การถอดรหัสของแคสเปอร์สกี้ การกู้คืนไฟล์หลังจากไวรัสแรนซัมแวร์ การใช้ยูทิลิตี้พิเศษ

ประมาณหนึ่งหรือสองสัปดาห์ที่ผ่านมา มีการแฮ็กอีกครั้งจากผู้ผลิตไวรัสสมัยใหม่ปรากฏบนอินเทอร์เน็ต ซึ่งเข้ารหัสไฟล์ทั้งหมดของผู้ใช้ ฉันจะพิจารณาคำถามว่าจะรักษาคอมพิวเตอร์อย่างไรหลังจากไวรัสแรนซัมแวร์อีกครั้ง เข้ารหัส000007และกู้คืนไฟล์ที่เข้ารหัส ในกรณีนี้ไม่มีสิ่งใหม่หรือลักษณะเฉพาะใด ๆ ปรากฏขึ้น เป็นเพียงการปรับเปลี่ยนเวอร์ชันก่อนหน้า

รับประกันการถอดรหัสไฟล์หลังจากไวรัสแรนซัมแวร์ - dr-shifro.ru รายละเอียดของงานและรูปแบบการโต้ตอบกับลูกค้าอยู่ด้านล่างในบทความของฉันหรือบนเว็บไซต์ในส่วน "ขั้นตอนการทำงาน"

คำอธิบายของไวรัส CRYPTED000007 ransomware

ตัวเข้ารหัส CRYPTED000007 ไม่มีความแตกต่างโดยพื้นฐานจากรุ่นก่อน มันทำงานเกือบจะเหมือนกันทุกประการ แต่ก็ยังมีความแตกต่างหลายประการที่ทำให้เห็นความแตกต่าง ฉันจะบอกคุณเกี่ยวกับทุกสิ่งตามลำดับ

มันมาถึงทางไปรษณีย์เช่นเดียวกับอะนาล็อก เทคนิควิศวกรรมสังคมใช้เพื่อให้แน่ใจว่าผู้ใช้สนใจจดหมายและเปิดอ่าน ในกรณีของฉัน จดหมายฉบับนี้พูดถึงศาลบางประเภทและ ข้อมูลสำคัญในกรณีตามเอกสารแนบ หลังจากเปิดไฟล์แนบ ผู้ใช้จะเปิดเอกสาร Word พร้อมสารสกัดจากศาลอนุญาโตตุลาการมอสโก

การเข้ารหัสไฟล์จะเริ่มต้นควบคู่ไปกับการเปิดเอกสาร ข้อความข้อมูลจากระบบควบคุมบัญชีผู้ใช้ Windows เริ่มปรากฏขึ้นอย่างต่อเนื่อง

หากคุณเห็นด้วยกับข้อเสนอ ให้สำรองไฟล์ไว้ในที่ร่ม สำเนาของ Windowsจะถูกลบและการกู้คืนข้อมูลจะทำได้ยากมาก เห็นได้ชัดว่าคุณไม่สามารถเห็นด้วยกับข้อเสนอได้ไม่ว่าในกรณีใด ๆ ในโปรแกรมเข้ารหัสนี้ คำขอเหล่านี้จะปรากฏขึ้นอย่างต่อเนื่อง ทีละรายการและไม่หยุด โดยบังคับให้ผู้ใช้ยอมรับและลบสำเนาสำรอง นี่คือข้อแตกต่างหลักจากการดัดแปลงตัวเข้ารหัสครั้งก่อน ฉันไม่เคยพบคำขอให้ลบ Shadow Copy โดยไม่หยุด โดยปกติแล้วหลังจากข้อเสนอ 5-10 ข้อพวกเขาก็หยุดลง

ฉันจะให้คำแนะนำสำหรับอนาคตทันที เป็นเรื่องปกติมากที่ผู้คนจะปิดใช้งานคำเตือนการควบคุมบัญชีผู้ใช้ ไม่จำเป็นต้องทำเช่นนี้ กลไกนี้สามารถช่วยในการต่อต้านไวรัสได้จริงๆ คำแนะนำประการที่สองที่ชัดเจนคืออย่าทำงานอย่างต่อเนื่อง บัญชีผู้ดูแลระบบคอมพิวเตอร์ เว้นแต่มีความจำเป็นตามวัตถุประสงค์ ในกรณีนี้ไวรัสจะไม่มีโอกาสทำอันตรายมากนัก คุณจะมีโอกาสต่อต้านเขาได้ดีขึ้น

แต่แม้ว่าคุณจะตอบปฏิเสธคำขอของแรนซัมแวร์มาโดยตลอด แต่ข้อมูลทั้งหมดของคุณก็ได้รับการเข้ารหัสแล้ว หลังจากกระบวนการเข้ารหัสเสร็จสิ้น คุณจะเห็นรูปภาพบนเดสก์ท็อปของคุณ

ในขณะเดียวกันก็จะมีมากมาย ไฟล์ข้อความด้วยเนื้อหาเดียวกัน

ไฟล์ของคุณได้รับการเข้ารหัสแล้ว หากต้องการถอดรหัส ux คุณต้องส่งรหัส: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- ถัดไปคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามที่จะถอดรหัสด้วยตัวเองจะไม่นำไปสู่สิ่งอื่นใดนอกจากข้อมูลจำนวนที่ไม่สามารถเพิกถอนได้ หากคุณยังต้องการลอง ให้ทำสำเนาสำรองของไฟล์ก่อน ไม่เช่นนั้นในกรณีที่มีการเปลี่ยนแปลง การถอดรหัสจะเป็นไปไม่ได้ไม่ว่าในกรณีใด ๆ หากคุณไม่ได้รับการแจ้งเตือนตามที่อยู่ข้างต้นภายใน 48 ชั่วโมง (ในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มติดต่อ ซึ่งสามารถทำได้สองวิธี: 1) ดาวน์โหลดและติดตั้ง ทอร์เบราว์เซอร์ผ่านลิงก์: https://www.torproject.org/download/download-easy.html.en ในช่องที่อยู่ของ Tor Browser ให้ป้อนที่อยู่: http://cryptsen7fo43rr6.onion/ แล้วกด Enter หน้าที่มีแบบฟอร์มการติดต่อจะโหลดขึ้นมา 2) ในเบราว์เซอร์ใด ๆ ให้ไปที่หนึ่งในที่อยู่: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ ไฟล์สำคัญทั้งหมดบนคอมพิวเตอร์ของคุณถูกเข้ารหัส หากต้องการถอดรหัสไฟล์คุณควรส่งรหัสต่อไปนี้: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- จากนั้นคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามในการถอดรหัสทั้งหมดด้วยตัวเองจะส่งผลให้ข้อมูลของคุณสูญหายอย่างไม่อาจเพิกถอนได้ หากคุณยังต้องการลองถอดรหัสด้วยตัวเอง โปรดทำการสำรองข้อมูลในตอนแรก เนื่องจากการถอดรหัสจะเป็นไปไม่ได้ในกรณีที่มีการเปลี่ยนแปลงภายในไฟล์ หากคุณไม่ได้รับคำตอบจากอีเมลดังกล่าวเป็นเวลานานกว่า 48 ชั่วโมง (และในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มคำติชม คุณสามารถทำได้สองวิธี: 1) ดาวน์โหลด Tor Browser จากที่นี่: https://www.torproject.org/download/download-easy.html.en ติดตั้งและพิมพ์ที่อยู่ต่อไปนี้ลงในแถบที่อยู่: http://cryptsen7fo43rr6 .onion/ กด Enter จากนั้นเพจพร้อมแบบฟอร์มคำติชมจะถูกโหลด 2) ไปที่หนึ่งในที่อยู่ต่อไปนี้ในเบราว์เซอร์ใดก็ได้: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

ที่อยู่ทางไปรษณีย์อาจมีการเปลี่ยนแปลง ฉันยังเจอที่อยู่ต่อไปนี้:

ที่อยู่ได้รับการอัปเดตอยู่ตลอดเวลา ดังนั้นจึงอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง

ทันทีที่คุณพบว่าไฟล์ของคุณถูกเข้ารหัส ให้ปิดคอมพิวเตอร์ของคุณทันที ซึ่งจะต้องทำเพื่อขัดจังหวะกระบวนการเข้ารหัสเช่นเดียวกับใน คอมพิวเตอร์ท้องถิ่นและบนไดรฟ์เครือข่าย ไวรัสแรนซัมแวร์สามารถเข้ารหัสข้อมูลทั้งหมดที่สามารถเข้าถึงได้ รวมถึงในไดรฟ์เครือข่ายด้วย แต่หากมีข้อมูลจำนวนมากก็จะต้องใช้เวลาพอสมควร บางครั้งแม้ในเวลาไม่กี่ชั่วโมง แรนซัมแวร์ก็ไม่มีเวลาเข้ารหัสทุกอย่างบนไดรฟ์เครือข่ายที่มีความจุประมาณ 100 กิกะไบต์

ต่อไปคุณต้องคิดให้รอบคอบเกี่ยวกับวิธีการปฏิบัติ หากคุณต้องการข้อมูลบนคอมพิวเตอร์ของคุณโดยไม่มีค่าใช้จ่าย สำเนาสำรองดังนั้นจึงเป็นการดีกว่าที่จะติดต่อผู้เชี่ยวชาญในขณะนี้ ไม่จำเป็นว่าจะเป็นเงินสำหรับบางบริษัท คุณแค่ต้องการใครสักคนที่เก่ง ระบบสารสนเทศ- มีความจำเป็นต้องประเมินขนาดของภัยพิบัติ กำจัดไวรัส และรวบรวมข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับสถานการณ์ เพื่อทำความเข้าใจวิธีดำเนินการ

การกระทำที่ไม่ถูกต้องในขั้นตอนนี้อาจทำให้กระบวนการถอดรหัสหรือกู้คืนไฟล์มีความซับซ้อนมากขึ้น ในกรณีที่เลวร้ายที่สุด พวกเขาสามารถทำให้มันเป็นไปไม่ได้ได้ ดังนั้นใช้เวลาของคุณ ระมัดระวังและสม่ำเสมอ

วิธีที่ไวรัส CRYPTED000007 ransomware เข้ารหัสไฟล์

หลังจากที่ไวรัสเปิดตัวและเสร็จสิ้นกิจกรรมแล้ว ไฟล์ที่มีประโยชน์ทั้งหมดจะถูกเข้ารหัสและเปลี่ยนชื่อจาก extension.crypted000007- ยิ่งไปกว่านั้น ไม่เพียงแต่นามสกุลไฟล์จะถูกแทนที่ แต่ยังรวมถึงชื่อไฟล์ด้วย ดังนั้นคุณจะไม่ทราบแน่ชัดว่าคุณมีไฟล์ประเภทใดหากคุณจำไม่ได้ มันจะมีลักษณะเช่นนี้

ในสถานการณ์เช่นนี้ การประเมินขนาดของโศกนาฏกรรมนั้นเป็นเรื่องยาก เนื่องจากคุณจะไม่สามารถจดจำสิ่งที่คุณมีในชีวิตได้ทั้งหมด โฟลเดอร์ที่แตกต่างกัน- สิ่งนี้ทำขึ้นเพื่อสร้างความสับสนให้กับผู้คนโดยเฉพาะและสนับสนุนให้พวกเขาจ่ายเงินสำหรับการถอดรหัสไฟล์

และหากโฟลเดอร์เครือข่ายของคุณถูกเข้ารหัสและไม่มีการสำรองข้อมูลทั้งหมด สิ่งนี้สามารถหยุดการทำงานของทั้งองค์กรได้อย่างสมบูรณ์ คุณจะต้องใช้เวลาสักพักกว่าจะรู้ว่าอะไรหายไปในท้ายที่สุดเพื่อเริ่มการฟื้นฟู

วิธีปฏิบัติต่อคอมพิวเตอร์ของคุณและลบ CRYPTED000007 ransomware

ไวรัส CRYPTED000007 มีอยู่ในคอมพิวเตอร์ของคุณแล้ว ครั้งแรกและมากที่สุด คำถามหลัก- วิธีฆ่าเชื้อคอมพิวเตอร์และวิธีลบไวรัสเพื่อป้องกันการเข้ารหัสเพิ่มเติมหากยังไม่เสร็จสิ้น ฉันอยากจะดึงความสนใจของคุณทันทีว่าหลังจากที่คุณเริ่มดำเนินการบางอย่างกับคอมพิวเตอร์ของคุณแล้ว โอกาสในการถอดรหัสข้อมูลจะลดลง หากคุณต้องการกู้คืนไฟล์ไม่ว่าจะต้องเสียค่าใช้จ่ายใดๆ อย่าสัมผัสคอมพิวเตอร์ของคุณ แต่ให้ติดต่อผู้เชี่ยวชาญทันที ด้านล่างนี้ฉันจะพูดถึงพวกเขาและให้ลิงก์ไปยังไซต์และอธิบายวิธีการทำงาน

ในระหว่างนี้ เราจะดำเนินการรักษาคอมพิวเตอร์และกำจัดไวรัสอย่างอิสระต่อไป ตามเนื้อผ้า ransomware จะถูกลบออกจากคอมพิวเตอร์อย่างง่ายดาย เนื่องจากไวรัสไม่ได้มีหน้าที่ที่จะคงอยู่ในคอมพิวเตอร์ไม่ว่าจะด้วยวิธีใดก็ตาม หลังจากเข้ารหัสไฟล์อย่างสมบูรณ์แล้ว จะมีประโยชน์มากขึ้นสำหรับเขาที่จะลบตัวเองและหายไป ทำให้การสอบสวนเหตุการณ์และถอดรหัสไฟล์ทำได้ยากขึ้น

เป็นการยากที่จะอธิบายการลบไวรัสด้วยตนเอง แม้ว่าฉันจะเคยพยายามทำเช่นนี้มาก่อน แต่ฉันเห็นว่าส่วนใหญ่มักจะไม่มีจุดหมาย ชื่อไฟล์และเส้นทางการวางไวรัสมีการเปลี่ยนแปลงอยู่ตลอดเวลา สิ่งที่ฉันเห็นไม่เกี่ยวข้องอีกต่อไปหลังจากผ่านไปหนึ่งหรือสองสัปดาห์ โดยปกติแล้วไวรัสจะถูกส่งทางไปรษณีย์เป็นระลอกและทุกครั้งที่มีการดัดแปลงใหม่ที่โปรแกรมป้องกันไวรัสยังไม่ตรวจพบ เครื่องมือสากลที่ตรวจสอบการสตาร์ทอัตโนมัติและการตรวจจับ กิจกรรมที่น่าสงสัยในโฟลเดอร์ระบบ

หากต้องการลบไวรัส CRYPTED000007 คุณสามารถใช้โปรแกรมต่อไปนี้:

  1. ไวรัสแคสเปอร์สกี้ เครื่องมือกำจัด- ยูทิลิตี้จาก Kaspersky http://www.kaspersky.ru/antivirus-removal-tool
  2. ดร.เว็บ เคียวอิท! - ผลิตภัณฑ์ที่คล้ายกันจากเว็บอื่น http://free.drweb.ru/cureit
  3. หากยูทิลิตี้สองรายการแรกไม่ช่วยลองใช้ MALWAREBYTES 3.0 - https://ru.malwarebytes.com

เป็นไปได้มากว่าหนึ่งในผลิตภัณฑ์เหล่านี้จะล้างคอมพิวเตอร์ของคุณจากแรนซัมแวร์ CRYPTED000007 หากจู่ๆ มันไม่ช่วย ให้ลองลบไวรัสด้วยตนเอง ฉันยกตัวอย่างวิธีการลบออกและคุณสามารถดูได้ที่นั่น สั้น ๆ ทีละขั้นตอน คุณต้องดำเนินการดังนี้:

  1. เราดูรายการกระบวนการหลังจากเพิ่มคอลัมน์เพิ่มเติมหลายคอลัมน์ในตัวจัดการงาน
  2. เราพบกระบวนการของไวรัส เปิดโฟลเดอร์ที่มีอยู่แล้วลบทิ้ง
  3. เราล้างการกล่าวถึงกระบวนการของไวรัสตามชื่อไฟล์ในรีจิสทรี
  4. เรารีบูตและตรวจสอบให้แน่ใจว่าไวรัส CRYPTED000007 ไม่อยู่ในรายการกระบวนการที่กำลังทำงานอยู่

จะดาวน์โหลดตัวถอดรหัส CRYPTED000007 ได้ที่ไหน

คำถามของตัวถอดรหัสที่ง่ายและเชื่อถือได้นั้นเกิดขึ้นเป็นอันดับแรกเมื่อพูดถึงไวรัสแรนซัมแวร์ สิ่งแรกที่ผมแนะนำคือเข้าไปใช้บริการ https://www.nomoreransom.org จะเป็นอย่างไรถ้าคุณโชคดีและพวกเขามีตัวถอดรหัสสำหรับตัวเข้ารหัส CRYPTED000007 เวอร์ชันของคุณ ฉันจะบอกทันทีว่าคุณมีโอกาสไม่มาก แต่การพยายามไม่ใช่การทรมาน บน หน้าแรกคลิกใช่:

จากนั้นดาวน์โหลดไฟล์ที่เข้ารหัสสองสามไฟล์แล้วคลิกไป! หา:

ในขณะที่เขียน ไม่มีตัวถอดรหัสบนไซต์

บางทีคุณอาจจะมีโชคดีมากขึ้น คุณยังสามารถดูรายการตัวถอดรหัสสำหรับดาวน์โหลดได้ในหน้าแยกต่างหาก - https://www.nomoreransom.org/decryption-tools.html บางทีอาจมีบางสิ่งที่มีประโยชน์อยู่ที่นั่น เมื่อไวรัสเกิดใหม่ทั้งหมด โอกาสนี้จะเกิดขึ้นน้อยมาก แต่เมื่อเวลาผ่านไป อาจมีบางอย่างปรากฏขึ้น มีตัวอย่างเมื่อตัวถอดรหัสสำหรับการดัดแปลงตัวเข้ารหัสบางอย่างปรากฏบนเครือข่าย และตัวอย่างเหล่านี้อยู่ในหน้าที่ระบุ

ฉันไม่รู้ว่าคุณสามารถหาตัวถอดรหัสได้ที่ไหน ไม่น่าเป็นไปได้ว่ามันจะมีอยู่จริงโดยคำนึงถึงลักษณะเฉพาะของการทำงานของนักเข้ารหัสสมัยใหม่ มีเพียงผู้เขียนไวรัสเท่านั้นที่สามารถมีตัวถอดรหัสที่ครบครัน

วิธีถอดรหัสและกู้คืนไฟล์หลังจากไวรัส CRYPTED000007

จะทำอย่างไรเมื่อไวรัส CRYPTED000007 เข้ารหัสไฟล์ของคุณ? การใช้การเข้ารหัสทางเทคนิคไม่อนุญาตให้ถอดรหัสไฟล์โดยไม่มีคีย์หรือตัวถอดรหัส ซึ่งมีเพียงผู้เขียนตัวเข้ารหัสเท่านั้นที่มี อาจมีวิธีอื่นในการรับ แต่ฉันไม่มีข้อมูลนั้น เราสามารถลองกู้คืนไฟล์ได้โดยใช้วิธีการชั่วคราวเท่านั้น ซึ่งรวมถึง:

  • เครื่องมือ สำเนาเงาหน้าต่าง
  • โปรแกรมกู้คืนข้อมูลที่ถูกลบ

ก่อนอื่น เรามาตรวจสอบว่าเราได้เปิดใช้งานแล้วหรือไม่ สำเนาเงา- เครื่องมือนี้ทำงานตามค่าเริ่มต้นใน Windows 7 และสูงกว่า เว้นแต่คุณจะปิดใช้งานด้วยตนเอง หากต้องการตรวจสอบ ให้เปิดคุณสมบัติคอมพิวเตอร์แล้วไปที่ส่วนการป้องกันระบบ

หากในระหว่างการติดไวรัส คุณไม่ได้ยืนยันคำขอ UAC ให้ลบไฟล์ในรูปแบบ Shadow Copy ข้อมูลบางส่วนก็ควรจะยังคงอยู่ตรงนั้น ฉันพูดรายละเอียดเพิ่มเติมเกี่ยวกับคำขอนี้ในตอนต้นของเรื่องเมื่อฉันพูดถึงการทำงานของไวรัส

หากต้องการกู้คืนไฟล์จาก Shadow Copy อย่างง่ายดาย ฉันขอแนะนำให้ใช้โปรแกรมฟรีสำหรับสิ่งนี้ - ShadowExplorer ดาวน์โหลดไฟล์เก็บถาวรแกะโปรแกรมแล้วรัน

สำเนาไฟล์ล่าสุดและรูทของไดรฟ์ C จะเปิดขึ้น ที่มุมซ้ายบน คุณสามารถเลือกสำเนาสำรองได้หากคุณมีหลายไฟล์ ตรวจสอบสำเนาที่แตกต่างกันเพื่อดูความพร้อมใช้งาน ไฟล์ที่จำเป็น- เปรียบเทียบตามวันที่ซึ่งมากกว่านั้น เวอร์ชันล่าสุด- ในตัวอย่างของฉันด้านล่าง ฉันพบ 2 ไฟล์บนเดสก์ท็อปของฉันเมื่อสามเดือนที่แล้วซึ่งมีการแก้ไขครั้งล่าสุด

ฉันสามารถกู้คืนไฟล์เหล่านี้ได้ เมื่อต้องการทำสิ่งนี้ ฉันเลือกพวกมันแล้วคลิก คลิกขวาเมาส์ เลือกส่งออก และระบุโฟลเดอร์ที่จะกู้คืน

คุณสามารถกู้คืนโฟลเดอร์ได้ทันทีโดยใช้หลักการเดียวกัน หากคุณมี Shadow Copy ที่ใช้งานได้และไม่ได้ลบออก คุณมีโอกาสที่ดีที่จะกู้คืนไฟล์ทั้งหมดหรือเกือบทั้งหมดที่เข้ารหัสโดยไวรัส บางทีบางคนอาจจะมากกว่านั้น รุ่นเก่ากว่าที่เราต้องการ แต่ถึงกระนั้นก็ยังดีกว่าไม่มีอะไรเลย

หากคุณไม่มี Shadow Copy ของไฟล์ด้วยเหตุผลบางประการ โอกาสเดียวของคุณที่จะได้รับบางสิ่งจากไฟล์ที่เข้ารหัสเป็นอย่างน้อยก็คือการกู้คืนไฟล์เหล่านั้นโดยใช้เครื่องมือการกู้คืน ไฟล์ที่ถูกลบ- ในการทำเช่นนี้ฉันขอแนะนำให้ใช้โปรแกรมฟรี Photorec

เปิดโปรแกรมและเลือกดิสก์ที่คุณจะกู้คืนไฟล์ การเปิดตัวโปรแกรมเวอร์ชันกราฟิกจะเป็นการเรียกใช้งานไฟล์ qphotorec_win.exe- คุณต้องเลือกโฟลเดอร์ที่จะวางไฟล์ที่พบ จะดีกว่าถ้าโฟลเดอร์นี้ไม่ได้อยู่ในไดรฟ์เดียวกับที่เรากำลังค้นหา เชื่อมต่อแฟลชไดรฟ์หรือภายนอก ฮาร์ดไดรฟ์สำหรับสิ่งนี้

กระบวนการค้นหาจะใช้เวลานาน ในตอนท้ายคุณจะเห็นสถิติ ตอนนี้คุณสามารถไปที่โฟลเดอร์ที่ระบุก่อนหน้าแล้วดูว่ามีอะไรอยู่ในนั้น มักจะมีไฟล์จำนวนมากและส่วนใหญ่จะเสียหายหรืออาจเป็นไฟล์ระบบและไฟล์ที่ไม่มีประโยชน์ แต่อย่างไรก็ตาม คุณสามารถพบไฟล์ที่มีประโยชน์บางไฟล์ได้ในรายการนี้ ไม่มีการรับประกันที่นี่ สิ่งที่คุณพบคือสิ่งที่คุณจะพบ โดยปกติแล้วรูปภาพจะได้รับการกู้คืนได้ดีที่สุด

หากผลลัพธ์ไม่เป็นที่พอใจคุณก็ยังมีโปรแกรมสำหรับกู้คืนไฟล์ที่ถูกลบอีกด้วย ด้านล่างนี้คือรายการโปรแกรมที่ฉันมักจะใช้เมื่อต้องการกู้คืนไฟล์ตามจำนวนสูงสุด:

  • อาร์.เซฟเวอร์
  • การกู้คืนไฟล์ Starus
  • JPEG Recovery Pro
  • ผู้เชี่ยวชาญด้านการกู้คืนไฟล์ที่ใช้งานอยู่

โปรแกรมเหล่านี้ไม่ฟรี ดังนั้นฉันจึงไม่มีลิงก์ให้ หากคุณต้องการจริงๆ คุณสามารถค้นหาได้ด้วยตัวเองบนอินเทอร์เน็ต

กระบวนการกู้คืนไฟล์ทั้งหมดจะแสดงโดยละเอียดในวิดีโอท้ายบทความ

Kaspersky, eset nod32 และคนอื่นๆ ในการต่อสู้กับตัวเข้ารหัส Filecoder.ED

โปรแกรมป้องกันไวรัสยอดนิยมตรวจพบ ransomware CRYPTED000007 เป็น Filecoder.EDและอาจมีการกำหนดอย่างอื่นอีก ฉันตรวจดูฟอรั่มแอนตี้ไวรัสหลักๆ แล้วและไม่เห็นมีประโยชน์อะไรเลย น่าเสียดายที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้เตรียมพร้อมสำหรับการบุกรุกของแรนซัมแวร์ระลอกใหม่ตามปกติ นี่คือโพสต์จากฟอรัม Kaspersky

แอนติไวรัสมักจะพลาดการปรับเปลี่ยนโทรจันแรนซัมแวร์ครั้งใหม่ อย่างไรก็ตาม ฉันแนะนำให้ใช้มัน หากคุณโชคดีและได้รับอีเมลแรนซัมแวร์ที่ไม่ได้อยู่ในการติดไวรัสระลอกแรก แต่หลังจากนั้นไม่นานก็มีโอกาสที่โปรแกรมป้องกันไวรัสจะช่วยคุณได้ พวกเขาทั้งหมดทำงานตามหลังผู้โจมตีหนึ่งก้าว ปรากฎว่า เวอร์ชันใหม่ ransomware โปรแกรมป้องกันไวรัสไม่ตอบสนองต่อมัน ทันทีที่มีเนื้อหาสำหรับการวิจัยเกี่ยวกับไวรัสตัวใหม่จำนวนหนึ่งสะสม ซอฟต์แวร์ป้องกันไวรัสจะเผยแพร่การอัปเดตและเริ่มตอบสนอง

ฉันไม่เข้าใจว่าอะไรขัดขวางไม่ให้แอนตี้ไวรัสตอบสนองต่อกระบวนการเข้ารหัสใด ๆ ในระบบทันที อาจมีความแตกต่างทางเทคนิคเล็กน้อยในหัวข้อนี้ซึ่งไม่อนุญาตให้เราตอบสนองและป้องกันการเข้ารหัสไฟล์ผู้ใช้อย่างเพียงพอ สำหรับฉันดูเหมือนว่าอย่างน้อยก็เป็นไปได้ที่จะแสดงคำเตือนเกี่ยวกับความจริงที่ว่ามีคนกำลังเข้ารหัสไฟล์ของคุณและแนะนำให้หยุดกระบวนการ

จะไปที่ไหนเพื่อรับประกันการถอดรหัส

ฉันมีโอกาสพบกับบริษัทแห่งหนึ่งที่ถอดรหัสข้อมูลจริงๆ หลังจากการทำงานของไวรัสเข้ารหัสต่างๆ รวมถึง CRYPTED000007 ที่อยู่ของพวกเขาคือ http://www.dr-shifro.ru ชำระเงินหลังจากการถอดรหัสเต็มรูปแบบและการยืนยันของคุณเท่านั้น นี่คือรูปแบบงานโดยประมาณ:

  1. ผู้เชี่ยวชาญของบริษัทมาที่สำนักงานหรือที่บ้านของคุณและลงนามในข้อตกลงกับคุณ ซึ่งจะเป็นผู้กำหนดต้นทุนของงาน
  2. เปิดตัวตัวถอดรหัสและถอดรหัสไฟล์ทั้งหมด
  3. คุณตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดถูกเปิดและลงนามในใบรับรองการส่งมอบ/การยอมรับงานที่เสร็จสมบูรณ์
  4. การชำระเงินจะเกิดขึ้นเมื่อผลการถอดรหัสสำเร็จเท่านั้น

พูดตามตรง ฉันไม่รู้ว่าพวกเขาทำได้ยังไง แต่คุณไม่เสี่ยงอะไรเลย ชำระเงินหลังจากการสาธิตการทำงานของตัวถอดรหัสเท่านั้น กรุณาเขียนรีวิวเกี่ยวกับประสบการณ์ของคุณกับบริษัทนี้

วิธีการป้องกันไวรัส CRYPTED000007

จะป้องกันตนเองจากแรนซัมแวร์และหลีกเลี่ยงความเสียหายทางวัตถุและศีลธรรมได้อย่างไร มีเคล็ดลับง่ายๆ และมีประสิทธิภาพ:

  1. สำรอง! สำรองข้อมูลที่สำคัญทั้งหมด และไม่ใช่แค่การสำรองข้อมูล แต่เป็นการสำรองข้อมูลที่ไม่มีการเข้าถึงอย่างต่อเนื่อง มิฉะนั้นไวรัสอาจทำให้เอกสารและสำเนาสำรองของคุณติดได้
  2. โปรแกรมป้องกันไวรัสที่ได้รับใบอนุญาต แม้ว่าพวกเขาจะไม่ให้การรับประกัน 100% แต่ก็เพิ่มโอกาสในการหลีกเลี่ยงการเข้ารหัส ส่วนใหญ่มักจะไม่พร้อมสำหรับตัวเข้ารหัสเวอร์ชันใหม่ แต่หลังจากผ่านไป 3-4 วันพวกเขาก็เริ่มตอบสนอง สิ่งนี้จะเพิ่มโอกาสในการหลีกเลี่ยงการติดไวรัส หากคุณไม่รวมอยู่ในการกระจายตัวของการปรับเปลี่ยนแรนซัมแวร์ใหม่ระลอกแรก
  3. อย่าเปิดไฟล์แนบที่น่าสงสัยในเมล ไม่มีอะไรจะแสดงความคิดเห็นที่นี่ แรนซัมแวร์ทั้งหมดที่ฉันรู้จักเข้าถึงผู้ใช้ผ่านทางอีเมล ยิ่งไปกว่านั้นทุกครั้งที่มีการประดิษฐ์กลอุบายใหม่ ๆ เพื่อหลอกลวงเหยื่อ
  4. อย่าเปิดลิงก์ที่ส่งถึงคุณจากเพื่อนของคุณโดยไม่ได้ตั้งใจ โซเชียลมีเดียหรือผู้ส่งสาร บางครั้งไวรัสก็แพร่กระจายเช่นนี้เช่นกัน
  5. เปิดเครื่อง จอแสดงผลหน้าต่างนามสกุลไฟล์ วิธีการทำเช่นนี้หาได้ง่ายบนอินเทอร์เน็ต ซึ่งจะทำให้คุณสามารถสังเกตเห็นนามสกุลไฟล์ของไวรัสได้ ส่วนใหญ่มักจะเป็น .exe, .vbs, .src- ในการทำงานกับเอกสารทุกวัน คุณไม่น่าจะเจอนามสกุลไฟล์ดังกล่าว

ฉันพยายามเสริมสิ่งที่ฉันได้เขียนไปแล้วในทุกบทความเกี่ยวกับไวรัสแรนซัมแวร์ ในระหว่างนี้ฉันก็บอกลา ฉันยินดีที่จะได้รับความคิดเห็นที่เป็นประโยชน์เกี่ยวกับบทความและไวรัส ransomware CRYPTED000007 โดยทั่วไป

วิดีโอพร้อมการถอดรหัสและการกู้คืนไฟล์

นี่คือตัวอย่างการแก้ไขไวรัสครั้งก่อน แต่วิดีโอนี้เกี่ยวข้องกับ CRYPTED000007 อย่างสมบูรณ์

หากปรากฏบนคอมพิวเตอร์ของคุณ ข้อความซึ่งบอกว่าไฟล์ของคุณถูกเข้ารหัส ดังนั้นอย่ารีบตื่นตระหนก การเข้ารหัสไฟล์มีอาการอย่างไร? นามสกุลปกติจะเปลี่ยนเป็น *.vault, *.xtbl, * [ป้องกันอีเมล] _XO101 ฯลฯ ไม่สามารถเปิดไฟล์ได้ - จำเป็นต้องมีรหัสซึ่งสามารถซื้อได้โดยการส่งจดหมายไปยังที่อยู่ที่ระบุในข้อความ

คุณได้รับไฟล์ที่เข้ารหัสมาจากไหน?

คอมพิวเตอร์ติดไวรัสที่บล็อกการเข้าถึงข้อมูล โปรแกรมป้องกันไวรัสมักจะพลาดไปเพราะโดยปกติแล้วโปรแกรมจะใช้ยูทิลิตี้การเข้ารหัสที่ไม่เป็นอันตราย คุณจะลบไวรัสออกอย่างรวดเร็วเพียงพอ แต่ปัญหาร้ายแรงอาจเกิดขึ้นได้กับการถอดรหัสข้อมูล

การสนับสนุนทางเทคนิคจาก Kaspersky Lab, Dr.Web และบริษัทชื่อดังอื่นๆ ที่พัฒนาซอฟต์แวร์ป้องกันไวรัส เพื่อตอบสนองคำขอของผู้ใช้ในการถอดรหัสข้อมูล รายงานว่าเป็นไปไม่ได้ที่จะทำเช่นนี้ในเวลาที่ยอมรับได้ มีหลายโปรแกรมที่สามารถรับรหัสได้ แต่สามารถทำงานได้กับไวรัสที่ศึกษาก่อนหน้านี้เท่านั้น หากคุณพบการแก้ไขใหม่ โอกาสในการกู้คืนการเข้าถึงข้อมูลจึงมีน้อยมาก

ไวรัส ransomware เข้าสู่คอมพิวเตอร์ได้อย่างไร?

ใน 90% ของกรณี ผู้ใช้เองเปิดใช้งานไวรัสบนคอมพิวเตอร์ของตน, เปิดจดหมายที่ไม่รู้จัก จากนั้นข้อความจะถูกส่งไปยังอีเมลที่มีหัวข้อเร้าใจ - "หมายศาล", "หนี้เงินกู้", "การแจ้งเตือนจากสำนักงานสรรพากร" ฯลฯ ภายในจดหมายปลอมมีไฟล์แนบอยู่ หลังจากดาวน์โหลดแล้ว ransomware จะเข้าสู่คอมพิวเตอร์และเริ่มบล็อกการเข้าถึงไฟล์อย่างค่อยเป็นค่อยไป

การเข้ารหัสไม่ได้เกิดขึ้นทันที ดังนั้นผู้ใช้จึงมีเวลากำจัดไวรัสก่อนที่ข้อมูลทั้งหมดจะถูกเข้ารหัส คุณสามารถทำลายสคริปต์ที่เป็นอันตรายได้โดยใช้ยูทิลิตี้ทำความสะอาด Dr.Web CureIt, Kaspersky ความปลอดภัยทางอินเทอร์เน็ตและโปรแกรมป้องกันมัลแวร์ Malwarebytes

วิธีการกู้คืนไฟล์

หากเปิดใช้งานการป้องกันระบบบนคอมพิวเตอร์ของคุณ แม้หลังจากผลกระทบของไวรัสแรนซัมแวร์ ก็มีโอกาสที่จะคืนไฟล์กลับสู่สถานะปกติโดยใช้ Shadow Copy ของไฟล์ โดยปกติแล้ว Ransomware จะพยายามลบออก แต่บางครั้งก็ไม่สำเร็จเนื่องจากขาดสิทธิ์ของผู้ดูแลระบบ

การคืนค่าเวอร์ชันก่อนหน้า:

หากต้องการบันทึกเวอร์ชันก่อนหน้า คุณต้องเปิดใช้งานการป้องกันระบบ

สำคัญ: ต้องเปิดใช้งานการป้องกันระบบก่อนที่แรนซัมแวร์จะปรากฏขึ้น หลังจากนั้นจะไม่ช่วยอีกต่อไป

  1. เปิดคุณสมบัติคอมพิวเตอร์
  2. จากเมนูด้านซ้าย ให้เลือก การป้องกันระบบ
  3. เลือกไดรฟ์ C แล้วคลิก "กำหนดค่า"
  4. เลือกการคืนค่าการตั้งค่าและ รุ่นก่อนหน้าไฟล์. ใช้การเปลี่ยนแปลงโดยคลิก "ตกลง"

หากคุณทำตามขั้นตอนเหล่านี้ก่อนที่ไวรัสเข้ารหัสไฟล์จะปรากฏขึ้น จากนั้นหลังจากทำความสะอาดคอมพิวเตอร์ของคุณแล้ว รหัสที่เป็นอันตรายคุณจะมีโอกาสที่ดีในการกู้คืนข้อมูลของคุณ

การใช้ยูทิลิตี้พิเศษ

Kaspersky Lab ได้เตรียมยูทิลิตี้หลายอย่างเพื่อช่วยเปิดไฟล์ที่เข้ารหัสหลังจากลบไวรัสแล้ว ตัวถอดรหัสตัวแรกที่คุณควรลองคือ Kaspersky RectorDecryptor

  1. ดาวน์โหลดโปรแกรมจากเว็บไซต์ทางการของ Kaspersky Lab
  2. จากนั้นเรียกใช้ยูทิลิตี้แล้วคลิก "เริ่มการสแกน" ระบุเส้นทางไปยังไฟล์ที่เข้ารหัส

หากโปรแกรมที่เป็นอันตรายไม่ได้เปลี่ยนนามสกุลของไฟล์ คุณจะต้องรวบรวมไฟล์เหล่านั้นในโฟลเดอร์แยกต่างหากเพื่อถอดรหัส หากยูทิลิตี้นี้เป็น RectorDecryptor ให้ดาวน์โหลดอีกสองโปรแกรมจากเว็บไซต์อย่างเป็นทางการของ Kaspersky - XoristDecryptor และ RakhniDecryptor

ยูทิลิตี้ล่าสุดจาก Kaspersky Lab เรียกว่า Ransomware Decryptor ช่วยถอดรหัสไฟล์หลังจากไวรัส CoinVault ซึ่งยังไม่แพร่หลายมากนักใน RuNet แต่อาจเข้ามาแทนที่โทรจันตัวอื่นในไม่ช้า

ข้อความนี้อาจช่วยคุณอยู่ที่ไหนสักแห่ง $300 - นี่คือสิ่งที่โทรจันเรียกค่าไถ่โดยเฉลี่ยจะเรียกร้องค่าไถ่โดยประมาณ และเขาจะถ่ายรูปส่วนตัว เอกสาร และไฟล์อื่น ๆ ของคุณจาก "ตัวประกัน" คอมพิวเตอร์ที่ติดไวรัส

มันง่ายมากที่จะรับเชื้อดังกล่าว ในการทำเช่นนี้คุณไม่จำเป็นต้องใช้เวลาหลายชั่วโมงในการท่องเว็บไซต์ลามกที่น่าสงสัยหรือเปิดไฟล์ทั้งหมดจากโฟลเดอร์สแปมติดต่อกัน แม้ว่าคุณจะไม่ได้ทำอะไรผิดทางออนไลน์ คุณก็ยังมีความเสี่ยงอยู่ ยังไง? อ่านต่อ

ไวรัสแรนซัมแวร์คืออะไร?

เหล่านี้เป็นโปรแกรมที่เป็นอันตรายที่ต้องการค่าไถ่เพื่อคืนค่าการทำงานของคอมพิวเตอร์หรือสมาร์ทโฟนของคุณ พวกเขาแบ่งออกเป็นสองประเภท

กลุ่มแรกของโปรแกรมเหล่านี้จะเข้ารหัสไฟล์เพื่อไม่ให้สามารถใช้งานได้จนกว่าจะถูกถอดรหัส และพวกเขาต้องการเงินสำหรับการถอดรหัส แรนซัมแวร์ดังกล่าวเรียกว่า ผู้เข้ารหัส(cryptor, crypto ransomware) - และพวกมันอันตรายที่สุด

มัลแวร์อีกกลุ่มหนึ่ง - บล็อคเกอร์(ตัวบล็อก) - เพียงบล็อกการทำงานปกติของคอมพิวเตอร์หรือสมาร์ทโฟน มักจะรักษาได้ง่ายกว่า

Ransomware ต้องใช้เงินเท่าไหร่ในการเรียกค่าไถ่?

มันแตกต่างกันไป แต่ $300 คือจำนวนเงินที่โทรจันเรียกค่าไถ่โดยเฉลี่ยจะเรียกร้องค่าไถ่ มีพวกกรรโชกทรัพย์ "เจียมเนื้อเจียมตัว" ซึ่งเงิน 30 ดอลลาร์ก็เพียงพอแล้ว และบางครั้งจำนวนเงินก็วัดเป็นหมื่นดอลลาร์ โดยปกติแล้วบริษัทและลูกค้าที่ร่ำรวยรายอื่นๆ จะเรียกค่าไถ่จำนวนมาก ซึ่งมักถูกโจมตีโดยเจตนาใน "โหมดกำหนดเอง"

เป็นไปได้ไหมที่จะถอดรหัสไฟล์ที่ติดไวรัสโดยไม่ต้องจ่ายค่าไถ่?

บางครั้งก็ใช่แต่ไม่เสมอไป ตัวเข้ารหัสสมัยใหม่ส่วนใหญ่ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง ซึ่งหมายความว่าการถอดรหัสสามารถทำได้เป็นเวลาหลายปีโดยไม่ประสบความสำเร็จ

บางครั้งผู้โจมตีทำผิดพลาดในการใช้การเข้ารหัส หรือหน่วยงานบังคับใช้กฎหมายจัดการยึดเซิร์ฟเวอร์ของอาชญากรด้วยคีย์การเข้ารหัส ในกรณีนี้ผู้เชี่ยวชาญสามารถสร้างยูทิลิตี้ถอดรหัสได้

ค่าไถ่จะจ่ายอย่างไร?

โดยปกติแล้วจะใช้สกุลเงินดิจิตอล - bitcoins นี่เป็นเงินสดอิเล็กทรอนิกส์ที่มีไหวพริบที่ไม่สามารถปลอมแปลงได้ ทุกคนสามารถเห็นประวัติการทำธุรกรรมได้ แต่การติดตามว่าใครเป็นเจ้าของกระเป๋าสตางค์นั้นเป็นเรื่องยากมาก นี่คือเหตุผลที่ผู้โจมตีชอบ Bitcoin โอกาสโดนตำรวจจับมีน้อย

นักกรรโชกทรัพย์บางคนใช้กระเป๋าเงินอินเทอร์เน็ตที่ไม่เปิดเผยตัวตนหรือแม้แต่การจ่ายเงินให้กับหมายเลขหนึ่ง โทรศัพท์มือถือ- วิธีที่ฟุ่มเฟือยที่สุดในความทรงจำของเราคือตอนที่ผู้โจมตียอมรับค่าไถ่โดยใช้การ์ด iTunes ที่มีมูลค่า 50 ดอลลาร์เท่านั้น

Ransomware สามารถเข้าสู่คอมพิวเตอร์ของฉันได้อย่างไร?

วิธีที่พบบ่อยที่สุดคือผ่าน อีเมล- นักกรรโชกทรัพย์มักแสร้งทำเป็นว่าเป็นการลงทุนที่มีประโยชน์บางประเภท เช่น ใบแจ้งหนี้เร่งด่วนสำหรับการชำระเงิน บทความที่น่าสนใจ หรือโปรแกรมฟรี การเปิดไฟล์แนบดังกล่าวจะเป็นการเปิดมัลแวร์บนคอมพิวเตอร์ของคุณ

คุณสามารถรับแรนซัมแวร์ได้เพียงแค่ท่องอินเทอร์เน็ตโดยไม่ต้องเปิดไฟล์ใดๆ เลย Ransomware ใช้ข้อผิดพลาดในโค้ดเพื่อยึดการควบคุมระบบ ระบบปฏิบัติการเบราว์เซอร์หรือโปรแกรมอื่น ๆ ที่ติดตั้งบนคอมพิวเตอร์ของคุณ ดังนั้นจึงเป็นสิ่งสำคัญมากที่จะไม่ลืมติดตั้งซอฟต์แวร์และการอัปเดตระบบปฏิบัติการ (โดยวิธีการนี้สามารถมอบหมายงานให้กับ Kaspersky Internet Security หรือ Kaspersky Total Security - เวอร์ชันล่าสุดสามารถทำได้โดยอัตโนมัติ)

แรนซัมแวร์บางตัวสามารถแพร่กระจายโดยใช้เครือข่ายท้องถิ่น เมื่อโทรจันดังกล่าวเข้าสู่คอมพิวเตอร์เครื่องหนึ่ง มันจะพยายามแพร่เชื้อไปยังเครื่องอื่นๆ ทั้งหมดในของคุณ เครือข่ายภายในบ้านหรือ เครือข่ายท้องถิ่นองค์กรต่างๆ แต่นี่เป็นตัวเลือกที่แปลกใหม่โดยสิ้นเชิง

แน่นอนว่ายังมีสถานการณ์การติดเชื้อที่ไม่สำคัญอีกมาก ฉันดาวน์โหลดทอร์เรนต์ เปิดไฟล์... และนั่นก็มาถึงแล้ว

ไฟล์ใดที่คุณควรระวัง?

อันตรายประเภทที่สองที่เพิ่มขึ้นคือเอกสาร MS Office (DOC, DOCX, XLS, XLSX, PPT และอื่นๆ ที่คล้ายกัน) อันตรายในตัวพวกเขาแสดงโดยโปรแกรมในตัวที่เขียนโดยใช้มาโคร MS Office เมื่อเปิดไฟล์ office คุณถูกขอให้อนุญาตให้เรียกใช้คำสั่งแมโคร ให้คิดให้รอบคอบว่าจะดำเนินการดังกล่าวหรือไม่

ไฟล์ทางลัด (นามสกุล LNK) ก็เป็นอันตรายเช่นกัน Windows สามารถแสดงไอคอนเหล่านั้นด้วยไอคอนใดๆ ก็ตาม ซึ่งเมื่อรวมกับชื่อที่ดู “ปลอดภัย” แล้ว จะช่วยให้คุณสงบสติอารมณ์ได้

จุดสำคัญ: โดยค่าเริ่มต้น Windows จะซ่อนนามสกุลของประเภทไฟล์ที่ระบบรู้จัก ดังนั้นหากคุณเจอไฟล์ชื่อ Import_info.txt อย่ารีบคลิกไฟล์นั้นโดยอาศัยความปลอดภัยของเนื้อหาข้อความ: “txt” อาจเป็นส่วนหนึ่งของชื่อและนามสกุลไฟล์อาจแตกต่างกันโดยสิ้นเชิง

ถ้าคุณไม่คลิกอะไรและไม่ผ่านกองขยะทางอินเทอร์เน็ต คุณจะไม่ติดไวรัสเหรอ?

ฉันมีเครื่องแมค ไม่มีแรนซัมแวร์สำหรับพวกเขาเหรอ?

กิน. ตัวอย่างเช่น ผู้ใช้ Mac ถูกโจมตีโดยโทรจัน KeRanger ransomware สำเร็จ ซึ่งพยายามแทรกตัวเองเข้าไปในโครงสร้างอย่างเป็นทางการของไคลเอนต์ Transmission torrent ยอดนิยม

ฉันจะรักษาคอมพิวเตอร์ของฉันได้อย่างไรหากฉันติดแรนซัมแวร์?

ช่วยต่อต้านตัวบล็อกโทรจัน โปรแกรมฟรี Kaspersky Windows ตัวปลดล็อค .

ตัวเข้ารหัสนั้นยากกว่าในการต่อสู้ ก่อนอื่นคุณต้องกำจัดการติดเชื้อ - วิธีที่ดีที่สุดคือใช้โปรแกรมป้องกันไวรัส หากไม่มีแบบชำระเงิน คุณสามารถดาวน์โหลดฟรีได้ รุ่นทดลองด้วยระยะเวลาที่จำกัดก็เพียงพอต่อการรักษา

ขั้นตอนต่อไปคือการกู้คืนไฟล์ที่เข้ารหัส

หากคุณมีข้อมูลสำรอง วิธีที่ง่ายที่สุดคือการคืนค่าไฟล์จากข้อมูลสำรอง

หากไม่มีข้อมูลสำรอง คุณสามารถลองถอดรหัสไฟล์โดยใช้ สาธารณูปโภคพิเศษ- ตัวถอดรหัส ตัวถอดรหัสฟรีทั้งหมดที่สร้างโดย Kaspersky Lab สามารถพบได้บนเว็บไซต์

บริษัทแอนตี้ไวรัสอื่นๆ ก็ผลิตตัวถอดรหัสเช่นกัน อย่าดาวน์โหลดโปรแกรมดังกล่าวจากไซต์ที่น่าสงสัย - คุณสามารถติดไวรัสอื่นได้อย่างง่ายดาย หากไม่มียูทิลิตี้ที่เหมาะสมก็จะยังคงอยู่ วิธีเดียวเท่านั้น- จ่ายเงินให้กับผู้หลอกลวงและรับรหัสถอดรหัสจากพวกเขา แต่เราไม่แนะนำให้ทำเช่นนี้

ทำไมคุณไม่ควรจ่ายค่าไถ่?

ประการแรก ไม่มีการรับประกันว่าไฟล์จะถูกส่งกลับไปยังคุณ - คุณไม่สามารถยอมรับอาชญากรไซเบอร์ตามคำพูดของพวกเขาได้ ตัวอย่างเช่น โดยหลักการแล้ว Ranscam ransomware ไม่ได้หมายความถึงความสามารถในการกู้คืนไฟล์ - มันจะลบไฟล์เหล่านั้นอย่างถาวรโดยไม่สามารถเพิกถอนได้จากนั้นจึงเรียกร้องค่าไถ่ซึ่งควรจะกู้คืนซึ่งไม่สามารถทำได้อีกต่อไป

ประการที่สอง คุณไม่ควรสนับสนุนธุรกิจอาชญากรรม

ฉันพบตัวถอดรหัสที่จำเป็นแล้ว แต่ก็ไม่ได้ช่วยอะไร จะทำอย่างไร?

ผู้เขียนไวรัสตอบสนองอย่างรวดเร็วต่อการปรากฏตัวของยูทิลิตี้ถอดรหัสด้วยการปล่อยมัลแวร์เวอร์ชันใหม่ มันเป็นเกมแมวจับหนูที่สม่ำเสมอ น่าเสียดายที่ไม่มีการรับประกันที่นี่เช่นกัน แต่เราไม่ได้นอนและอัพเดทระบบสาธารณูปโภคของเราอยู่ตลอดเวลา เยี่ยมชมเว็บไซต์นี้เป็นระยะๆ และบางทีเราอาจจะพบวิธีรักษาสำหรับคุณ

จะหยุดการติดเชื้อ ransomware ได้อย่างไรหากคุณสังเกตเห็นภัยคุกคามได้ทันเวลา?

ตามทฤษฎีแล้ว คุณสามารถปิดคอมพิวเตอร์ได้ทันเวลา ถอดฮาร์ดไดรฟ์ออก ใส่ลงในคอมพิวเตอร์เครื่องอื่น และใช้โปรแกรมป้องกันไวรัสเพื่อกำจัดแรนซัมแวร์ แต่ในทางปฏิบัติเป็นเรื่องยากมากหรือเป็นไปไม่ได้เลยที่จะสังเกตเห็นลักษณะของตัวเข้ารหัสทันเวลา - ในทางปฏิบัติแล้วพวกมันจะไม่แสดงตัวเองจนกว่าพวกเขาจะเข้ารหัสไฟล์ทั้งหมดที่พวกเขาสนใจ จากนั้นจึงแสดงหน้าเว็บที่มีความต้องการค่าไถ่เท่านั้น

และถ้าฉันสำรองข้อมูล ฉันจะปลอดภัยหรือไม่?

เป็นไปได้มากว่าใช่ แต่ก็ยังไม่ได้ให้การป้องกัน 100% ลองนึกภาพสถานการณ์: คุณได้กำหนดค่าคอมพิวเตอร์ของคุณยายให้สร้างการสำรองข้อมูลอัตโนมัติทุกๆ สามวัน Ransomware เจาะคอมพิวเตอร์และเข้ารหัสทุกอย่าง แต่คุณยายไม่เข้าใจความต้องการที่น่ากลัวของเขา หนึ่งสัปดาห์ต่อมาคุณมาถึงและ... มีเฉพาะไฟล์ที่เข้ารหัสในข้อมูลสำรอง อย่างไรก็ตาม การสำรองข้อมูลยังคงมีความสำคัญและจำเป็น แต่คุณไม่ควรจำกัดตัวเองอยู่เพียงเท่านี้

โปรแกรมป้องกันไวรัสเพียงพอที่จะป้องกันการติดเชื้อหรือไม่?

ในกรณีส่วนใหญ่ ใช่ แม้ว่าโปรแกรมป้องกันไวรัสจะแตกต่างกันไปก็ตาม โซลูชันป้องกันไวรัสของ Kaspersky Lab ตามการทดสอบอิสระ (และตามหลักการแล้ว เฉพาะการทดสอบอิสระจากสถาบันที่มีชื่อเสียงขนาดใหญ่เท่านั้นที่ควรเชื่อถือได้ ) ปกป้องได้ดีกว่าคนอื่นๆ ส่วนใหญ่ อย่างไรก็ตามไม่มีแอนตี้ไวรัสตัวใดที่สามารถบล็อกภัยคุกคามทั้งหมดได้ 100%

ขึ้นอยู่กับความแปลกใหม่ของมัลแวร์เป็นส่วนใหญ่ หากยังไม่ได้เพิ่มลายเซ็นลงในฐานข้อมูลต่อต้านไวรัส คุณสามารถตรวจจับโทรจันดังกล่าวได้โดยการวิเคราะห์การทำงานของมันทันที หากเขาพยายามทำร้ายเราจะบล็อกเขาทันที

ในผลิตภัณฑ์ของเรา การดำเนินการนี้ทำได้โดยโมดูลที่เรียกว่า "การตรวจสอบกิจกรรม" (System Watcher) ตัวอย่างเช่น หากสังเกตเห็นความพยายามที่จะเข้ารหัสไฟล์จำนวนมาก มันจะบล็อกกระบวนการที่เป็นอันตรายและย้อนกลับการเปลี่ยนแปลงที่ทำกับไฟล์ คุณไม่ควรปิดการใช้งานส่วนประกอบนี้ไม่ว่าในกรณีใด

นอกจากนี้ Kaspersky Total Security ยังช่วยให้คุณทำงานอัตโนมัติได้ การสำรองข้อมูลไฟล์. แม้ว่าจะมีบางอย่างผิดพลาดกะทันหันก็ตาม เลยไม่เช่นนั้น คุณจะสามารถกู้คืนข้อมูลสำคัญจากข้อมูลสำรองได้

มีอะไรที่ฉันสามารถกำหนดค่าบนคอมพิวเตอร์ของฉันเพื่อป้องกันตัวเองจากไวรัสแรนซัมแวร์ได้หรือไม่?

ก) ขั้นแรก ต้องแน่ใจว่าได้ติดตั้งโปรแกรมป้องกันไวรัส แต่เราได้พูดคุยเกี่ยวกับเรื่องนี้แล้ว

b) คุณสามารถปิดการใช้งานสคริปต์ในเบราว์เซอร์ได้เนื่องจากผู้โจมตีมักจะใช้สคริปต์เหล่านี้ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีกำหนดค่าเบราว์เซอร์ Chrome และ Firefox ได้ดีขึ้นในบล็อกของเรา

c) เปิดใช้งานการแสดงนามสกุลไฟล์ใน Windows Explorer

d) Windows มักจะทำเครื่องหมายไฟล์สคริปต์ VBS และ JS ที่เป็นอันตรายด้วยไอคอน เอกสารข้อความซึ่งทำให้ผู้ใช้ที่ไม่มีประสบการณ์สับสน ปัญหาสามารถแก้ไขได้โดยการทำให้ Notepad เป็นแอปพลิเคชันเริ่มต้นสำหรับส่วนขยาย VBS และ JS

จ) คุณสามารถเปิดใช้งานฟังก์ชัน "โหมด" ในโปรแกรมป้องกันไวรัสได้ โปรแกรมที่ปลอดภัย"(โหมดแอปพลิเคชันที่เชื่อถือได้) ซึ่งห้ามการติดตั้งและการทำงานของโปรแกรมใด ๆ ที่ไม่รวมอยู่ใน "บัญชีขาว" ไม่ได้เปิดใช้งานตามค่าเริ่มต้นเนื่องจากต้องใช้เวลาในการกำหนดค่า แต่นี่เป็นสิ่งที่มีประโยชน์จริงๆ โดยเฉพาะอย่างยิ่งหากผู้ใช้คอมพิวเตอร์ไม่ทันสมัยที่สุดและมีความเสี่ยงที่พวกเขาจะเผลอเปิดสิ่งผิดปกติขึ้นมา

วีดีโอ


Kaspersky Anti-Ransomware Tool for Business ได้รับการออกแบบมาเพื่อปกป้องพีซี Windows จากแรนซัมแวร์

มีชั้นเรียน โทรจันออกแบบมาเพื่อรีดไถเงินจากเหยื่อ พวกเขาเรียกว่า ransomware (ransomware ในภาษาอังกฤษ) Ransomware ซึ่งแพร่หลายในช่วงไม่กี่ปีที่ผ่านมาก็อยู่ในกลุ่มนี้เช่นกัน

ภัยคุกคามที่เล็ดลอดออกมาจากโปรแกรมเหล่านี้มีวัตถุประสงค์เพื่อบล็อกการทำงานของคอมพิวเตอร์หรือเข้ารหัสข้อมูลที่จัดเก็บไว้ในดิสก์และบล็อกการเข้าถึงไฟล์บางไฟล์ หลังจากนี้ ผู้โจมตีจะเรียกร้องการชำระเงินเพื่อยกเลิกการเปลี่ยนแปลงที่ทำโดยโปรแกรมดังกล่าวในคอมพิวเตอร์ของผู้อื่น สิ่งนี้นำมาซึ่งความสูญเสียร้ายแรง โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร

โปรแกรม Kaspersky Anti-Ransomware ฟรีเข้ากันได้กับโปรแกรมป้องกันไวรัสอื่น ๆ และสามารถเป็นเครื่องมือสำหรับการป้องกันโทรจันและแรนซัมแวร์แรนซัมแวร์เพิ่มเติม และเพื่อบันทึกคอมพิวเตอร์ค่ะ ปลอดภัยอย่างสมบูรณ์คุ้มค่า - เป็นแอปฟรี

คุณสมบัติของโปรแกรมป้องกันไวรัส Kaspersky ใหม่:

  • ฟรี
  • ตรวจจับแรนซัมแวร์ในระดับโซลูชั่นธุรกิจระดับพรีเมียม
  • เทคโนโลยีการป้องกันไวรัสที่ใช้: โปรแกรมป้องกันไวรัสไฟล์และ “การติดตามกิจกรรม”
  • เข้ากันได้กับโปรแกรมป้องกันไวรัสของบุคคลที่สาม
  • รองรับระบบปฏิบัติการทั่วไป: Windows ตั้งแต่ 7 ถึง 10 (รวมถึงการอัปเดตครบรอบ)
  • รายงานการระบุตัวตนจะถูกส่งทางอีเมลถึงผู้ดูแลระบบ

ข้อจำกัด


เครื่องมือป้องกันแรนซัมแวร์จาก Kaspersky ใช้วิธีการตรวจจับภัยคุกคามที่แตกต่างกันเพื่อปกป้องคอมพิวเตอร์ โปรแกรมป้องกันไวรัสจะระบุแอพพลิเคชั่นที่เป็นอันตรายโดยการวิเคราะห์ข้อมูลที่มีอยู่ในนั้น ฐานข้อมูลป้องกันไวรัส- ในการตรวจจับลักษณะการทำงานของแรนซัมแวร์ เครื่องมือนี้ใช้สองอย่าง เทคโนโลยีที่เป็นนวัตกรรม: “การตรวจสอบกิจกรรม” และ Kaspersky Security Network

Kaspersky Security Network ช่วยให้คุณตอบสนองต่อภัยคุกคามที่ไม่รู้จักได้เร็วขึ้น ในขณะที่ Activity Monitor สามารถบล็อกการเปลี่ยนแปลงของระบบที่เป็นอันตรายและย้อนกลับได้

ผู้ใช้ที่เข้าร่วม Kaspersky Security Network ช่วยให้ Kaspersky Lab สามารถรวบรวมข้อมูลเกี่ยวกับแหล่งที่มาของภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว และสร้างโซลูชันเพื่อต่อต้านภัยคุกคามเหล่านั้น เครือข่ายการรักษาความปลอดภัยของ Kaspersky - เครือข่ายคลาวด์การมีส่วนร่วมซึ่งรวมถึงการส่งสถิติที่โปรแกรมป้องกันไวรัสนี้รวบรวมในพีซีแต่ละเครื่องที่ใช้งานอยู่

เมื่อตรวจพบภัยคุกคาม เครื่องมือ Anti-Ransomware จะบล็อกโดยอัตโนมัติและเพิ่มลงในรายการแอปพลิเคชันที่ถูกบล็อก (เรียกว่าแอปพลิเคชันที่ถูกบล็อกในอินเทอร์เฟซ) อย่างไรก็ตาม ก่อนที่จะบล็อก โปรแกรมแรนซัมแวร์สามารถจัดการเพื่อดำเนินการบางอย่างในระบบปฏิบัติการได้ (เช่น เปลี่ยนไฟล์หรือสร้างไฟล์ใหม่ หรือทำการเปลี่ยนแปลงในรีจิสทรี) หากต้องการย้อนกลับการกระทำทั้งหมดของโปรแกรมที่เป็นอันตราย Anti-Ransomware จะบันทึกประวัติกิจกรรมของแอปพลิเคชันทั้งหมด

โปรแกรมป้องกันไวรัส Kaspersky Anti-Ransomware จะวางไฟล์ที่สร้างโดยมัลแวร์ไว้ในพื้นที่จัดเก็บข้อมูล สามารถกู้คืนได้จากที่นั่นโดยพนักงานของ Kaspersky Lab หากคุณต้องการกู้คืนไฟล์จากพื้นที่เก็บข้อมูล คุณสามารถขอคำแนะนำได้จากฟอรัมนักพัฒนาซอฟต์แวร์

หากระบบติดมัลแวร์จาก Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl หรือ Trojan - ตระกูล Ransom Win32.CryptXXX ไฟล์ทั้งหมดในคอมพิวเตอร์จะถูกเข้ารหัสดังนี้:

  • เมื่อติดเชื้อ Trojan-Ransom.Win32.Rannoh ชื่อและส่วนขยายจะเปลี่ยนไปตามรูปแบบที่ถูกล็อค-<оригинальное_имя>.<4 произвольных буквы>.
  • เมื่อติดไวรัส Trojan-Ransom.Win32.Cryakl ป้าย (CRYPTENDBLACKDC) จะถูกเพิ่มที่ส่วนท้ายของเนื้อหาไฟล์
  • เมื่อติดไวรัส Trojan-Ransom.Win32.AutoIt ส่วนขยายจะเปลี่ยนไปตามเทมเพลต<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    ตัวอย่างเช่น, [ป้องกันอีเมล] _.RZWDTDIC.
  • เมื่อติดไวรัส Trojan-Ransom.Win32.CryptXXX ส่วนขยายจะเปลี่ยนไปตามรูปแบบ<оригинальное_имя>.เข้ารหัสลับ<оригинальное_имя>.crypz และ<оригинальное_имя>.cryp1.

ยูทิลิตี้ RannohDecryptor ได้รับการออกแบบมาเพื่อถอดรหัสไฟล์หลังจากการติดไวรัส Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan- Ransom.Win32.Cryakl หรือ Trojan-Ransom.Win32.CryptXXX เวอร์ชัน 1, 2 และ 3

วิธีการรักษาระบบ

เพื่อรักษาระบบที่ติดเชื้อ:

  1. ดาวน์โหลดไฟล์ RannohDecryptor.zip
  2. เรียกใช้ RannohDecryptor.exe บนเครื่องที่ติดไวรัส
  3. ในหน้าต่างหลัก คลิก เริ่มตรวจสอบ.
  1. ระบุเส้นทางไปยังไฟล์ที่เข้ารหัสและไม่ได้เข้ารหัส
    หากไฟล์ถูกเข้ารหัสโดย Trojan-Ransom.Win32.CryptXXX ให้ระบุไฟล์เอง ขนาดใหญ่- การถอดรหัสจะใช้ได้กับไฟล์ที่มีขนาดเท่ากันหรือเล็กกว่าเท่านั้น
  2. รอจนกระทั่งสิ้นสุดการค้นหาและถอดรหัสไฟล์ที่เข้ารหัส
  3. รีสตาร์ทคอมพิวเตอร์ของคุณหากจำเป็น
  4. หลังจากล็อค-<оригинальное_имя>.<4 произвольных буквы>หากต้องการลบสำเนาของไฟล์ที่เข้ารหัสหลังจากการถอดรหัสสำเร็จ ให้เลือก

หากไฟล์ถูกเข้ารหัสโดย Trojan-Ransom.Win32.Cryakl ยูทิลิตี้จะบันทึกไฟล์ในตำแหน่งเก่าโดยมีนามสกุล .decryptedKLR.Original_extension หากคุณได้เลือกแล้ว ลบไฟล์ที่เข้ารหัสหลังจากการถอดรหัสสำเร็จไฟล์ที่ถอดเสียงจะถูกบันทึกโดยยูทิลิตี้ด้วยชื่อดั้งเดิม

  1. ตามค่าเริ่มต้น ยูทิลิตีจะแสดงรายงานงานในรูท ดิสก์ระบบ(ดิสก์ที่ติดตั้งระบบปฏิบัติการ)

    ชื่อรายงานจะเป็นดังนี้: UtilityName.Version_Date_Time_log.txt

    ตัวอย่างเช่น C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

ในระบบที่ติดไวรัส Trojan-Ransom.Win32.CryptXXX ยูทิลิตี้นี้จะสแกนรูปแบบไฟล์ในจำนวนที่จำกัด หากผู้ใช้เลือกไฟล์ที่ได้รับผลกระทบจาก CryptXXX v2 การกู้คืนคีย์อาจใช้เวลานาน ในกรณีนี้ ยูทิลิตี้จะแสดงคำเตือน