. Ransomware používa chyby na prevzatie kontroly nad systémom operačný systém, prehliadač alebo iný program nainštalovaný v počítači. Preto je veľmi dôležité nezabudnúť nainštalovať aktualizácie softvéru a operačného systému (mimochodom, táto úloha môže byť zverená spoločnostiam Kaspersky Internet Security alebo Kaspersky Total Security - najnovšie verzie môže to urobiť automaticky).

Niektoré ransomware sa môžu šíriť pomocou lokálnej siete. Akonáhle sa takýto trójsky kôň dostane na jeden počítač, pokúsi sa infikovať všetky ostatné stroje vo vašom domácej siete alebo lokálna sieť organizácií. Ale toto je dosť exotická možnosť.

Samozrejme, existujú triviálne scenáre infekcie. Stiahol som torrent, spustil súbor ... a je to, dorazili sme.

Na aké súbory by ste si mali dávať pozor?

Druhou kategóriou zvýšeného nebezpečenstva sú dokumenty MS Office (DOC, DOCX, XLS, XLSX, PPT a podobne). Nebezpečenstvom v nich sú vstavané programy napísané pomocou makier MS Office. Ak sa pri otváraní kancelárskeho súboru zobrazí výzva na povolenie vykonávania makropríkazov, trikrát si rozmyslite, či sa to oplatí urobiť.

Nebezpečné sú aj súbory štítkov (prípona LNK). Windows ich dokáže zobraziť s akoukoľvek ikonou, čo vás v kombinácii s „bezpečne“ vyzerajúcim názvom upokojí.

Dôležitý bod: Systém Windows štandardne skrýva prípony typov súborov, ktoré systém pozná. Takže, keď narazíte na súbor s názvom Dôležité_info.txt, neponáhľajte sa naň kliknúť a spoliehajte sa na bezpečnosť textového obsahu: „txt“ môže byť súčasťou názvu, zatiaľ čo prípona súboru môže byť úplne iná.

Ak na nič neklikáte a neleziete na internetové skládky odpadu, nenakazíte sa?

Mám Mac. Neexistujú pre nich vydierači?

Existuje. Napríklad na používateľov počítačov Mac úspešne zaútočil trojan KeRanger ransomware, ktorému sa podarilo preniknúť do oficiálnej zostavy obľúbeného torrent klienta Transmission.

Ako vyliečiť počítač, ak dostanem ransomvér?

Dobre pomáha proti blokujúcim trójskym koňom voľný program Kaspersky Windows Unlocker .

S šifrovačmi sa zaobchádza ťažšie. Najprv musíte odstrániť infekciu - na to je najlepšie použiť antivírus. Ak nemáte platený, môžete si stiahnuť zadarmo. skúšobná verzia s obmedzeným trvaním, na liečbu to bude stačiť.

Ďalším krokom je obnovenie zašifrovaných súborov.

Ak existuje záložná kópia, najjednoduchším spôsobom je obnoviť súbory z nej.

Ak neexistuje žiadna záloha, môžete sa pokúsiť dešifrovať súbory pomocou špeciálne služby- dešifrovače. Všetky bezplatné dešifrovače vytvorené spoločnosťou Kaspersky Lab nájdete na webovej stránke.

Decryptory vyrábajú aj iné antivírusové spoločnosti. Len nesťahujte takéto programy z pochybných stránok - môžete ľahko vyzdvihnúť inú infekciu. Ak neexistuje vhodná pomôcka, potom zostáva jediným spôsobom, ako zaplatiť podvodníkom a získať od nich dešifrovací kľúč. Ale neodporúčame to robiť.

Prečo nezaplatiť výkupné?

Po prvé, neexistujú žiadne záruky, že sa vám súbory vrátia - nemôžete brať slovo kyberzločincov. Napríklad ransomvér Ranscam v zásade neznamená možnosť obnovenia súborov - okamžite ich natrvalo odstráni a potom požaduje výkupné údajne za obnovenie, čo už nie je možné.

Po druhé, nepodporujte kriminálny biznis.

Našiel som správny dešifrovač, ale nepomáha. Čo robiť?

Autori vírusov rýchlo reagujú na objavenie sa dešifrovacích pomôcok vydaním nových verzií malvéru. Je to taká neustála hra na mačku a myš. Takže, bohužiaľ, ani tu neexistujú žiadne záruky. Ale nespíme a neustále aktualizujeme naše nástroje. Navštevujte túto stránku pravidelne a možno pre vás nájdeme liečbu.

Ako zastaviť infekciu ransomware, ak si všimnete hrozbu včas?

Teoreticky môžete počítač včas vypnúť, vybrať z neho pevný disk, vložiť ho do iného počítača a pomocou antivírusu sa ransomvéru zbaviť. V praxi je však veľmi ťažké alebo dokonca nemožné včas si všimnúť výskyt ransomvéru - prakticky sa nijako neprejavia, kým nezašifrujú všetky súbory, o ktoré majú záujem, a až potom zobrazia stránku s výkupným.

A ak urobím zálohy, som v bezpečí?

S najväčšou pravdepodobnosťou áno, ale stále neposkytujú 100% ochranu. Predstavte si situáciu: na babičkinom počítači nastavíte automatické zálohovanie každé tri dni. Do počítača prenikol kryptograf, všetko zašifroval, ale babička nerozumela jeho hrozivým požiadavkám. O týždeň neskôr prídete a ... v zálohách sú iba zašifrované súbory. Vytváranie záloh je však stále veľmi dôležité a potrebné, ale nemali by ste sa tým obmedzovať.

Stačí antivírus, aby ste sa nenakazili?

Vo väčšine prípadov - áno, aj keď antivírusy sú iné. Antivírusové riešenia Kaspersky Lab podľa nezávislých testov (v zásade by sa však malo dôverovať iba nezávislým testom od veľkých renomovaných inštitúcií ), chrániť lepšie ako väčšina ostatných. Žiadny antivírus však nedokáže zablokovať všetky hrozby na 100%.

To do značnej miery závisí od novosti škodlivého softvéru. Ak jeho podpisy ešte neboli pridané do antivírusových databáz, môžete takého trójskeho koňa chytiť iba analyzovaním jeho akcií za behu. Snaží sa ublížiť - tak okamžite zablokujte.

V našich produktoch to robí modul s názvom Activity Monitoring (System Watcher). Ak napríklad zaznamená pokus o hromadné šifrovanie súborov, zablokuje nebezpečný proces a vráti zmeny vykonané v súboroch. V žiadnom prípade by ste túto súčasť nemali deaktivovať.

Okrem toho vám Kaspersky Total Security umožňuje automatizáciu zálohovanie súbory. Aj keď zrazu niečo ide vôbec nie je to tak, dôležité údaje môžete obnoviť zo záloh.

Môžem v počítači nakonfigurovať niečo na ochranu pred vírusom ransomware?

a) Najprv si nainštalujte antivírus. Ale o tom sme už hovorili.

b) V prehliadačoch môžete zakázať vykonávanie skriptov, pretože ich často používajú útočníci. Podrobnosti o tom, ako lepšie nakonfigurovať prehliadače Chrome a Firefox, nájdete na našom blogu.

c) Povoľte zobrazovanie prípon súborov v programe Windows Prieskumník.

d) Windows zvyčajne označuje nebezpečné súbory skriptov VBS a JS ikonou textový dokumentčo mätie neskúsených používateľov. Problém je možné vyriešiť nastavením programu Poznámkový blok ako predvolenej aplikácie pre rozšírenia VBS a JS.

e) V antivíruse môžete povoliť funkciu „Režim“. bezpečné programy“ (režim dôveryhodných aplikácií), ktorý zakazuje inštaláciu a spustenie akýchkoľvek programov, ktoré nie sú zahrnuté v „bielom zozname“. V predvolenom nastavení nie je povolená, pretože jej nastavenie chvíľu trvá. Ide ale o skutočne užitočnú vec, najmä ak používatelia počítača nie sú práve najpokročilejší a hrozí, že náhodou niečo zle spustia.

Video


Kaspersky Anti-Ransomware Tool for Business je navrhnutý tak, aby chránil počítače so systémom Windows pred ransomware.

Existuje trieda trójske kone určené na vymáhanie peňazí od obetí. Nazývajú sa tak – ransomware (v angličtine ransomware). Do tejto triedy patria aj kryptografy, ktoré sa v posledných rokoch rozšírili.

Hrozby vychádzajúce z týchto programov sú zamerané na blokovanie prevádzky počítača alebo šifrovanie údajov uložených na disku, čím sa blokuje prístup k určitým súborom. Potom útočníci požadujú zaplatiť za zrušenie zmien vykonaných takýmto programom v cudzom počítači. To so sebou prináša vážne straty najmä v podnikovom prostredí.

Bezplatný program Kaspersky Anti-Ransomware je kompatibilný s inými antivírusmi a môže byť nástrojom na dodatočnú ochranu pred ransomwarovými trójskymi koňmi a ransomware. A aby bol počítač zapnutý úplná bezpečnosť stojí za to - je to bezplatná aplikácia.

Funkcie nového antivírusu Kaspersky:

  • zadarmo
  • Detekuje ransomvér na úrovni prémiových podnikových riešení.
  • Použité technológie antivírusovej ochrany: súborový antivírus a Monitor aktivity
  • Kompatibilné s antivírusmi tretích strán
  • Podporuje bežné operačné systémy: Windows 7 až 10 (vrátane Anniversary Update)
  • Hlásenia o detekcii sa posielajú e-mailom správcovi

Obmedzenia


Nástroj Anti-Ransomware od spoločnosti Kaspersky používa rôzne metódy na zisťovanie hrozieb na ochranu počítačov. Antivírus identifikuje škodlivé aplikácie analýzou informácií obsiahnutých v antivírusových databázach. Aby bolo možné odhaliť charakteristické správanie ransomvéru, tento nástroj používa dva inovatívne technológie: Monitor aktivity a kaspersky bezpecnost siete.

Kaspersky Security Network vám umožňuje rýchlo reagovať na neznáme hrozby, zatiaľ čo Activity Monitor dokáže zablokovať nebezpečné systémové zmeny a vrátiť ich späť.

Používatelia, ktorí sa podieľajú na prevádzke Kaspersky Security Network, umožňujú spoločnosti Kaspersky Lab rýchlo zhromažďovať údaje o nových zdrojoch hrozieb a vytvárať riešenia na ich neutralizáciu. Kaspersky Security Network - cloudová sieť, ktorej účasť zahŕňa zasielanie štatistík, ktoré tento antivírus zbiera na každom PC, na ktorom beží.

Keď sa zistí hrozba, nástroj Anti-Ransomware Tool ju automaticky zablokuje a pridá do zoznamu blokovaných aplikácií (v rozhraní sa nazývajú Blokované aplikácie). Pred zablokovaním je však ransomvér schopný vykonať niektoré akcie v operačnom systéme (napríklad zmeniť súbory alebo vytvoriť nové alebo vykonať zmeny v registri). Aby bolo možné vrátiť všetky akcie škodlivého programu, Anti-Ransomware uchováva históriu aktivity všetkých aplikácií.

Kaspersky Anti-Ransomware ukladá súbory vytvorené malvérom do svojho úložiska. Odtiaľ ich môžu obnoviť zamestnanci Kaspersky Lab. Ak potrebujete obnoviť súbory z úložiska, môžete získať radu na fóre vývojárov.

Ak je systém infikovaný malvérom z Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, príp. Rodiny Trojan-Ransom. Win32.CryptXXX, všetky súbory v počítači budú šifrované nasledovne:

  • Keď je Trojan-Ransom.Win32.Rannoh infikovaný, názvy a prípony sa zmenia podľa vzoru locked-<оригинальное_имя>.<4 произвольных буквы>.
  • Keď je infikovaný Trojan-Ransom.Win32.Cryakl, na koniec obsahu súborov sa pridá značka (CRYPTENDBLACKDC).
  • Keď je infikovaný Trojan-Ransom.Win32.AutoIt, rozšírenie sa zmení podľa vzoru<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Napríklad, [chránený e-mailom] _.RZWDTDIC.
  • Keď je infikovaný Trojan-Ransom.Win32.CryptXXX, rozšírenie sa zmení podľa šablón<оригинальное_имя>.crypt,<оригинальное_имя>.crypz a<оригинальное_имя>.cryp1.

Nástroj RannohDecryptor je určený na dešifrovanie súborov po infekcii Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan- Ransom.Win32.Cryakl alebo Trojan-Ransom.Win32.CryptXXX verzie 1, 2 a 3.

Ako vyliečiť systém

Na vyliečenie infikovaného systému:

  1. Stiahnite si súbor RannohDecryptor.zip.
  2. Spustite súbor RannohDecryptor.exe na infikovanom počítači.
  3. V hlavnom okne kliknite na Spustite overovanie.
  1. Zadajte cestu k zašifrovanému a nezašifrovanému súboru.
    Ak je súbor zašifrovaný pomocou Trojan-Ransom.Win32.CryptXXX, zadajte súbory Trojan-Ransom.Win32.CryptXXX veľká veľkosť. Dešifrovanie bude dostupné len pre súbory rovnakej alebo menšej veľkosti.
  2. Počkajte na koniec vyhľadávania a dešifrovania zašifrovaných súborov.
  3. V prípade potreby reštartujte počítač.
  4. po zamknutí -<оригинальное_имя>.<4 произвольных буквы>Ak chcete odstrániť kópiu zašifrovaných súborov typu úspešného dešifrovania, vyberte položku .

Ak bol súbor zašifrovaný programom Trojan-Ransom.Win32.Cryakl, pomôcka uloží súbor na jeho staré miesto s príponou .decryptedKLR.original_extension. Ak ste si vybrali Po úspešnom dešifrovaní odstráňte zašifrované súbory, obslužný program uloží dešifrovaný súbor s pôvodným názvom.

  1. V predvolenom nastavení pomocný program odošle správu o operácii do koreňového adresára systémový disk(jednotka, na ktorej je nainštalovaný OS).

    Názov zostavy je nasledovný: UtilityName.Version_Date_Time_log.txt

    Napríklad C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

V systéme infikovanom vírusom Trojan-Ransom.Win32.CryptXXX tento nástroj kontroluje obmedzený počet formátov súborov. Keď používateľ vyberie súbor ovplyvnený CryptXXX v2, obnovenie kľúča môže trvať dlho. V tomto prípade nástroj zobrazí varovanie.