Kaspersky'nin şifre çözmesi. Fidye yazılımı virüsünden sonra dosyaları kurtarma. Özel yardımcı programları kullanma

Yaklaşık bir veya iki hafta önce, internette modern virüs yapımcılarının ürettiği ve kullanıcının tüm dosyalarını şifreleyen başka bir hack ortaya çıktı. Bir fidye yazılımı virüsünden sonra bilgisayarın nasıl iyileştirileceği sorusunu bir kez daha ele alacağım şifrelenmiş000007 ve şifrelenmiş dosyaları kurtarın. Bu durumda, yeni veya benzersiz hiçbir şey ortaya çıkmadı, yalnızca önceki sürümün bir modifikasyonu ortaya çıktı.

Fidye yazılımı virüsünden sonra dosyaların şifresinin çözülmesi garantilidir - dr-shifro.ru. İşin detayları ve müşteri ile etkileşim şeması aşağıda yazımda veya web sitesinde “İş Prosedürü” bölümünde yer almaktadır.

CRYPTED000007 fidye yazılımı virüsünün açıklaması

CRYPTED000007 şifreleyici, öncekilerden temel olarak farklı değildir. Neredeyse tamamen aynı şekilde çalışır. Ama yine de onu ayıran birkaç nüans var. Sana her şeyi sırasıyla anlatacağım.

Analogları gibi posta yoluyla gelir. Kullanıcının mektuba ilgi duymasını ve mektubu açmasını sağlamak için sosyal mühendislik teknikleri kullanılır. Benim durumumda, mektup bir çeşit mahkemeden bahsediyordu ve önemli bilgi ekteki olayla ilgili. Eki başlattıktan sonra kullanıcı, Moskova Tahkim Mahkemesi'nden bir alıntı içeren bir Word belgesini açar.

Belgenin açılmasına paralel olarak dosya şifreleme başlar. Windows Kullanıcı Hesabı Denetimi sisteminden bir bilgi mesajı sürekli olarak açılmaya başlar.

Teklifi kabul ediyorsanız dosyaları gölgede yedekleyin Windows kopyaları silinecek ve bilgilerin kurtarılması çok zor olacaktır. Teklifi hiçbir koşulda kabul edemeyeceğiniz açıktır. Bu şifreleyicide, bu istekler sürekli olarak birbiri ardına ortaya çıkıyor ve durmuyor, kullanıcıyı yedek kopyaları kabul etmeye ve silmeye zorluyor. Bu, şifreleyicilerin önceki değişikliklerinden temel farktır. Gölge kopyaların durmadan silinmesi yönündeki taleplerle hiç karşılaşmadım. Genellikle 5-10 tekliften sonra duruyorlardı.

Hemen gelecek için bir tavsiyede bulunacağım. İnsanların Kullanıcı Hesabı Denetimi uyarılarını devre dışı bırakması çok yaygındır. Bunu yapmaya gerek yok. Bu mekanizma virüslere karşı direnmede gerçekten yardımcı olabilir. İkinci bariz tavsiye ise sürekli olarak gözetim altında çalışmamaktır. hesap nesnel bir ihtiyaç olmadıkça bilgisayar yöneticisi. Bu durumda virüsün çok fazla zarar verme şansı kalmayacaktır. Ona direnmek için daha iyi bir şansın olacak.

Ancak fidye yazılımının isteklerine her zaman olumsuz yanıt vermiş olsanız bile, tüm verileriniz zaten şifrelenmiştir. Şifreleme işlemi tamamlandıktan sonra masaüstünüzde bir resim göreceksiniz.

Aynı zamanda çok sayıda olacak metin dosyaları aynı içerikle.

Dosyalarınız şifrelendi. Ux'un şifresini çözmek için şu kodu göndermeniz gerekir: 329D54752553ED978F94|0 e-posta adresine [e-posta korumalı]. Daha sonra gerekli tüm talimatları alacaksınız. Kendi başınıza deşifre etme girişimleri, geri alınamaz sayıda bilgiden başka bir şeye yol açmayacaktır. Yine de denemek istiyorsanız, önce dosyaların yedek kopyalarını alın, aksi takdirde değişiklik durumunda şifre çözme hiçbir koşulda imkansız hale gelecektir. 48 saat içinde yukarıdaki adrese bildirim almadıysanız (yalnızca bu durumda!) iletişim formunu kullanın. Bu iki şekilde yapılabilir: 1) İndirin ve yükleyin Tor tarayıcısışu bağlantı aracılığıyla: https://www.torproject.org/download/download-easy.html.en Tor Tarayıcı adres kutusuna http://cryptsen7fo43rr6.onion/ adresini girin ve Enter tuşuna basın. İletişim formunun bulunduğu sayfa yüklenecektir. 2) Herhangi bir tarayıcıda şu adreslerden birine gidin: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Bilgisayarınızdaki tüm önemli dosyalar şifrelenmiştir. Dosyaların şifresini çözmek için aşağıdaki kodu göndermelisiniz: 329D54752553ED978F94|0 e-posta adresine [e-posta korumalı]. Daha sonra gerekli tüm talimatları alacaksınız. Kendi başınıza yaptığınız tüm şifre çözme girişimleri, yalnızca verilerinizin geri alınamaz şekilde kaybolmasıyla sonuçlanacaktır. Eğer yine de şifrelerini kendiniz çözmek istiyorsanız, lütfen ilk önce bir yedekleme yapın çünkü dosyalar içinde herhangi bir değişiklik olması durumunda şifre çözme imkansız hale gelecektir. Yukarıda belirtilen e-postanın yanıtını 48 saatten fazla bir süre boyunca almadıysanız (ve yalnızca bu durumda!), geri bildirim formunu kullanın. Yapabilirsiniz bunu iki şekilde yapın: 1) Tor Tarayıcı'yı buradan indirin: https://www.torproject.org/download/download-easy.html.en Kurun ve adres çubuğuna aşağıdaki adresi yazın: http://cryptsen7fo43rr6 .onion/ Enter tuşuna bastığınızda geri bildirim formunun bulunduğu sayfa yüklenecektir. 2) Herhangi bir tarayıcıda aşağıdaki adreslerden birine gidin: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Posta adresi değişebilir. Ayrıca şu adreslere de rastladım:

Adresler sürekli güncellendiğinden tamamen farklı olabilirler.

Dosyalarınızın şifrelendiğini fark ettiğiniz anda bilgisayarınızı hemen kapatın. Bu, şifreleme işlemini aşağıdaki gibi kesmek için yapılmalıdır: yerel bilgisayar ve ağ sürücülerinde. Bir şifreleme virüsü, ağ sürücüleri de dahil olmak üzere ulaşabildiği tüm bilgileri şifreleyebilir. Ancak orada çok miktarda bilgi varsa, bu onun çok zamanını alacaktır. Bazen, birkaç saat içinde bile fidye yazılımının, yaklaşık 100 gigabayt kapasiteli bir ağ sürücüsündeki her şeyi şifrelemek için zamanı olmuyordu.

Daha sonra nasıl davranacağınızı dikkatlice düşünmeniz gerekir. Ne pahasına olursa olsun bilgisayarınızda bilgiye ihtiyacınız varsa ve elinizde yoksa yedek kopyalar, o zaman şu anda uzmanlarla iletişime geçmek daha iyidir. Bazı şirketler için mutlaka para için değil. Sadece iyi olan birine ihtiyacın var bilgi sistemi. Nasıl ilerleneceğini anlamak için felaketin boyutunu değerlendirmek, virüsü ortadan kaldırmak ve durumla ilgili mevcut tüm bilgileri toplamak gerekir.

Bu aşamadaki yanlış eylemler, dosyaların şifresini çözme veya geri yükleme sürecini önemli ölçüde karmaşıklaştırabilir. En kötü durumda bunu imkansız hale getirebilirler. Bu yüzden acele etmeyin, dikkatli ve tutarlı olun.

CRYPTED000007 fidye yazılımı virüsü dosyaları nasıl şifreler?

Virüs başlatıldıktan ve etkinliğini tamamladıktan sonra, tüm yararlı dosyalar şifrelenecek ve yeniden adlandırılacaktır. extension.crypted000007. Üstelik sadece dosya uzantısı değil, dosya adı da değiştirilecek, yani hatırlamadığınız takdirde tam olarak ne tür dosyalara sahip olduğunuzu bilemezsiniz. Bunun gibi bir şeye benzeyecek.

Böyle bir durumda, hayatınızda neler yaşadığınızı tam olarak hatırlayamayacağınız için trajedinin boyutunu değerlendirmek zor olacaktır. farklı klasörler. Bu özellikle insanların kafasını karıştırmak ve onları dosya şifre çözme için ödeme yapmaya teşvik etmek için yapıldı.

Ağ klasörleriniz şifrelenmişse ve tam yedekleme yoksa, bu, tüm kuruluşun çalışmasını tamamen durdurabilir. Restorasyona başlamak için sonuçta neyin kaybolduğunu anlamanız biraz zaman alacak.

Bilgisayarınızı nasıl tedavi edersiniz ve CRYPTED000007 fidye yazılımını nasıl kaldırabilirsiniz?

CRYPTED000007 virüsü zaten bilgisayarınızda. İlk ve en ana soru- henüz tamamlanmadıysa daha fazla şifrelemeyi önlemek için bir bilgisayarın nasıl dezenfekte edileceği ve ondan bir virüsün nasıl kaldırılacağı. Bilgisayarınızda bazı eylemler gerçekleştirmeye başladıktan sonra verilerin şifresini çözme şansının azaldığına hemen dikkatinizi çekmek isterim. Ne pahasına olursa olsun dosyaları kurtarmanız gerekiyorsa bilgisayarınıza dokunmayın, hemen profesyonellerle iletişime geçin. Aşağıda bunlardan bahsedip siteye link verip nasıl çalıştıklarını anlatacağım.

Bu arada bilgisayarı bağımsız olarak tedavi etmeye ve virüsü kaldırmaya devam edeceğiz. Geleneksel olarak fidye yazılımı bilgisayardan kolayca kaldırılır çünkü virüsün ne pahasına olursa olsun bilgisayarda kalma görevi yoktur. Dosyaları tamamen şifreledikten sonra kendisini silerek ortadan kaybolması onun için daha da karlı olur, dolayısıyla olayı araştırmak ve dosyaların şifresini çözmek daha da zorlaşır.

Bir virüsün manuel olarak nasıl kaldırılacağını anlatmak zordur, ancak bunu daha önce yapmayı denemiş olsam da çoğu zaman bunun anlamsız olduğunu görüyorum. Dosya adları ve virüs yerleştirme yolları sürekli değişmektedir. Gördüklerimin artık bir veya iki hafta içinde geçerliliği kalmayacak. Genellikle virüsler posta yoluyla dalgalar halinde gönderilir ve her seferinde antivirüsler tarafından henüz algılanmayan yeni bir değişiklik meydana gelir. Otomatik başlatmayı kontrol eden ve algılayan evrensel araçlar şüpheli aktivite sistem klasörlerinde.

CRYPTED000007 virüsünü kaldırmak için aşağıdaki programları kullanabilirsiniz:

  1. Kaspersky Virüsü Temizleme Aracı- Kaspersky'den bir yardımcı program http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - diğer web http://free.drweb.ru/cureit'ten benzer bir ürün.
  3. İlk iki yardımcı program yardımcı olmazsa MALWAREBYTES 3.0 - https://ru.malwarebytes.com adresini deneyin.

Büyük ihtimalle bu ürünlerden biri bilgisayarınızı CRYPTED000007 fidye yazılımından temizleyecektir. Aniden yardım etmezlerse, virüsü manuel olarak kaldırmayı deneyin. Kaldırma yönteminin bir örneğini verdim, orada görebilirsiniz. Kısaca adım adım şu şekilde hareket etmeniz gerekiyor:

  1. Görev yöneticisine birkaç ek sütun ekledikten sonra işlemler listesine bakıyoruz.
  2. Virüs sürecini buluyoruz, bulunduğu klasörü açıyoruz ve siliyoruz.
  3. Kayıt defterindeki dosya adına göre virüs işleminin sözünü temizliyoruz.
  4. Yeniden başlatıyoruz ve CRYPTED000007 virüsünün çalışan işlemler listesinde olmadığından emin oluyoruz.

CRYPTED000007 şifre çözücüyü nereden indirebilirim?

Basit ve güvenilir bir şifre çözücü sorunu, her şeyden önce fidye yazılımı virüsü söz konusu olduğunda ortaya çıkar. İlk tavsiyem https://www.nomoreransom.org hizmetini kullanmak. Peki ya şanslıysanız ve CRYPTED000007 şifreleyici sürümünüz için bir şifre çözücü varsa? Hemen söyleyeyim çok fazla şansınız yok ama denemek işkence değil. Açık ana sayfa Evet'i tıklayın:

Ardından birkaç şifrelenmiş dosya indirin ve Git'e tıklayın! Anlamak:

Bu yazının yazıldığı sırada sitede şifre çözücü yoktu.

Belki daha iyi şansa sahip olursunuz. İndirilecek şifre çözücülerin listesini ayrı bir sayfada da görebilirsiniz - https://www.nomoreransom.org/decryption-tools.html. Belki orada işe yarar bir şeyler vardır. Virüs tamamen taze olduğunda bunun olma ihtimali çok azdır, ancak zamanla bir şeyler ortaya çıkabilir. İnternette bazı şifreleyici değişiklikleri için şifre çözücülerin göründüğü örnekler vardır. Ve bu örnekler belirtilen sayfadadır.

Kod çözücüyü başka nerede bulabileceğinizi bilmiyorum. Modern şifreleyicilerin çalışmalarının özellikleri dikkate alındığında, gerçekte var olması pek olası değildir. Yalnızca virüsün yazarları tam teşekküllü bir şifre çözücüye sahip olabilir.

CRYPTED000007 virüsünden sonra dosyaların şifresi nasıl çözülür ve kurtarılır

CRYPTED000007 virüsü dosyalarınızı şifrelediğinde ne yapmalısınız? Şifrelemenin teknik uygulaması, yalnızca şifreleyicinin yazarının sahip olduğu bir anahtar veya şifre çözücü olmadan dosyaların şifresinin çözülmesine izin vermez. Belki bunu elde etmenin başka bir yolu vardır, ancak bu bilgiye sahip değilim. Dosyaları yalnızca doğaçlama yöntemler kullanarak kurtarmayı deneyebiliriz. Bunlar şunları içerir:

  • Alet gölge kopyalar pencereler.
  • Silinen veri kurtarma programları

Öncelikle etkinleştirip etkinleştirmediğimizi kontrol edelim. gölge kopyalar. Bu araç, manuel olarak devre dışı bırakmadığınız sürece Windows 7 ve sonraki sürümlerde varsayılan olarak çalışır. Kontrol etmek için bilgisayar özelliklerini açın ve sistem koruma bölümüne gidin.

Bulaşma sırasında UAC'nin gölge kopyalardaki dosyaları silme isteğini onaylamadıysanız, bazı verilerin orada kalması gerekir. Hikayenin başında virüsün nasıl çalıştığından bahsederken bu istekten daha detaylı bahsetmiştim.

Dosyaları gölge kopyalardan kolayca geri yüklemek için, bunun için ücretsiz bir program olan ShadowExplorer'ı kullanmanızı öneririm. Arşivi indirin, programı paketinden çıkarın ve çalıştırın.

Dosyaların en son kopyası ve C sürücüsünün kökü açılacaktır. Sol üst köşede, birkaç tane varsa yedek kopyayı seçebilirsiniz. Kullanılabilirlik açısından farklı kopyaları kontrol edin gerekli dosyalar. Daha fazlasının olduğu tarihlere göre karşılaştırın En son sürüm. Aşağıdaki örneğimde, masaüstümde en son düzenlendikleri üç ay öncesine ait 2 dosya buldum.

Bu dosyaları kurtarabildim. Bunu yapmak için onları seçtim, tıkladım sağ tık fare, Dışa Aktar'ı seçti ve bunların geri yükleneceği klasörü belirtti.

Aynı prensibi kullanarak klasörleri hemen geri yükleyebilirsiniz. Çalışan gölge kopyalarınız varsa ve bunları silmediyseniz, virüs tarafından şifrelenen dosyaların tamamını veya neredeyse tamamını kurtarma şansınız yüksektir. Belki bazıları daha fazla olacak eski versiyon, istediğimizden ama yine de hiç yoktan iyidir.

Herhangi bir nedenle dosyalarınızın gölge kopyalarına sahip değilseniz, şifrelenmiş dosyalardan en azından bir şeyler alma şansınız, onları kurtarma araçlarını kullanarak geri yüklemektir. silinen dosyalar. Bunu yapmak için ücretsiz Photorec programını kullanmanızı öneririm.

Programı başlatın ve dosyaları geri yükleyeceğiniz diski seçin. Programın grafik versiyonunu başlatmak dosyayı çalıştırır qphotorec_win.exe. Bulunan dosyaların yerleştirileceği klasörü seçmelisiniz. Bu klasörün aradığımız sürücüde bulunmaması daha iyidir. Bir flash sürücüyü veya harici sürücüyü bağlayın Sabit disk bunun için.

Arama süreci uzun zaman alacaktır. Sonunda istatistikleri göreceksiniz. Artık önceden belirtilen klasöre gidebilir ve orada ne bulunduğunu görebilirsiniz. Büyük olasılıkla çok sayıda dosya olacak ve bunların çoğu ya hasar görmüş olacak ya da bir tür sistem ve işe yaramaz dosyalar olacak. Ancak yine de bu listede bazı yararlı dosyalar bulunabilir. Burada hiçbir garanti yok, ne bulursanız onu bulacaksınız. Görüntüler genellikle en iyi şekilde geri yüklenir.

Sonuç sizi tatmin etmiyorsa silinen dosyaları kurtarmak için programlar da vardır. Maksimum sayıda dosyayı kurtarmam gerektiğinde genellikle kullandığım programların listesi aşağıdadır:

  • R. koruyucu
  • Starus Dosya Kurtarma
  • JPEG Kurtarma Pro
  • Aktif Dosya Kurtarma Uzmanı

Bu programlar ücretsiz değildir, dolayısıyla bağlantı vermeyeceğim. Gerçekten istiyorsanız, bunları internette kendiniz bulabilirsiniz.

Dosya kurtarma işleminin tamamı makalenin sonundaki videoda ayrıntılı olarak gösterilmektedir.

Kaspersky, eset nod32 ve diğerleri Filecoder.ED şifreleyiciye karşı mücadelede

Popüler antivirüsler CRYPTED000007 fidye yazılımını şu şekilde algılar: Dosya kodlayıcı.ED ve sonra başka bir atama olabilir. Büyük antivirüs forumlarına baktım ve orada yararlı bir şey görmedim. Ne yazık ki, her zamanki gibi antivirüs yazılımının yeni bir fidye yazılımı dalgasına karşı hazırlıksız olduğu ortaya çıktı. İşte Kaspersky forumundan bir gönderi.

Antivirüsler geleneksel olarak fidye yazılımı Truva atlarının yeni değişikliklerini kaçırır. Yine de bunları kullanmanızı tavsiye ederim. Şanslıysanız ve fidye yazılımı e-postasını enfeksiyonun ilk dalgasında değil de biraz sonra alırsanız, antivirüsün size yardımcı olma ihtimali vardır. Hepsi saldırganların bir adım gerisinde çalışıyor. Görünüşe göre yeni bir versiyon fidye yazılımı, antivirüsler buna yanıt vermiyor. Yeni bir virüsle ilgili araştırma için belirli miktarda malzeme biriktiğinde, antivirüs yazılımı bir güncelleme yayınlar ve ona yanıt vermeye başlar.

Antivirüslerin sistemdeki herhangi bir şifreleme işlemine anında yanıt vermesini engelleyen şeyin ne olduğunu anlamıyorum. Belki de bu konuda, kullanıcı dosyalarının şifrelenmesini yeterince yanıtlamamıza ve önlememize izin vermeyen bazı teknik nüanslar vardır. Bana öyle geliyor ki, en azından birinin dosyalarınızı şifrelediğine dair bir uyarı görüntülemek ve süreci durdurmayı teklif etmek mümkün olabilir.

Garantili şifre çözme için nereye gitmeli

CRYPTED000007 de dahil olmak üzere çeşitli şifreleme virüslerinin çalışmasından sonra verilerin şifresini gerçekten çözen bir şirketle tanıştım. Adresleri http://www.dr-shifro.ru'dur. Ödeme yalnızca tam şifre çözme ve doğrulama sonrasında yapılır. İşte yaklaşık bir çalışma şeması:

  1. Bir şirket uzmanı ofisinize veya evinize gelir ve sizinle işin maliyetini belirleyen bir sözleşme imzalar.
  2. Şifre çözücüyü başlatır ve tüm dosyaların şifresini çözer.
  3. Tüm dosyaların açıldığından emin olun ve tamamlanan işin teslim/kabul belgesini imzalayın.
  4. Ödeme yalnızca başarılı şifre çözme sonuçlarına göre yapılır.

Dürüst olacağım, bunu nasıl yaptıklarını bilmiyorum ama hiçbir şeyi riske atmazsın. Ödeme yalnızca kod çözücünün çalışmasının gösterilmesinden sonra yapılır. Lütfen bu şirketle olan deneyiminiz hakkında bir inceleme yazın.

CRYPTED000007 virüsüne karşı korunma yöntemleri

Fidye yazılımlarından nasıl korunabilir, maddi ve manevi zararlardan nasıl kaçınabilirsiniz? Bazı basit ve etkili ipuçları var:

  1. Destek olmak! Tüm önemli verilerin yedeklenmesi. Ve sadece bir yedekleme değil, sürekli erişimin olmadığı bir yedekleme. Aksi takdirde virüs hem belgelerinize hem de yedek kopyalarınıza bulaşabilir.
  2. Lisanslı antivirüs. %100 garanti vermeseler de şifrelemeden kaçınma şansını arttırırlar. Çoğu zaman şifreleyicinin yeni sürümlerine hazır değillerdir, ancak 3-4 gün sonra yanıt vermeye başlarlar. Bu, fidye yazılımının yeni bir modifikasyonunun ilk dağıtım dalgasına dahil olmamanız durumunda enfeksiyondan kaçınma şansınızı artırır.
  3. Postadaki şüpheli ekleri açmayın. Burada yorum yapacak bir şey yok. Bildiğim tüm fidye yazılımları kullanıcılara e-posta yoluyla ulaştı. Üstelik her seferinde kurbanı kandırmak için yeni hileler icat ediliyor.
  4. Arkadaşlarınızdan size gönderilen bağlantıları düşüncesizce açmayın. sosyal medya veya haberciler. Bazen virüsler de bu şekilde yayılır.
  5. pencere ekranı Dosya uzantıları. Bunun nasıl yapılacağını internette bulmak kolaydır. Bu, virüsteki dosya uzantısını fark etmenizi sağlayacaktır. Çoğu zaman öyle olacak .exe, .vbs, .src. Belgelerle yaptığınız günlük çalışmalarda bu tür dosya uzantılarıyla karşılaşmanız pek olası değildir.

Fidye yazılımı virüsüyle ilgili her yazımda daha önce yazdıklarımı tamamlamaya çalıştım. Bu arada veda ediyorum. Makale ve genel olarak CRYPTED000007 fidye yazılımı virüsü hakkında yararlı yorumlar almaktan memnuniyet duyarım.

Dosya şifre çözme ve kurtarma hakkında video

İşte virüsün daha önceki bir değişikliğinin bir örneği, ancak video tamamen CRYPTED000007 ile ilgilidir.

Bilgisayarınızda görünüyorsa SMS Dosyalarınızın şifrelendiğini söylüyorsa paniğe kapılmayın. Dosya şifrelemenin belirtileri nelerdir? Normal uzantı *.vault, *.xtbl, * olarak değişir [e-posta korumalı] _XO101 vb. Dosyalar açılamıyor - mesajda belirtilen adrese mektup gönderilerek satın alınabilecek bir anahtar gereklidir.

Şifrelenmiş dosyaları nereden aldınız?

Bilgisayar, bilgiye erişimi engelleyen bir virüs yakaladı. Antivirüs programları genellikle bunları gözden kaçırır çünkü program genellikle zararsız, ücretsiz bir şifreleme yardımcı programına dayalıdır. Virüsün kendisini yeterince hızlı bir şekilde kaldıracaksınız, ancak bilgilerin şifresini çözmede ciddi sorunlar ortaya çıkabilir.

Kullanıcıların verilerin şifresini çözme taleplerine yanıt olarak Kaspersky Lab, Dr.Web ve anti-virüs yazılımı geliştiren diğer tanınmış şirketlerin teknik desteği, bunu kabul edilebilir bir sürede yapmanın imkansız olduğunu bildiriyor. Kodu alabilen birkaç program var, ancak bunlar yalnızca önceden çalışılmış virüslerle çalışabilir. Yeni bir değişiklikle karşılaşırsanız, bilgiye erişimi geri yükleme şansı son derece düşüktür.

Fidye yazılımı virüsü bilgisayara nasıl bulaşır?

Vakaların %90'ında kullanıcılar virüsü bilgisayarlarında kendileri etkinleştirir, bilinmeyen harfleri açma. Daha sonra e-postaya kışkırtıcı bir konu içeren bir mesaj gönderilir - "Mahkeme celbi", "Kredi borcu", "Vergi dairesinden bildirim" vb. Sahte mektubun içinde, fidye yazılımının indirildikten sonra bilgisayara girdiği ve dosyalara erişimi yavaş yavaş engellemeye başladığı bir ek vardır.

Şifreleme anında gerçekleşmez, bu nedenle kullanıcıların tüm bilgiler şifrelenmeden önce virüsü kaldırmak için zamanları olur. Dr.Web CureIt ve Kaspersky temizleme yardımcı programlarını kullanarak kötü amaçlı bir komut dosyasını yok edebilirsiniz. internet güvenliği ve Malwarebytes Antimalware.

Dosya kurtarma yöntemleri

Bilgisayarınızda sistem koruması etkinleştirildiyse, fidye yazılımı virüsünün etkisinden sonra bile dosyaların gölge kopyalarını kullanarak dosyaları normal durumuna döndürme şansı vardır. Fidye yazılımları genellikle bunları kaldırmaya çalışır ancak bazen yönetici haklarının olmaması nedeniyle bunu başaramazlar.

Önceki bir sürümü geri yükleme:

Önceki sürümlerin kaydedilebilmesi için sistem korumasını etkinleştirmeniz gerekir.

Önemli: Fidye yazılımı ortaya çıkmadan önce sistem koruması etkinleştirilmelidir, bundan sonra artık yardımcı olmayacaktır.

  1. Bilgisayar özelliklerini açın.
  2. Soldaki menüden Sistem Koruması'nı seçin.
  3. C sürücüsünü seçin ve "Yapılandır"a tıklayın.
  4. Geri yükleme ayarlarını seçin ve önceki sürümler Dosyalar. Değişiklikleri "Tamam"a tıklayarak uygulayın.

Bu adımları dosya şifreleyen bir virüs ortaya çıkmadan önce yaptıysanız, bilgisayarınızı temizledikten sonra zararlı kod bilgilerinizi kurtarmak için iyi bir şansınız olacak.

Özel yardımcı programları kullanma

Kaspersky Lab, virüsü kaldırdıktan sonra şifrelenmiş dosyaların açılmasına yardımcı olacak çeşitli yardımcı programlar hazırladı. Denemeniz gereken ilk şifre çözücü Kaspersky RectorDecryptor'dır.

  1. Programı resmi Kaspersky Lab web sitesinden indirin.
  2. Ardından yardımcı programı çalıştırın ve "Taramayı başlat"a tıklayın. Herhangi bir şifrelenmiş dosyanın yolunu belirtin.

Kötü amaçlı program dosyaların uzantısını değiştirmediyse, bunların şifresini çözmek için bunları ayrı bir klasörde toplamanız gerekir. Yardımcı program RectorDecryptor ise resmi Kaspersky web sitesinden iki program daha indirin - XoristDecryptor ve RakhniDecryptor.

Kaspersky Lab'in en son yardımcı programının adı Ransomware Decryptor'dır. RuNet'te henüz çok yaygın olmayan ancak yakında diğer Truva atlarının yerini alabilecek CoinVault virüsünden sonra dosyaların şifresinin çözülmesine yardımcı olur.

Bu metin sizi bir yere kurtarabilir $300 . Bu yaklaşık olarak Truva atının fidye olarak talep edeceği ortalama fidye miktarıdır. Ve kişisel fotoğraflarınızı, belgelerinizi ve diğer dosyalarınızı virüslü bilgisayardan "rehin" alacaktır.

Böyle bir enfeksiyonu kapmak çok kolaydır. Bunu yapmak için, şüpheli porno sitelerinde gezinmek veya Spam klasöründeki tüm dosyaları arka arkaya açmak için saatler harcamanıza hiç gerek yok. Çevrimiçi ortamda yanlış bir şey yapmasanız bile hâlâ risk altındasınız. Nasıl? Okumaya devam etmek.

Fidye yazılımı virüsleri nelerdir?

Bunlar, bilgisayarınızın veya akıllı telefonunuzun işlevselliğini geri yüklemek için fidye talep eden kötü amaçlı programlardır. İki türe ayrılırlar.

Bu programların ilk grubu, dosyaları şifrelenene kadar kullanılamayacak şekilde şifreler. Ve şifreyi çözmek için para talep ediyorlar. Bu tür fidye yazılımlarına denir kriptograflar(şifreleyici, kripto fidye yazılımı) - ve bunlar en tehlikeli olanlardır.

Başka bir kötü amaçlı yazılım grubu - engelleyiciler(engelleyici) - bir bilgisayarın veya akıllı telefonun normal çalışmasını basitçe engeller. Tedavileri genellikle daha kolaydır.

Fidye yazılımı fidye olarak ne kadar para gerektirir?

Değişir, ancak ortalama fidye Truva Atı'nın fidye olarak talep edeceği miktar 300 $'dır. 30 doların yeterli olduğu “mütevazı” gaspçılar var. Ve miktarın onbinlerce dolar cinsinden ölçüldüğü oluyor. Genellikle şirketlerden ve diğer zengin müşterilerden büyük miktarda fidye talep edilir; bunlara genellikle kasıtlı olarak "manuel modda" virüs bulaşır.

Fidye ödemeden virüslü dosyaların şifresini çözmek mümkün mü?

Bazen evet ama her zaman değil. Çoğu modern şifreleyici güçlü şifreleme algoritmaları kullanır. Bu, deşifre işleminin uzun yıllar başarısızlıkla yapılabileceği anlamına gelir.

Bazen saldırganlar şifrelemeyi uygulamada hata yapar veya kolluk kuvvetleri kriptografik anahtarlarla suçluların sunucularına el koymayı başarır. Bu durumda uzmanlar bir şifre çözme yardımcı programı oluşturabilirler.

Fidye nasıl ödeniyor?

Genellikle kripto para birimini kullanırlar - bitcoinler. Bu, sahtesi yapılamayacak kadar kurnaz bir elektronik paradır. İşlem geçmişi herkes tarafından görülebiliyor ancak cüzdanın sahibinin kim olduğunu takip etmek oldukça zor. Saldırganların Bitcoin'i tercih etmelerinin nedeni tam olarak budur. Polise yakalanma ihtimaliniz azalır.

Bazı gaspçılar anonim İnternet cüzdanlarını ve hatta belirli bir numaraya ödemeleri kullanıyor cep telefonu. Hafızamızdaki en abartılı yöntem, saldırganların fidyeyi yalnızca 50 dolar değerindeki iTunes kartlarını kullanarak kabul etmeleriydi.

Fidye yazılımı bilgisayarıma nasıl girebilir?

En yaygın yol, e-posta. Şantajcılar genellikle bir tür yararlı yatırımmış gibi davranırlar - acil bir ödeme faturası, ilginç bir makale veya ücretsiz bir program. Böyle bir eki açarak bilgisayarınıza kötü amaçlı yazılım başlatırsınız.

Fidye yazılımını yalnızca internette gezinerek, herhangi bir dosyayı açmadan bile alabilirsiniz. Fidye yazılımı, sistemin kontrolünü ele geçirmek için koddaki hataları kullanır işletim sistemi, tarayıcı veya bilgisayarınızda yüklü başka bir program. Bu nedenle yazılım ve işletim sistemi güncellemelerini yüklemeyi unutmamak çok önemlidir (bu arada bu görev Kaspersky Internet Security veya Kaspersky Total Security'ye verilebilir - en son sürümler bunu otomatik olarak yapabilir).

Bazı fidye yazılımları yerel ağ kullanılarak yayılabilir. Böyle bir Truva atı bir bilgisayara bulaştığında, bilgisayarınızdaki diğer tüm makinelere de bulaşmaya çalışacaktır. ev ağı veya yerel ağ kuruluşlar. Ancak bu tamamen egzotik bir seçenektir.

Elbette daha önemsiz enfeksiyon senaryoları da var. Torrenti indirdim, dosyayı başlattım... ve işte bu kadar, geldik.

Hangi dosyalara karşı dikkatli olmalısınız?

Artan tehlikenin ikinci kategorisi MS Office belgeleridir (DOC, DOCX, XLS, XLSX, PPT ve benzeri). İçlerindeki tehlike, MS Office makroları kullanılarak yazılan yerleşik programlarla temsil edilir. Bir ofis dosyasını açarken makro komutlarına izin vermeniz istenirse, bunu yapıp yapmama konusunda iki kez düşünün.

Kısayol dosyaları (LNK uzantılı) da tehlikelidir. Windows bunları herhangi bir simgeyle görüntüleyebilir; bu da "güvenli" görünen bir adla birleştiğinde korumanızı azaltabilir.

Önemli nokta: Windows varsayılan olarak sistem tarafından bilinen dosya türlerinin uzantılarını gizler. Bu nedenle, Önemli_info.txt adında bir dosyayla karşılaşırsanız, metin içeriğinin güvenliğine güvenerek acele etmeyin: "txt" adın bir parçası olabilir ve dosya uzantısı tamamen farklı olabilir.

Hiçbir şeye tıklamazsanız ve İnternet'in çöp yığınlarını karıştırmazsanız virüs kapmaz mısınız?

Bir Mac'im var. Onlar için fidye yazılımı yok mu?

Yemek yemek. Örneğin, Mac kullanıcıları, popüler Transmission torrent istemcisinin resmi yapısına sızmayı başaran KeRanger fidye yazılımı Truva Atı tarafından başarılı bir şekilde saldırıya uğradı.

Fidye yazılımı alırsam bilgisayarımı nasıl iyileştirebilirim?

Truva atı engelleyicilerine karşı yardımcı olur ücretsiz program Kaspersky Windows Kilit Açıcı .

Şifreleyicilerle savaşmak daha zordur. Öncelikle enfeksiyonu ortadan kaldırmanız gerekiyor - bunun için bir antivirüs kullanmak en iyisidir. Ücretli olanı yoksa ücretsiz olanı indirebilirsiniz Deneme sürümü Sınırlı bir süre ile bu tedavi için yeterli olacaktır.

Bir sonraki aşama şifrelenmiş dosyaları geri yüklemektir.

Bir yedeğiniz varsa, en kolay yol, dosyaları ondan geri yüklemektir.

Yedekleme yoksa, dosyaların şifresini kullanarak dosyaları çözmeyi deneyebilirsiniz. özel araçlar- şifre çözücüler. Kaspersky Lab tarafından oluşturulan tüm ücretsiz şifre çözücüleri web sitesinde bulabilirsiniz.

Diğer antivirüs şirketleri de şifre çözücüler üretiyor. Bu tür programları şüpheli sitelerden indirmeyin; başka bir enfeksiyonu kolayca yakalayabilirsiniz. Uygun bir yardımcı program yoksa, o zaman kalır tek yol- Dolandırıcılara ödeme yapın ve onlardan bir şifre çözme anahtarı alın. Ancak bunu yapmanızı önermiyoruz.

Neden fidyeyi ödemeyesin?

Öncelikle, dosyaların size iade edileceğine dair hiçbir garanti yoktur; siber suçluların sözlerine güvenemezsiniz. Örneğin, Ranscam fidye yazılımı prensip olarak dosyaları geri yükleme yeteneğini ima etmez - bunları hemen geri alınamaz bir şekilde siler ve ardından sözde restorasyon için bir fidye talep eder ve bu artık mümkün değildir.

İkincisi, suç teşkil eden bir işi desteklememelisiniz.

Gerekli şifre çözücüyü buldum ama işe yaramıyor. Ne yapalım?

Virüs yazarları, şifre çözme yardımcı programlarının ortaya çıkmasına, kötü amaçlı yazılımın yeni sürümlerini yayınlayarak hızla yanıt verir. Bu sürekli bir kedi-fare oyunu. Yani ne yazık ki burada da hiçbir garanti yok. Ancak uyumuyoruz ve yardımcı programlarımızı sürekli güncelliyoruz. Bu siteyi periyodik olarak ziyaret edin, belki sizin için bir tedavi bulabiliriz.

Tehdidi zamanında fark ederseniz fidye yazılımı bulaşmasını nasıl durdurabilirsiniz?

Teorik olarak, bilgisayarınızı zamanında kapatabilir, sabit sürücüyü ondan çıkarabilir, başka bir bilgisayara takabilir ve fidye yazılımından kurtulmak için bir antivirüs kullanabilirsiniz. Ancak pratikte, bir şifreleyicinin görünümünü zamanla fark etmek çok zor, hatta imkansızdır - ilgilendikleri tüm dosyaları şifreleyene kadar pratikte kendilerini göstermezler ve ancak o zaman fidye talebi içeren bir sayfa görüntülerler.

Yedekleme yaparsam güvende olur muyum?

Büyük olasılıkla evet, ancak yine de %100 koruma sağlamıyorlar. Durumu hayal edin: Büyükannenizin bilgisayarını her üç günde bir otomatik yedekleme oluşturacak şekilde yapılandırdınız. Bir fidye yazılımı bilgisayara sızdı ve her şeyi şifreledi, ancak büyükanne onun zorlu taleplerini anlamadı. Bir hafta sonra geliyorsunuz ve... yedeklerde yalnızca şifrelenmiş dosyalar var. Yine de yedekleme yapmak hala çok önemli ve gerekli ancak kendinizi bununla sınırlamamalısınız.

Antivirüs enfeksiyonu önlemek için yeterli mi?

Antivirüsler farklılık gösterse de çoğu durumda evet. Bağımsız testlere göre Kaspersky Lab'in anti-virüs çözümleri (ve prensip olarak yalnızca büyük saygın kurumların bağımsız testlerine güvenilmelidir) ), diğerlerinden daha iyi korur. Ancak hiçbir antivirüs tüm tehditleri %100 engelleyemez.

Bu büyük ölçüde kötü amaçlı yazılımın yeniliğine bağlıdır. İmzaları henüz anti-virüs veritabanlarına eklenmemişse, böyle bir Truva Atı'nı yalnızca eylemlerini anında analiz ederek yakalayabilirsiniz. Eğer zarar vermeye kalkarsa onu hemen engelleriz.

Ürünlerimizde bu işlem “Activity Monitoring” (System Watcher) adı verilen bir modül ile yapılmaktadır. Örneğin, dosyaları toplu olarak şifreleme girişimini fark ederse, tehlikeli süreci engeller ve dosyalarda yapılan değişiklikleri geri alır. Hiçbir durumda bu bileşeni devre dışı bırakmamalısınız.

Buna ek olarak Kaspersky Total Security şunları otomatikleştirmenize olanak tanır: destek olmak Dosyalar. Aniden bir şeyler ters gitse bile hiçöyle değil, önemli verileri yedeklerden geri yükleyebileceksiniz.

Kendimi fidye yazılımı virüsünden korumak için bilgisayarımda yapılandırabileceğim bir şey var mı?

a) Öncelikle bir antivirüs kurduğunuzdan emin olun. Ama bunu zaten konuşmuştuk.

b) Saldırganlar tarafından sıklıkla kullanıldıkları için komut dosyalarının tarayıcılarda yürütülmesini devre dışı bırakabilirsiniz. Blogumuzda Chrome ve Firefox tarayıcılarını nasıl daha iyi yapılandırabileceğiniz hakkında daha fazla bilgi edinebilirsiniz.

c) Windows Gezgini'nde dosya uzantılarının gösterilmesini etkinleştirin.

d) Windows genellikle tehlikeli VBS ve JS komut dosyalarını bir simgeyle işaretler Metin belgesi deneyimsiz kullanıcıların kafasını karıştıran bir durum. Not Defteri'ni VBS ve JS uzantıları için varsayılan uygulama haline getirerek sorun çözülebilir.

e) Antivirüste “Mod” işlevini etkinleştirebilirsiniz güvenli programlar"(Güvenilir Uygulamalar Modu), "beyaz listede" yer almayan programların kurulmasını ve çalıştırılmasını yasaklar. Yapılandırması biraz zaman gerektirdiğinden varsayılan olarak etkin değildir. Ancak bu gerçekten yararlı bir şeydir, özellikle de bilgisayar kullanıcıları en ileri düzeyde değilse ve yanlışlıkla yanlış bir şey başlatma riski varsa.

Video


Kaspersky Anti-Ransomware Tool for Business, Windows PC'leri fidye yazılımlarından korumak için tasarlanmıştır.

Bir sınıf var Truva programları Kurbanlardan zorla para almak için tasarlandı. Bunlara fidye yazılımı (İngilizce fidye yazılımı) denir. Son yıllarda yaygınlaşan fidye yazılımları da bu sınıfa giriyor.

Bu programlardan kaynaklanan tehditler, bilgisayarın çalışmasını engellemeyi veya diskte depolanan verileri şifrelemeyi ve belirli dosyalara erişimi engellemeyi amaçlamaktadır. Bunun ardından saldırganlar, böyle bir programın başka birinin bilgisayarında yaptığı değişiklikleri geri almak için ödeme talep eder. Bu, özellikle kurumsal ortamda ciddi kayıplara yol açar.

Ücretsiz Kaspersky Anti-Ransomware programı diğer antivirüslerle uyumludur ve fidye yazılımı Truva atlarına ve fidye yazılımlarına karşı ek koruma sağlayan bir araç olabilir. Ve bilgisayarı kaydetmek için tam güvenlik Buna değer - ücretsiz bir uygulama.

Yeni Kaspersky antivirüsünün özellikleri:

  • Özgür
  • Birinci sınıf iş çözümleri düzeyinde fidye yazılımlarını tespit eder.
  • Kullanılan antivirüs koruma teknolojileri: dosya antivirüsü ve "Etkinlik İzleme"
  • Üçüncü taraf antivirüslerle uyumlu
  • Yaygın işletim sistemlerini destekler: Windows 7'den 10'a (Yıldönümü Güncellemesi dahil)
  • Kimlik raporları yöneticiye e-postayla gönderilir

Kısıtlamalar


Kaspersky'nin Anti-Ransomware Aracı, bilgisayarları korumak için farklı tehdit algılama yöntemleri kullanır. Antivirüs, kötü amaçlı uygulamaları, içerdiği bilgileri analiz ederek tanımlar. antivirüs veritabanları. Fidye yazılımının karakteristik davranışını tespit etmek için bu araç iki tane kullanır: yenilikçi teknolojiler: “Etkinlik İzleme” ve Kaspersky Security Network.

Kaspersky Security Network, bilinmeyen tehditlere daha hızlı yanıt vermenizi sağlarken Activity Monitor, tehlikeli sistem değişikliklerini engelleyebilir ve bunları geri alabilir.

Kaspersky Security Network'e katılan kullanıcılar, Kaspersky Lab'in yeni tehdit kaynaklarına ilişkin verileri hızlı bir şekilde toplamasına ve bunları etkisiz hale getirecek çözümler oluşturmasına olanak tanır. Kaspersky Güvenlik Ağı - bulut ağı, katılım, bu antivirüsün üzerinde çalıştığı her bilgisayarda topladığı istatistiklerin gönderilmesini içerir.

Bir tehdit algılandığında, Fidye Yazılımından Koruma Aracı bunu otomatik olarak engeller ve engellenen uygulamalar (arayüzde Engellenen Uygulamalar olarak anılır) listesine ekler. Ancak fidye yazılımı engellemeden önce işletim sisteminde bazı eylemleri gerçekleştirmeyi başarabilir (örneğin, dosyaları değiştirmek veya yenilerini oluşturmak veya kayıt defterinde değişiklik yapmak). Kötü amaçlı programın tüm eylemlerini geri almak için Anti-Ransomware, tüm uygulamaların etkinlik geçmişini kaydeder.

Kaspersky Anti-Ransomware antivirüs, kötü amaçlı yazılım tarafından oluşturulan dosyaları kendi deposuna yerleştirir. Kaspersky Lab çalışanları tarafından oradan geri yüklenebilirler. Dosyaları depolama alanından geri yüklemeniz gerekiyorsa geliştirici forumundan tavsiye alabilirsiniz.

Sisteme Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl veya Trojan'dan gelen kötü amaçlı yazılım bulaşmışsa -Ransom aileleri Win32.CryptXXX, bilgisayardaki tüm dosyalar aşağıdaki gibi şifrelenecektir:

  • Trojan-Ransom.Win32.Rannoh bulaştığında isimler ve uzantılar kilitli kalıba göre değişecek.<оригинальное_имя>.<4 произвольных буквы>.
  • Trojan-Ransom.Win32.Cryakl bulaştığında dosya içeriğinin sonuna bir etiket (CRYPTENDBLACKDC) eklenir.
  • Trojan-Ransom.Win32.AutoIt bulaştığında uzantı şablona göre değişir<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Örneğin, [e-posta korumalı] _.RZWDTDIC.
  • Trojan-Ransom.Win32.CryptXXX bulaştığında uzantı kalıplara göre değişir<оригинальное_имя>.mezar odası,<оригинальное_имя>.crypz ve<оригинальное_имя>.crypt1.

RannohDecryptor yardımcı programı, Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola bulaşmasından sonra dosyaların şifresini çözmek için tasarlanmıştır. , Trojan-Ransom.Win32.Cryakl veya Trojan-Ransom.Win32.CryptXXX sürüm 1, 2 ve 3.

Sistem nasıl tedavi edilir

Virüslü bir sistemi iyileştirmek için:

  1. RannohDecryptor.zip dosyasını indirin.
  2. Virüslü makinede RannohDecryptor.exe dosyasını çalıştırın.
  3. Ana pencerede, tıklayın Kontrol etmeye başla.
  1. Şifrelenmiş ve şifrelenmemiş dosyanın yolunu belirtin.
    Dosya Trojan-Ransom.Win32.CryptXXX tarafından şifrelenmişse dosyaların kendisini belirtin büyük beden. Şifre çözme yalnızca eşit veya daha küçük boyutlu dosyalar için mümkün olacaktır.
  2. Şifrelenmiş dosyaların aranması ve şifresinin çözülmesinin sonuna kadar bekleyin.
  3. Gerekirse bilgisayarınızı yeniden başlatın.
  4. kilitlendikten sonra-<оригинальное_имя>.<4 произвольных буквы>Başarılı şifre çözme işleminden sonra şifrelenmiş dosyaların bir kopyasını silmek için öğesini seçin.

Dosya Trojan-Ransom.Win32.Cryakl tarafından şifrelenmişse, yardımcı program dosyayı .decryptedKLR.original_extension uzantısıyla eski konumuna kaydeder. Eğer seçtiyseniz Başarılı şifre çözme işleminden sonra şifrelenmiş dosyaları silin, kopyalanan dosya yardımcı program tarafından orijinal adıyla kaydedilecektir.

  1. Yardımcı program varsayılan olarak çalışma raporunu kök dosyada görüntüler. sistem diski(işletim sisteminin kurulu olduğu disk).

    Raporun adı şu şekildedir: UtilityName.Version_Date_Time_log.txt

    Örneğin, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trojan-Ransom.Win32.CryptXXX bulaşmış bir sistemde yardımcı program sınırlı sayıda dosya biçimini tarar. Kullanıcı CryptXXX v2'den etkilenen bir dosyayı seçerse anahtarın geri yüklenmesi uzun zaman alabilir. Bu durumda yardımcı program bir uyarı görüntüler.