Kas pärast viirust on võimalik faile dekrüpteerida. Kuidas end seda tüüpi pahavara eest kaitsta

Ja iga aastaga ilmub aina rohkem uusi ... huvitavamaid ja huvitavamaid. Kõige populaarsem hiljutine viirus (Trojan-Ransom.Win32.Rector), mis krüpteerib kõik teie failid (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar jne .) .d.). Probleem on selles, et selliste failide dekrüpteerimine on äärmiselt keeruline ja aeganõudev, olenevalt krüptimise tüübist võib dekrüpteerimine kesta nädalaid, kuid või isegi aastaid. Minu meelest on see viirus praegu ohtlikkuse poolest teiste viiruste seas tipus. See on eriti ohtlik koduarvutitele/sülearvutitele, kuna enamik kasutajaid ei varunda oma andmeid ja failide krüptimisel kaotavad nad kõik andmed. Organisatsioonide jaoks on see viirus vähem ohtlik, sest nad teevad olulistest andmetest varukoopiaid ja nakatumise korral lihtsalt taastavad need, loomulikult pärast viiruse eemaldamist. Kohtusin selle viirusega mitu korda, kirjeldan, kuidas see juhtus ja milleni see viis.

Esimest korda tutvusin faile krüpteeriva viirusega 2014. aasta alguses. Teisest linnast pärit administraator võttis minuga ühendust ja teatas mulle kõige ebameeldivama uudise – kõik failiserveris olevad failid on krüpteeritud! Nakatumine juhtus elementaarselt - raamatupidamisosakonda tuli kiri manusega "Tegutse midagi seal.pdf.exe", nagu aru saate, nad avasid selle EXE-faili ja protsess algas ... see krüpteeris kõik isiklikud failid arvutisse ja läks failiserverisse (seda kaardistas võrgudraiv). Hakkasime koos administraatoriga internetist infot kaevama ... tol ajal polnud lahendust ... kõik kirjutasid, et selline viirus on olemas, ei teadnud, kuidas seda ravida, ei olnud võimalik dekrüpteerida failid, võib-olla aitaks failide saatmine Kasperskyle, Dr Webile või Nod32-le. Saate neid saata ainult siis, kui kasutate nende viirusetõrjeprogramme (litsentsid on olemas). Saatsime failid Dr Webile ja Nod32-le, tulemused olid 0, ma ei mäleta, mida nad Dr Webis ütlesid, aga Nod 32-s olid nad täiesti vait ja ma ei oodanud neilt mingit vastust. Üldiselt oli kõik kurb ja me ei leidnud kunagi lahendust, osa faile taastati varukoopiast.

Teine lugu – just üleeile (oktoobri keskpaik 2014) helistati mulle organisatsioonist, kus paluti viirusega seotud probleem lahendada, nagu aru saate, olid kõik arvutis olevad failid krüpteeritud. Siin on näide sellest, kuidas see välja nägi.

Nagu näete, on igale failile lisatud *.AES256 laiend. Igas kaustas oli fail "Attention_open-me.txt", milles olid kontaktid suhtlemiseks.

Nende failide avamisel avanes programm kontaktidega, et võtta ühendust viiruse autoritega, et maksta dekrüpteerimise eest. Loomulikult ei soovita ma nendega ühendust võtta ja ka koodi eest maksta, kuna toetate neid ainult rahaliselt ja see ei ole tõsiasi, et saate dekrüpteerimisvõtme.

Nakatumine toimus Internetist alla laaditud programmi installimise ajal. Kõige üllatavam oli see, et kui nad märkasid, et failid on muutunud (ikoonid ja faililaiendid olid muutunud), ei teinud nad midagi ja jätkasid tööd ning lunavara jätkas vahepeal kõigi failide krüptimist.

Tähelepanu!!! Kui märkate arvutis failide krüptimist (ikoonide muutmine, laienduse muutmine), lülitage kohe arvuti/sülearvuti välja ja otsige lahendus mõnest teisest seadmest (teisest arvutist/sülearvutist, telefonist, tahvelarvutist) või pöörduge IT-spetsialistide poole. Mida kauem teie arvuti/sülearvuti sisse lülitatakse, seda rohkem faile see krüpteerib.

Üldiselt tahtsin juba keelduda nende abistamisest, kuid otsustasin surfata Internetis, võib-olla on sellele probleemile juba lahendus. Otsingute tulemusena lugesin palju infot, et seda ei saa lahti krüpteerida, et tuleb saata faile viirusetõrjefirmadele (Kaspersky, Dr Web või Nod32) - aitäh, see oli kogemus.
Leidsin Kaspersky utiliidi – RectorDecryptor. Ja ennäe imet, failid dekrüpteeriti. Noh, esimesed asjad kõigepealt...

Esimene samm on lunavara peatamine. Teid ei leita viirusetõrjetest, kuna installitud Dr Web ei leidnud midagi. Kõigepealt läksin automaatlaadimisse ja keelasin kõik automaatlaadimised (välja arvatud viirusetõrje). Taaskäivitas arvuti. Seejärel hakkas ta uurima, millised failid käivitamisel on.

Nagu näete, on väljal "Käsk" näidatud, kus fail asub, erilist tähelepanu tuleb pöörata allkirjata rakenduste eemaldamisele (Tootja - andmed puuduvad). Üldiselt leidsin ja eemaldasin pahavara ja failid, mis mulle veel selged polnud. Pärast seda puhastasin ajutised kaustad ja brauseri vahemälud, kõige parem on nendel eesmärkidel programmi kasutada CCleaner .

Seejärel jätkasin failide dekrüpteerimist, selleks laadisin alla dekrüpteerimisprogramm RectorDecryptor . Käivitas ja nägi üsna askeetlikku utiliidi liidest.

Klõpsasin "Alusta kontrollimist", märkisin laiendi, mis kõigil muudetud failidel oli.

Ja näitas krüptitud faili. RectorDecryptori uuemates versioonides saate lihtsalt krüptitud faili määrata. Klõpsake nuppu "Ava".

Tada-a-a-am!!! Juhtus ime ja fail dekrüpteeriti.

Pärast seda kontrollib utiliit automaatselt kõiki arvutifaile + ühendatud võrgukettal olevaid faile ja dekrüpteerib need. Dekrüpteerimisprotsess võib kesta mitu tundi (olenevalt krüptitud failide arvust ja arvuti kiirusest).

Selle tulemusel dekrüpteeriti kõik krüptitud failid edukalt samasse kataloogi, kus need algselt asusid.

Jääb üle kustutada kõik failid laiendiga .AES256, seda saab teha märgistades linnukese "Kustuta krüptitud failid pärast edukat dekrüpteerimist", kui klõpsate RectorDecryptori aknas "Muuda kinnitussätteid".

Kuid pidage meeles, et parem on seda kasti mitte märkida, sest failide ebaõnnestunud dekrüpteerimisel need kustutatakse ja nende uuesti dekrüpteerimiseks peate need käivitama. taaskehtestada .

Kui proovisin kõiki krüptitud faile standardse otsingu ja kustutamise abil kustutada, puutusin kokku külmutamisega ja arvuti äärmiselt aeglase jõudlusega.

Seetõttu on selle eemaldamiseks kõige parem kasutada käsurida, käivitada see ja kirjutada del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Minu puhul del "d:\*.AES256" /f /s.

Ärge unustage kustutada faile "Attention_open-me.txt", selleks kasutage käsureal olevat käsku del"<диск>:\*.<имя файла>"/f/s, näiteks
del "d:\Attention_open-me.txt" /f /s

Nii sai viirus lüüa ja failid taastatud. Tahan teid hoiatada, et see meetod ei aita kõiki, asi on selles, et Kapersky kogus selles utiliidis kõik teadaolevad dekrüpteerimisvõtmed (nendest failidest, mille saatsid viirusega nakatunud isikud) ning valib võtmed ja dekrüpteerib need brutaalselt. jõudu. Need. kui sinu failid on veel tundmatu võtmega viiruse poolt krüpteeritud, siis see meetod ei aita... pead saatma nakatunud failid viirusetõrjefirmadele - Kaspersky, Dr Web või Nod32 dekrüpteerimiseks.

Viirusi nende tavamõistes jääb järjest vähemaks ja selle põhjuseks on tasuta viirusetõrjed, mis töötavad hästi ja kaitsevad kasutajate arvuteid. Samas ei hooli kõik oma andmete turvalisusest ning neil on oht nakatuda mitte ainult pahavara, vaid ka tavaliste viirustega, mille hulgas on jätkuvalt kõige levinum trooja. See võib avalduda mitmel viisil, kuid üks ohtlikumaid on failide krüpteerimine. Kui viirus on arvutis failid krüpteerinud, pole andmete tagastamine kindel, kuid on olemas mõned tõhusad meetodid ja neist tuleb juttu allpool.

Krüpteerimisviirus: mis see on ja kuidas see töötab

Veebis on sadu erinevaid viirusi, mis krüpteerivad faile. Nende tegevus toob kaasa ühe tagajärje – kasutaja andmed arvutis saavad tundmatus vormingus, mida ei saa tavaliste programmide abil avada. Siin on vaid mõned vormingud, milles arvutis olevaid andmeid saab viiruste toimel krüpteerida: .locked, .xtbl, .kraken, .cbf, .oshit ja paljud teised. Mõnel juhul kirjutatakse viiruse loojate e-posti aadress otse faililaiendisse.

Üks levinumaid faile krüpteerivaid viirusi on Trooja-Ransom.Win32.Aura Ja Trojan-Ransom.Win32.Rakhni. Neil on palju vorme ja viirust ei pruugita isegi troojaks nimetada (näiteks CryptoLocker), kuid nende tegevus on praktiliselt sama. Krüpteerimisviiruste uusi versioone antakse regulaarselt välja, et viirusetõrjetarkvara arendajatel oleks uute vormingutega tegelemine raskem.

Kui krüpteeriv viirus on arvutisse tunginud, avaldub see kindlasti mitte ainult failide blokeerimises, vaid ka kasutajale nende tasulise avamise pakkumises. Ekraanile võib ilmuda bänner, mis ütleb, kuhu peate failide avamiseks raha üle kandma. Kui sellist bännerit ei ilmu, tuleks otsida töölaualt viirusearendajate "kirja", sellise faili nimi on enamasti ReadMe.txt.

Sõltuvalt viiruse arendajast võivad failide dekrüpteerimise määrad erineda. Samas pole kaugeltki tõsiasi, et viiruse loojatele raha saates saadavad nad lukustusmeetodi tagasi. Enamasti läheb raha "kuhugi" ja arvutikasutaja ei saa dekrüpteerimismeetodit.

Kui viirus on teie arvutis ja näete ekraanil koodi, mille peate dekrüpteerija hankimiseks saatma kindlale aadressile, ei tohiks te seda teha. Esimene samm on see kood paberile üles kirjutada, kuna vastloodud fail võib olla ka krüptitud. Pärast seda saate sulgeda viiruse arendajatelt saadud teabe ja proovida Internetist leida viisi, kuidas teie konkreetsel juhul failikrüpteerijast lahti saada. Allpool loetleme peamised programmid, mis võimaldavad teil viirust eemaldada ja faile dekrüpteerida, kuid neid ei saa nimetada universaalseteks ning viirusetõrjetarkvara loojad laiendavad regulaarselt lahenduste loendit.

Faile krüptivast viirusest vabanemine on viirusetõrje tasuta versioonide abil üsna lihtne. Kolm tasuta programmi saavad hästi hakkama faile krüpteerivate viirustega:

• Malwarebytes Antimalware;
• Dr Web Cure It ;
• Kaspersky Internet Security.

Ülalmainitud rakendused on täiesti tasuta või neil on prooviversioonid. Soovitame kasutada Dr.Webi või Kespersky lahendust pärast seda, kui olete oma süsteemi Malwarebytes Antimalwarega kontrollinud. Tuletame veelkord meelde, et korraga ei ole soovitatav arvutisse installida kahte või enamat viirusetõrjet, mistõttu tuleb enne iga uue lahenduse installimist eelmine desinstallida.

Nagu me eespool märkisime, oleks antud olukorras probleemi ideaalne lahendus juhiste valik, mis võimaldab teil konkreetselt teie probleemiga tegeleda. Sellised juhised postitatakse kõige sagedamini viirusetõrje arendajate veebisaitidele. Allpool tutvustame mitmeid aktuaalseid viirusetõrjeutiliite, mis võimaldavad teil toime tulla erinevat tüüpi troojalaste ja muud tüüpi lunavaraga.

Ülaltoodud on vaid väike osa viirusetõrjeutiliitidest, mis võimaldavad nakatunud faile dekrüpteerida. Väärib märkimist, et kui proovite lihtsalt andmeid tagastada, siis vastupidi, lähevad need igaveseks kaotsi - seda ei tasu teha.

Lunavarahäkkerid on väga sarnased tavaliste väljapressijatega. Nii reaalses maailmas kui ka küberkeskkonnas on üks või rühmitus ründeobjektiks. See on kas varastatud või muudetud ligipääsmatuks. Lisaks kasutavad kurjategijad oma nõudmiste edastamiseks teatud suhtlusvahendeid ohvritega. Tavaliselt valivad arvutipetturid lunaraha jaoks vaid mõne vormingu, kuid selle koopiaid võib leida peaaegu igast nakatunud süsteemi mälukohast. Troldeshi või Shade’i nime all tuntud nuhkvaraperekonna puhul lähenevad petturid ohvriga ühenduse võtmisel erinevalt.

Vaatame lähemalt seda krüpteerimisviiruse tüve, mis on suunatud venekeelsele publikule. Enamik sarnaseid nakkusi tuvastab rünnatud arvutis klaviatuuripaigutuse ja kui üks keeltest on vene keel, siis sissetung peatub. Samas lunavara XTBL valimatu: kahjuks rakendatakse rünnak kasutajate geograafilisest asukohast ja keele-eelistustest sõltumata. Selle mitmekülgsuse selgeks teostuseks on hoiatus, mis kuvatakse töölaua taustal, samuti TXT-fail koos juhistega lunaraha maksmiseks.

XTBL viirus levib tavaliselt rämpsposti kaudu. Sõnumid meenutavad tuntud kaubamärkide kirju või jäävad lihtsalt silma, kuna sõnumi teema kasutab väljendeid nagu "Kiireloomuline!" või "Olulised finantsdokumendid". Andmepüügitrikk töötab siis, kui sellise meili saaja. sõnum laadib alla JavaScripti koodi sisaldava ZIP-faili või potentsiaalselt haavatava makroga Docm-objekti.

Pärast põhialgoritmi käivitamist ohustatud arvutis hakkab lunavara troojalane otsima andmeid, mis võivad kasutajale väärtuslikud olla. Selleks kontrollib viirus kohalikku ja välismälu, võrreldes iga faili samaaegselt objekti laienduse alusel valitud vormingute komplektiga. Kõik .jpg, .wav, .doc, .xls failid ja ka paljud teised objektid on krüptitud sümmeetrilise ploki krüptoalgoritmi AES-256 abil.

Sellel kahjulikul mõjul on kaks aspekti. Esiteks kaotab kasutaja juurdepääsu olulistele andmetele. Lisaks on failinimed sügavkodeeritud, mille tulemuseks on mõttetu kuueteistkümnendsüsteemi märkide komplekt väljundina. Kõik, mis mõjutatud failide nimesid ühendab, on neile lisatud xtbl laiend, st. küberohu nimi. Krüpteeritud failide nimedel on mõnikord erivorming. Mõnes Troldeshi versioonis võivad krüptitud objektide nimed jääda muutumatuks ja lõppu lisatakse kordumatu kood: [e-postiga kaitstud], [e-postiga kaitstud], või [e-postiga kaitstud]

Ilmselgelt ründajad, kes on kasutusele võtnud meiliaadressid. otse failinimedesse, osutage ohvritele, kuidas suhelda. Meilisõnumid on loetletud ka mujal, nimelt failis "Readme.txt" sisalduvas lunarahateates. Sellised Notepadi dokumendid kuvatakse nii töölaual kui ka kõigis kodeeritud andmetega kaustades. Põhisõnum on:

"Kõik failid on krüptitud. Nende dekrüpteerimiseks peate saatma e-posti aadressile koodi: [Teie kordumatu šifr] [e-postiga kaitstud] või [e-postiga kaitstud] Järgmisena saate kõik vajalikud juhised. Katsed ise dešifreerida ei too kaasa midagi, välja arvatud pöördumatu teabe kadu.

E-posti aadress võib muutuda olenevalt viirust levitavast lunavaragrupist.

Mis puutub edasiliikumisse, siis üldiselt vastavad petturid, soovitades lunaraha, milleks võib olla 3 bitcoini või mõni muu summa selles vahemikus. Pange tähele, et keegi ei saa garanteerida, et häkkerid peavad oma lubadust ka pärast raha saamist. Xtbl-failidele juurdepääsu taastamiseks soovitatakse mõjutatud kasutajatel esmalt proovida kõiki saadaolevaid alternatiivseid meetodeid. Mõnel juhul saab andmeid korda seada, kasutades otse Windowsi OS-is pakutavat helikoopiateenust (Volume Shadow Copy), aga ka kolmandate osapoolte tarkvaramüüjate dekrüptoreid ja andmete taastamise programme.

Eemaldage XTBL lunavara automaatse puhastusvahendiga

Äärmiselt tõhus meetod pahavaraga üldiselt ja eriti lunavaraga tegelemiseks. Tõestatud kaitsekompleksi kasutamine tagab viiruse komponentide tuvastamise põhjalikkuse, nende täieliku eemaldamise ühe klõpsuga. Pange tähele, et me räägime kahest erinevast protsessist: infektsiooni desinstallimine ja failide taastamine arvutis. Oht tuleb aga kindlasti eemaldada, kuna on teateid teiste arvutitroojalaste kasutuselevõtust selle abiga.

1. . Pärast tarkvara käivitamist klõpsake nuppu Käivitage arvuti skannimine(Alusta skannimist).
2. Installitud tarkvara annab aruande skannimise ajal tuvastatud ohtude kohta. Kõigi leitud ohtude eemaldamiseks valige suvand Parandage ohud(Eemalda ohud). Kõnealune pahavara eemaldatakse täielikult.

Taastage juurdepääs krüptitud failidele laiendiga .xtbl

Nagu märgitud, lukustab XTBL lunavara failid tugeva krüpteerimisalgoritmiga, nii et krüpteeritud andmeid ei saa võluvitsa lainega taastada – kui mitte arvestada ennekuulmatu lunaraha tasumist. Kuid mõned meetodid võivad tõesti saada elupäästjaks, mis aitavad teil olulisi andmeid taastada. Allpool saate nendega tutvuda.

Decryptor - automaatne failide taastamise programm

On teada väga ebatavaline asjaolu. See nakkus kustutab algsed failid krüptimata kujul. Väljapressiv krüpteerimisprotsess on seega suunatud nende koopiatele. See võimaldab tarkvaratööriistu, näiteks kustutatud objektide taastamist, isegi kui on tagatud nende eemaldamise usaldusväärsus. Soovitatav on kasutada failide taastamise protseduuri, mille tõhusust on korduvalt kinnitatud.

Köide varjukoopiad

See lähenemisviis põhineb Windowsi-põhisel failide varundamise protseduuril, mida korratakse igas taastepunktis. Selle meetodi toimimise oluline tingimus: enne nakatumist tuleb aktiveerida funktsioon "Süsteemi taastamine". Kuid pärast taastepunkti failis tehtud muudatused ei kajastu faili taastatud versioonis.

Varundamine

See on parim kõigi mitteostmismeetodite seas. Kui enne lunavara arvutit ründamist kasutati andmete välisserverisse varundamise protseduuri, tuleb krüpteeritud failide taastamiseks lihtsalt sisestada vastav liides, valida vajalikud failid ja käivitada varukoopiast andmete taastamise mehhanism. Enne toimingu sooritamist peate veenduma, et lunavara on täielikult eemaldatud.

Kontrollige XTBL lunavaraviiruse jääkkomponentide olemasolu

Käsitsi puhastamine on täis lunavara osade kadumise ohtu, mis võib vältida operatsioonisüsteemi peidetud objektide või registrikirjete kujul eemaldamist. Üksikute pahatahtlike elementide osalise säilimise ohu välistamiseks skannige oma arvutit usaldusväärse universaalse viirusetõrjekomplekti abil.

on pahatahtlik programm, mis aktiveerimisel krüpteerib kõik isiklikud failid, nagu dokumendid, fotod jne. Selliste programmide arv on väga suur ja kasvab iga päevaga. Just hiljuti oleme kohanud kümneid lunavaravalikuid: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, jne. Sellise lunavara eesmärk on sundida kasutajaid ostma, sageli suure raha eest, oma failide dekrüpteerimiseks vajalikku programmi ja võtit.

Loomulikult saate krüptitud faile taastada lihtsalt järgides juhiseid, mille viiruse loojad jätavad nakatunud arvutisse. Kuid enamasti on dekrüpteerimise hind väga märkimisväärne, samuti peate teadma, et mõned krüpteerimisviirused krüpteerivad faile nii, et neid on hiljem lihtsalt võimatu dekrüpteerida. Ja loomulikult on lihtsalt ebameeldiv maksta enda failide taastamise eest.

Allpool räägime lähemalt lunavaraviirustest, kuidas need ohvri arvutisse tungivad, aga ka sellest, kuidas lunavaraviirust eemaldada ja selle poolt krüpteeritud faile taastada.

Kuidas lunavaraviirus arvutisse siseneb

Lunavaraviirust levitatakse tavaliselt meili teel. Kiri sisaldab nakatunud dokumente. Need meilid saadetakse tohutusse e-posti aadresside andmebaasi. Selle viiruse autorid kasutavad meilide eksitavaid päiseid ja sisu, püüdes kasutajat meelitada avama kirjale lisatud dokumenti. Mõned kirjad teavitavad arve tasumise vajadusest, teised pakuvad tutvuda värskeima hinnakirjaga, teised avavad naljaka foto jne. Igal juhul on lisatud faili avamise tagajärjeks arvuti nakatumine lunavaraviirusega.

Mis on lunavaraviirus

Lunavaraviirus on pahatahtlik programm, mis nakatab Windowsi operatsioonisüsteemide perekonna kaasaegseid versioone, nagu Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Need viirused püüavad kasutada võimalikult tugevaid krüpteerimisrežiime, näiteks RSA-d. -2048 võtme pikkusega on 2048 bitti, mis praktiliselt välistab võimaluse valida failide enesedekrüpteerimiseks võti.

Arvuti nakatamise ajal kasutab lunavaraviirus %APPDATA% süsteemikataloogi enda failide salvestamiseks. Enda automaatseks käivitamiseks arvuti sisselülitamisel loob lunavara Windowsi registris kirje: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Kohe pärast käivitamist kontrollib viirus kõiki saadaolevaid draive, sealhulgas võrgu- ja pilvesalvestust, et teha kindlaks, millised failid krüpteeritakse. Lunavaraviirus kasutab krüpteeritavate failide rühma määramiseks failinime laiendit. Peaaegu igat tüüpi failid on krüptitud, sealhulgas sellised tavalised failid nagu:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, rahakott, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpwpt, .wwp .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Kohe pärast faili krüptimist saab see uue laienduse, mida saab sageli kasutada krüptori nime või tüübi tuvastamiseks. Teatud tüüpi pahavara võib muuta ka krüptitud failide nimesid. Seejärel loob viirus tekstidokumendi nimedega HELP_YOUR_FILES, README, mis sisaldab juhiseid krüptitud failide dekrüpteerimiseks.

Lunavaraviirus üritab oma töö ajal blokeerida failide taastamise võimalust SVC-süsteemi (failide varikoopiad) abil. Selleks kutsub viirus käsurežiimis utiliidi failide varikoopiate haldamiseks võtmega, mis käivitab nende täieliku eemaldamise protseduuri. Seega on peaaegu alati võimatu faile nende varikoopiate abil taastada.

Lunavaraviirus kasutab aktiivselt hirmutaktikat, andes ohvrile lingi krüpteerimisalgoritmi kirjeldusele ja kuvades töölauale ähvardava sõnumi. See püüab sel viisil sundida nakatunud arvuti kasutajat saatma kõhklemata arvuti ID-d viiruse autori e-posti aadressile, et püüda oma faile tagastada. Vastuseks sellisele sõnumile on enamasti lunaraha summa ja elektroonilise rahakoti aadress.

Kas mu arvuti on nakatunud lunavaraviirusega?

On üsna lihtne kindlaks teha, kas arvuti on nakatunud lunavaraviirusega või mitte. Pöörake tähelepanu oma isiklike failide (nt dokumendid, fotod, muusika jne) laienditele. Kui laiend on muutunud või teie isiklikud failid on kadunud, jättes maha palju tundmatute nimedega faile, on arvuti nakatunud. Lisaks on nakkuse tunnuseks faili nimega HELP_YOUR_FILES või README olemasolu teie kataloogides. See fail sisaldab juhiseid failide dekrüpteerimiseks.

Kui kahtlustate, et olete avanud lunavaraviirusega nakatunud kirja, kuid nakkuse sümptomeid veel ei ole, siis ärge lülitage arvutit välja ega taaskäivitage. Järgige selle juhendi jaotises kirjeldatud samme. Taaskord on väga oluline arvutit mitte välja lülitada, teatud tüüpi lunavara puhul aktiveerub failide krüptimise protsess arvuti esmakordsel sisselülitamisel pärast nakatumist!

Kuidas dekrüpteerida lunavaraviirusega krüpteeritud faile?

Kui see õnnetus juhtus, pole paanikaks põhjust! Kuid peate teadma, et enamikul juhtudel pole tasuta dekrüpteerijat. Selle põhjuseks on sellise pahavara kasutatavad tugevad krüpteerimisalgoritmid. See tähendab, et failide dekrüpteerimine ilma privaatvõtmeta on peaaegu võimatu. Võtme valimise meetodi kasutamine ei ole samuti võimalik võtme suure pikkuse tõttu. Seetõttu on paraku ainult viiruse autoritele kogu küsitud summa tasumine ainus võimalus dekrüpteerimisvõtit kätte saada.

Muidugi pole absoluutselt mingit garantiid, et pärast maksmist võtavad viiruse autorid ühendust ja annavad teie failide dekrüpteerimiseks vajaliku võtme. Lisaks peate mõistma, et viirusearendajatele raha makstes surute te ise neid uusi viiruseid looma.

Kuidas eemaldada lunavaraviirust?

Enne sellega jätkamist peate teadma, et kui alustate viiruse eemaldamist ja proovite faile ise taastada, siis blokeerite failide dekrüpteerimise võimaluse, makstes viiruse autoritele nende küsitud summa.

Kaspersky Virus Removal Tool ja Malwarebytes Anti-malware suudavad tuvastada erinevat tüüpi aktiivset lunavara ja eemaldada need lihtsalt teie arvutist, KUID nad ei saa krüptitud faile taastada.

5.1. Eemaldage lunavara Kaspersky Virus Removal Tooliga

Vaikimisi on programm seatud taastama igat tüüpi faile, kuid töö kiirendamiseks on soovitatav jätta ainult seda tüüpi failid, mida on vaja taastada. Kui olete valiku lõpetanud, vajutage nuppu OK.

Otsige QPhotoReci akna allosas üles nupp Sirvi ja klõpsake seda. Peate valima kataloogi, kuhu taastatud failid salvestatakse. Soovitatav on kasutada ketast, mis ei sisalda taastamist vajavaid krüptitud faile (võite kasutada USB-mälupulka või välist draivi).

Krüptitud failide originaalkoopiate otsimise ja taastamise alustamiseks klõpsake nuppu Otsi. See protsess võtab üsna kaua aega, nii et olge kannatlik.

Kui otsing on lõppenud, klõpsake nuppu Lõpeta. Nüüd avage kaust, mille valisite taastatud failide salvestamiseks.

Kaust sisaldab katalooge nimedega taastamise_kataloog.1, taastamise_kataloog.2, taastamise_kataloog.3 ja nii edasi. Mida rohkem faile programm leiab, seda rohkem on seal katalooge. Vajalike failide leidmiseks kontrollige ükshaaval kõiki katalooge. Suure hulga taastatud failide hulgast vajaliku faili leidmise hõlbustamiseks kasutage sisseehitatud Windowsi otsingusüsteemi (faili sisu järgi) ja ärge unustage ka failide sortimise funktsiooni kataloogides. Saate valida sortimisparameetrina faili muutmise kuupäeva, kuna QPhotoRec proovib faili taastamisel seda atribuuti taastada.

Kuidas vältida arvuti nakatumist lunavaraviirusega?

Enamikul kaasaegsetest viirusetõrjeprogrammidest on juba sisseehitatud kaitsesüsteem lunavaraviiruste tungimise ja aktiveerimise vastu. Seega, kui teie arvutil pole viirusetõrjeprogrammi, installige see kindlasti. Saate teada, kuidas seda valida, lugedes seda.

Lisaks on olemas spetsiaalsed kaitseprogrammid. Näiteks see on CryptoPrevent, täpsemalt.

Paar viimast sõna

Seda juhist järgides puhastatakse teie arvuti lunavaraviirusest. Kui teil on küsimusi või vajate abi, võtke meiega ühendust.

Umbes 8-10 aastat tagasi ilmunud krüpteerimisviirused on erinevate arvutipetturite seas saavutanud tohutu populaarsuse.

Eksperdid peavad selle põhjuseks ehitusprogrammide avalikku ilmumist, mille abil ka nõrk spetsialist suudab soovitud omadustega arvutiviiruse kokku panna.

Kuidas krüpteerimisviirus töötab?

Kõige sagedamini viiakse krüpteerimisviirus ohvri arvutisse meililisti abil. Ettevõte saab kirja, mille on väidetavalt saatnud tööotsija, potentsiaalne koostööpartner või ostja, kuid mis sisaldab implantaati pdf-fail viirusega.

Kui ettevõtte töötaja avab kirja, põimitakse viirus käivitusprogrammide loendisse. Pärast arvuti taaskäivitamist see käivitub, nimetab failid ümber ja krüpteerib ning seejärel hävitab ennast.

Sageli on nakatunud meilid maskeeritud maksuameti, õiguskaitseorganite, pankade jne sõnumiteks.

Rikutud failidega kataloogist leitakse kiri, mis teatab, et teave on krüpteeritud usaldusväärsel krüptokindlal viisil ja seda ei saa ilma failide lõpliku kadumiseta iseseisvalt dekrüpteerida.


Kui soovite seda taastada, peate dekrüpteerimisvõtme saamiseks määratud perioodi jooksul teatud summa üle kandma.

Kas failide dekrüpteerimisega on võimalik ise hakkama saada?

Kõige sagedamini kasutavad väljapressijad viirust oma eesmärkidel, mida Doctor Web nimetas Trooja. Kodeerija. See teisendab ohvri arvutis olevad failid, andes neile laienduse .crypt. Peaaegu kõiki levinumaid tekstifailide, piltide, heliribade ja tihendatud failide vorminguid saab krüpteerida.

Krüptitud failide taastamiseks lõid ettevõtte spetsialistid utiliidi te19 dekrüpteerida. Täna on see tasuta juurdepääs, kust saab selle alla laadida iga Interneti-kasutaja. See on väike programm, mis võtab enda alla vaid 233 KB. Pärast allalaadimist vajate:

- avanevas aknas klõpsake nuppu "Jätka" ;

- kui ilmub teade "Viga" , mida täiendab märge "Võtmefaili [failinimi] ei saa hankida. Kas soovite selle asukoha käsitsi määrata?", vajuta nuppu Okei;

- ilmuvas aknas "Avatud" määrake faili tee crypted.txt;

- siis algab dekrüpteerimisprotsess.


Mitte mingil juhul ei tohi faili kustutada. crypted.txt enne dekrüpteerimisutiliidi käivitamist, kuna selle kadumine muudab krüptitud teabe taastamise võimatuks.

Dekrüpteerimisprogramm RectorDecryptor

Krüptitud failide taastamiseks kasutavad paljud inimesed spetsiaalset programmi RectorDecryptor. Peate sellega töötama järgmisel viisil:

- laadige programm alla RectorDecryptor kui see pole teie käsutuses;

- eemaldage käivitusloendist kõik programmid, välja arvatud viirusetõrje;

- taaskäivitage arvuti;

- vaadake failide loendit, tõstke esile kahtlased, eriti need, millel pole teavet tootja kohta;

- kustutada kahtlased failid, mis võivad sisaldada viirust;

- tühjendage programmi abil brauseri vahemälu ja ajutised kaustad CCleaner või sarnane;

-jookse RectorDecryptor, määrake krüptitud fail ja selle laiend ning seejärel vajutage nuppu "Alusta kontrollimist" ;

- programmi uusimates versioonides saate määrata ainult faili nime ja seejärel vajutada "Avatud" ;

- oodake faili dekrüpteerimise lõppu ja jätkake järgmisega.

Edasine programm RectorDecryptor jätkab kõigi teie arvutis olevate failide, sealhulgas irdkandjal olevate failide skannimist.


Dekrüpteerimine võib sõltuvalt rikutud failide arvust ja arvuti jõudlusest võtta mitu tundi. Taastatud teave kirjutatakse samasse kataloogi, kus see oli varem.

Krüpteeritud materjali kustutamise vajadusest saate märku anda pärast dekrüpteerimist, märkides vastava päringu juures oleva kasti. Kuid kogenud kasutajad soovitavad seda mitte teha, sest kui dekrüpteerimine ebaõnnestub, kaotate täielikult oma andmete taastamise võimaluse.