Koti-Kuinka avata tiedosto-Ohjelma tiedostojen salauksen purkamiseen. Tiedostojen palauttaminen ransomware-viruksen jälkeen

Ohjelma tiedostojen salauksen purkamiseen. Tiedostojen palauttaminen ransomware-viruksen jälkeen

Ransomware-hakkerit ovat hyvin samanlaisia ​​kuin tavalliset kiristäjät. Sekä todellisessa maailmassa että kyberympäristössä on yksi tai ryhmä hyökkäyskohde. Se on joko varastettu tai tehty luoksepääsemättömäksi. Seuraavaksi rikolliset käyttävät tiettyjä viestintätapoja uhrien kanssa välittääkseen vaatimuksiaan. Tietokonehuijarit valitsevat yleensä vain muutamia muotoja lunnaille, mutta kopioita löytyy lähes mistä tahansa tartunnan saaneen järjestelmän muistipaikasta. Troldesh tai Shade -nimisen vakoiluohjelmaperheen tapauksessa huijarit ottavat yhteyttä uhriin erityisellä tavalla.

Katsotaanpa tarkemmin tätä venäjänkieliselle yleisölle suunnattua ransomware-viruskantaa. Useimmat samankaltaiset infektiot havaitsevat hyökätyn tietokoneen näppäimistöasettelun, ja jos jokin kielistä on venäjä, tunkeutuminen pysähtyy. Kuitenkin ransomware virus XTBL salaamaton: valitettavasti käyttäjille hyökkäys avautuu heidän maantieteellisestä sijainnistaan ​​ja kieliasetuksistaan ​​riippumatta. Tämän monipuolisuuden selkeä suoritusmuoto on varoitus, joka näkyy työpöydän taustalla, sekä TXT-tiedosto, jossa on ohjeet lunnaiden maksamiseen.

XTBL-virus leviää yleensä roskapostin kautta. Viestit muistuttavat kuuluisien merkkien kirjeitä tai ovat yksinkertaisesti silmiinpistäviä, koska aiherivillä käytetään ilmaisuja, kuten "Kiireellinen!" tai "Tärkeät rahoitusasiakirjat". Tietojenkalastelutemppu toimii, kun tällaisen sähköpostin vastaanottaja. viestit lataavat JavaScript-koodin sisältävän ZIP-tiedoston tai mahdollisesti haavoittuvan makron sisältävän Docm-objektin.

Suoritettuaan perusalgoritmin vaarantuneessa PC:ssä, lunnasohjelmatroijalainen etsii tietoja, jotka voivat olla arvokkaita käyttäjälle. Tätä tarkoitusta varten virus skannaa paikallista ja ulkoista muistia ja sovittaa jokaista tiedostoa samanaikaisesti joukolla muotoja, jotka on valittu objektipäätteen perusteella. Kaikki .jpg-, .wav-, .doc- ja .xls-tiedostot sekä monet muut objektit on salattu AES-256 symmetrisen lohkon salausalgoritmilla.

Tällä haitallisella vaikutuksella on kaksi näkökohtaa. Ensinnäkin käyttäjä menettää pääsyn tärkeisiin tietoihin. Lisäksi tiedostojen nimet ovat syvästi koodattuja, mikä johtaa merkityksettömään heksadesimaalimerkkijonoon. Asianomaisten tiedostojen nimet yhdistävät vain niihin lisätty xtbl-tunniste, ts. kyberuhan nimi. Salatuilla tiedostonimillä on joskus erityinen muoto. Joissakin Troldeshin versioissa salattujen objektien nimet voivat pysyä muuttumattomina, ja perään lisätään yksilöllinen koodi: f [sähköposti suojattu], [sähköposti suojattu], tai [sähköposti suojattu].

Ilmeisesti hyökkääjät ovat ottaneet käyttöön sähköpostiosoitteet. postitse suoraan tiedostojen nimiin ja ilmoittaa uhreille viestintätavan. Sähköposti on lueteltu myös muualla, nimittäin "Readme.txt"-tiedoston sisältämässä lunnauskirjeessä. Tällaiset Muistio-asiakirjat näkyvät työpöydällä sekä kaikissa kansioissa, joissa on salattua tietoa. Keskeinen viesti on:

"Kaikki tiedostot salattiin. Niiden salauksen purkamiseksi sinun on lähetettävä koodi: [Yksilöllinen salaus] sähköpostiosoitteeseen [sähköposti suojattu] tai [sähköposti suojattu]. Seuraavaksi saat kaikki tarvittavat ohjeet. Yritykset purkaa salaus itse, johtavat vain peruuttamattomaan tietojen menettämiseen."

Sähköpostiosoite voi muuttua virusta levittävän kiristysryhmän mukaan.

Mitä tulee jatkokehitykseen: yleisesti ottaen huijarit vastaavat suosituksella lunnaiden siirtämisestä, joka voi olla 3 bitcoinia tai muu summa tällä alueella. Huomaa, että kukaan ei voi taata, että hakkerit täyttävät lupauksensa edes rahan saatuaan. Jotta .xtbl-tiedostojen käyttöoikeus voidaan palauttaa, käyttäjiä, joita asia koskee, suositellaan kokeilemaan ensin kaikkia saatavilla olevia vaihtoehtoisia menetelmiä. Joissakin tapauksissa tiedot voidaan laittaa järjestykseen käyttämällä suoraan Windows-käyttöjärjestelmään tarjottavaa Volume Shadow Copy -palvelua sekä riippumattomien ohjelmistokehittäjien tietojen salauksenpurku- ja palautusohjelmia.

Poista XTBL lunnasohjelma automaattisella puhdistusohjelmalla

Erittäin tehokas tapa työskennellä haittaohjelmien ja erityisesti kiristysohjelmien kanssa. Todistetun suojakompleksin käyttö takaa kaikkien viruskomponenttien perusteellisen havaitsemisen ja niiden täydellisen poistamisen yhdellä napsautuksella. Huomaa, että puhumme kahdesta eri prosessista: tartunnan poistamisesta ja tiedostojen palauttamisesta tietokoneellesi. Uhka on kuitenkin ehdottomasti poistettava, koska on tietoa muiden sitä käyttävien tietokonetroijalaisten käyttöönotosta.

  1. . Kun olet käynnistänyt ohjelmiston, napsauta -painiketta Käynnistä Computer Scan(Aloita skannaus).
  2. Asennettu ohjelmisto antaa raportin tarkistuksen aikana havaituista uhista. Poista kaikki havaitut uhat valitsemalla vaihtoehto Korjaa uhkat(Poista uhkaukset). Kyseinen haittaohjelma poistetaan kokonaan.

Palauta pääsy salattuihin tiedostoihin, joiden tiedostotunniste on .xtbl

Kuten todettiin, XTBL-lunnasohjelma lukitsee tiedostot käyttämällä vahvaa salausalgoritmia, joten salattuja tietoja ei voida palauttaa taikasauvan aallon avulla - ennen kuin maksat ennenkuulumattoman lunnaita. Mutta jotkut menetelmät voivat todella olla hengenpelastaja, joka auttaa palauttamaan tärkeitä tietoja. Alla voit tutustua niihin.

Decryptor - automaattinen tiedostojen palautusohjelma

Hyvin epätavallinen seikka tiedetään. Tämä infektio poistaa alkuperäiset tiedostot salaamattomassa muodossa. Salausprosessi kiristystarkoituksiin kohdistuu siten niiden kopioihin. Tämä mahdollistaa ohjelmistojen, kuten poistettujen kohteiden palauttamisen, vaikka niiden poistamisen luotettavuus olisi taattu. On erittäin suositeltavaa turvautua tiedostojen palautusmenettelyyn, jonka tehokkuus on vahvistettu useammin kuin kerran.

niteiden varjokopiot

Lähestymistapa perustuu Windowsin tiedostojen varmuuskopiointiprosessiin, joka toistetaan jokaisessa palautuspisteessä. Tärkeä ehto tämän menetelmän toimimiselle: "Järjestelmän palautus" -toiminto on aktivoitava ennen tartuntaa. Palautuspisteen jälkeen tiedostoon tehdyt muutokset eivät kuitenkaan näy tiedoston palautetussa versiossa.

Varmuuskopioida

Tämä on paras kaikista ei-lunnasmenetelmistä. Jos tietojen varmuuskopiointia ulkoiselle palvelimelle käytettiin ennen ransomware-hyökkäystä tietokoneellesi, salattujen tiedostojen palauttamiseksi sinun tarvitsee vain syöttää sopiva käyttöliittymä, valita tarvittavat tiedostot ja käynnistää tietojen palautusmekanismi varmuuskopiosta. Ennen toimenpiteen suorittamista sinun on varmistettava, että kiristysohjelma on poistettu kokonaan.

Tarkista XTBL ransomware -viruksen mahdollisten jäännöskomponenttien esiintyminen

Manuaalinen puhdistus saattaa puuttua yksittäisistä kiristysohjelmista, jotka voivat välttyä poistamiselta piilotettuina käyttöjärjestelmäobjekteina tai rekisterikohteina. Voit poistaa yksittäisten haitallisten osien osittaisen säilymisen riskin tarkistamalla tietokoneesi käyttämällä luotettavaa yleistä virustentorjuntaohjelmistoa.

Nykytekniikan avulla hakkerit voivat jatkuvasti parantaa petosmenetelmiään tavallisia käyttäjiä vastaan. Yleensä näihin tarkoituksiin käytetään virusohjelmistoja, jotka tunkeutuvat tietokoneeseen. Salausviruksia pidetään erityisen vaarallisina. Uhka on, että virus leviää erittäin nopeasti salaamalla tiedostoja (käyttäjä ei yksinkertaisesti pysty avaamaan yhtä asiakirjaa). Ja jos se on melko yksinkertaista, tietojen salauksen purkaminen on paljon vaikeampaa.

Mitä tehdä, jos virus on salannut tietokoneellasi olevia tiedostoja

Kiristysohjelmat voivat hyökätä keneen tahansa; edes käyttäjät, joilla on tehokas virustorjuntaohjelmisto, eivät ole immuuneja. Tiedostoja salaavat troijalaiset tulevat useilla koodeilla, jotka eivät ehkä voi olla virustentorjuntaohjelman kykyjä. Hakkerit onnistuvat hyökkäämään samalla tavalla jopa suuriin yrityksiin, jotka eivät ole huolehtineet tietojensa tarpeellisesta suojasta. Joten kun olet löytänyt kiristyshaittaohjelman verkosta, sinun on ryhdyttävä useisiin toimenpiteisiin.

Tärkeimmät tartunnan merkit ovat tietokoneen hidas toiminta ja muutokset asiakirjojen nimissä (näkyy työpöydällä).

  1. Lopeta salaus käynnistämällä tietokoneesi uudelleen. Kun käynnistät, älä vahvista tuntemattomien ohjelmien käynnistystä.
  2. Suorita virustorjunta, jos kiristysohjelma ei ole hyökännyt siihen.
  3. Joissakin tapauksissa varjokopiot auttavat palauttamaan tietoja. Löydät ne avaamalla salatun asiakirjan "Ominaisuudet". Tämä menetelmä toimii salattujen tietojen kanssa Vault-laajennuksesta, josta on tietoa portaalissa.
  4. Lataa apuohjelman uusin versio lunnasohjelmien torjuntaan. Tehokkaimpia niistä tarjoaa Kaspersky Lab.

Ransomware-virukset vuonna 2016: esimerkkejä

Kun torjutaan mitä tahansa virushyökkäystä, on tärkeää ymmärtää, että koodi muuttuu hyvin usein, ja sitä täydentää uusi virustorjunta. Tietenkin suojausohjelmat tarvitsevat jonkin aikaa ennen kuin kehittäjä päivittää tietokannat. Olemme valinneet viime aikojen vaarallisimmat salausvirukset.

Ishtar Ransomware

Ishtar on kiristysohjelma, joka kiristää rahaa käyttäjältä. Virus havaittiin syksyllä 2016, ja se tartutti valtavan määrän käyttäjien tietokoneita Venäjältä ja useista muista maista. Jaetaan sähköpostitse, joka sisältää liitteenä olevat asiakirjat (asennusohjelmat, asiakirjat jne.). Ishtar-salauslaitteen saastuttamat tiedot saavat nimeensä etuliite "ISHTAR". Prosessi luo testiasiakirjan, joka osoittaa, mistä salasanan saa. Hyökkääjät vaativat siitä 3 000 - 15 000 ruplaa.

Ishtar-viruksen vaara on, että nykyään ei ole olemassa salauksenpurkulaitetta, joka auttaisi käyttäjiä. Virustorjuntaohjelmistoyritykset tarvitsevat aikaa kaiken koodin purkamiseen. Nyt voit vain eristää tärkeät tiedot (jos ne ovat erityisen tärkeitä) erilliselle tietovälineelle odottamassa asiakirjojen salauksen purkamiseen kykenevän apuohjelman julkaisua. On suositeltavaa asentaa käyttöjärjestelmä uudelleen.

Neitrino

Neitrino-salauslaite ilmestyi Internetiin vuonna 2015. Hyökkäysperiaate on samanlainen kuin muilla saman luokan viruksilla. Muuttaa kansioiden ja tiedostojen nimiä lisäämällä "Neitrino" tai "Neutrino". Viruksen salausta on vaikea purkaa; kaikki virustorjuntayritysten edustajat eivät tee tätä erittäin monimutkaiseen koodiin vedoten. Jotkut käyttäjät voivat hyötyä varjokopion palauttamisesta. Napsauta hiiren kakkospainikkeella salattua asiakirjaa, siirry "Ominaisuudet", "Edelliset versiot" -välilehteen ja napsauta "Palauta". Olisi hyvä idea käyttää ilmaista Kaspersky Labin apuohjelmaa.

Lompakko tai .lompakko.

Walletin salausvirus ilmestyi vuoden 2016 lopussa. Tartuntaprosessin aikana se muuttaa tietojen nimeksi "Nimi..lompakko" tai jotain vastaavaa. Kuten useimmat kiristysohjelmavirukset, se pääsee järjestelmään hyökkääjien lähettämien sähköpostien liitteiden kautta. Koska uhka ilmestyi aivan äskettäin, virustorjuntaohjelmat eivät huomaa sitä. Salauksen jälkeen hän luo asiakirjan, jossa huijari ilmoittaa sähköpostin viestintää varten. Tällä hetkellä virustorjuntaohjelmistojen kehittäjät pyrkivät purkamaan kiristysohjelmaviruksen koodin. [sähköposti suojattu]. Käyttäjät, jotka ovat joutuneet hyökkäyksen kohteeksi, voivat vain odottaa. Jos tiedot ovat tärkeitä, on suositeltavaa tallentaa ne ulkoiselle asemalle tyhjentämällä järjestelmä.

Arvoitus

Enigma ransomware -virus alkoi tartuttaa venäläisten käyttäjien tietokoneita huhtikuun 2016 lopussa. Käytössä on AES-RSA-salausmalli, joka löytyy nykyään useimmista lunnasohjelmaviruksista. Virus tunkeutuu tietokoneeseen käyttämällä komentosarjaa, jonka käyttäjä suorittaa avaamalla tiedostoja epäilyttävästä sähköpostista. Vielä ei ole olemassa yleismaailmallista keinoa Enigma ransomware -ohjelman torjumiseksi. Käyttäjät, joilla on virustorjuntalisenssi, voivat pyytää apua kehittäjän viralliselta verkkosivustolta. Pieni "porsaanreikä" löytyi myös - Windows UAC. Jos käyttäjä napsauttaa "Ei" ikkunassa, joka tulee näkyviin virustartuntaprosessin aikana, hän voi myöhemmin palauttaa tiedot käyttämällä varjokopioita.

Graniitti

Uusi kiristysohjelmavirus, Granit, ilmestyi Internetiin syksyllä 2016. Tartunta tapahtuu seuraavan skenaarion mukaan: käyttäjä käynnistää asennusohjelman, joka saastuttaa ja salaa kaikki PC:ssä olevat tiedot sekä liitetyt asemat. Viruksen torjunta on vaikeaa. Voit poistaa sen käyttämällä Kasperskyn erityisiä apuohjelmia, mutta emme ole vielä pystyneet purkamaan koodia. Ehkä tietojen aiempien versioiden palauttaminen auttaa. Lisäksi laajan kokemuksen omaava asiantuntija voi purkaa salauksen, mutta palvelu on kallis.

Tyson

Havaittiin äskettäin. Se on laajennus jo tunnetulle lunnasohjelmalle no_more_ransom, josta voit tutustua verkkosivuillamme. Se tavoittaa henkilökohtaiset tietokoneet sähköpostista. Useisiin yritysten tietokoneisiin hyökättiin. Virus luo tekstidokumentin lukituksen avaamisohjeineen ja tarjoaa lunnaita. Tyson-lunnasohjelma ilmestyi äskettäin, joten avausavainta ei ole vielä. Ainoa tapa palauttaa tiedot on palauttaa aiemmat versiot, jos virus ei ole poistanut niitä. Voit tietysti ottaa riskin siirtämällä rahaa hyökkääjien määrittämälle tilille, mutta salasanan saamisesta ei ole takeita.

Spora

Vuoden 2017 alussa joukko käyttäjiä joutui uuden Spora ransomwaren uhreiksi. Toimintaperiaatteeltaan se ei juuri poikkea kollegoistaan, mutta siinä on ammattimaisempi muotoilu: salasanan saantiohjeet ovat paremmin kirjoitetut ja sivusto näyttää kauniimmalta. Spora ransomware -virus luotiin C-kielellä ja käyttää RSA:n ja AES:n yhdistelmää uhrin tietojen salaamiseen. Yleensä hyökättiin tietokoneisiin, joissa 1C-kirjanpitoohjelmaa käytettiin aktiivisesti. Virus, joka piiloutuu yksinkertaisen .pdf-muotoisen laskun alle, pakottaa yrityksen työntekijät käynnistämään sen. Hoitoa ei ole vielä löydetty.

1C.Drop.1

Tämä 1C-salausvirus ilmestyi kesällä 2016 ja häiritsi monien kirjanpitoosastojen työtä. Se on kehitetty erityisesti tietokoneille, jotka käyttävät 1C-ohjelmistoa. Kun se on tietokoneella sähköpostissa olevan tiedoston kautta, se kehottaa omistajaa päivittämään ohjelman. Mitä tahansa painiketta käyttäjä painaa, virus alkaa salata tiedostoja. Dr.Web-asiantuntijat työskentelevät salauksen purkutyökalujen parissa, mutta ratkaisua ei ole vielä löydetty. Tämä johtuu monimutkaisesta koodista, jossa voi olla useita muutoksia. Ainoa suoja 1C.Drop.1:tä vastaan ​​on käyttäjän valppaus ja säännöllinen tärkeiden asiakirjojen arkistointi.

da_vinci_code

Uusi kiristysohjelma, jolla on epätavallinen nimi. Virus ilmestyi keväällä 2016. Se eroaa edeltäjistään parannellun koodin ja vahvan salaustilan suhteen. da_vinci_code saastuttaa tietokoneen suoritussovelluksen (yleensä sähköpostiin liitteenä) ansiosta, jonka käyttäjä käynnistää itsenäisesti. Da Vinci -salaustyökalu kopioi tekstin järjestelmän hakemistoon ja rekisteriin, mikä varmistaa automaattisen käynnistyksen, kun Windows käynnistetään. Jokaisen uhrin tietokoneelle on määritetty yksilöllinen tunnus (auttaa salasanan saamisessa). Tietojen salauksen purkaminen on lähes mahdotonta. Voit maksaa hyökkääjille rahaa, mutta kukaan ei takaa, että saat salasanan.

[sähköposti suojattu] / [sähköposti suojattu]

Kaksi sähköpostiosoitetta, joihin liittyi usein ransomware-viruksia vuonna 2016. Niiden tarkoituksena on yhdistää uhri hyökkääjään. Liitteenä oli osoitteita erityyppisille viruksille: da_vinci_code, no_more_ransom ja niin edelleen. On erittäin suositeltavaa olla ottamatta yhteyttä huijareihin tai siirtää rahaa huijareille. Useimmissa tapauksissa käyttäjät jäävät ilman salasanoja. Siten osoittaa, että hyökkääjien kiristysohjelma toimii ja tuottaa tuloja.

Breaking Bad

Se ilmestyi vuoden 2015 alussa, mutta levisi aktiivisesti vasta vuotta myöhemmin. Tartuntaperiaate on identtinen muiden kiristysohjelmien kanssa: tiedoston asentaminen sähköpostista, tietojen salaus. Perinteiset virustorjuntaohjelmat eivät yleensä huomaa Breaking Bad -virusta. Jotkut koodit eivät voi ohittaa Windowsin UAC:tä, jolloin käyttäjä voi palauttaa asiakirjojen aiemmat versiot. Yksikään virustorjuntaohjelmistoa kehittävä yritys ei ole vielä esittänyt salauksen purkuohjelmaa.

XTBL

Hyvin yleinen kiristysohjelma, joka on aiheuttanut ongelmia monille käyttäjille. Kun virus on päässyt tietokoneeseen, se muuttaa tiedostotunnisteen .xtbl muutamassa minuutissa. Luodaan asiakirja, jossa hyökkääjä kiristää rahaa. Jotkut XTBL-viruksen versiot eivät voi tuhota tiedostoja järjestelmän palautusta varten, mikä mahdollistaa tärkeiden asiakirjojen palauttamisen. Itse viruksen voi poistaa monilla ohjelmilla, mutta asiakirjojen salauksen purkaminen on erittäin vaikeaa. Jos omistat lisensoidun virustorjunnan, käytä teknistä tukea liittämällä näytteitä tartunnan saaneista tiedoista.

Kukaracha

Cucaracha-lunnasohjelma löydettiin joulukuussa 2016. Mielenkiintoisen nimen omaava virus piilottaa käyttäjätiedostot RSA-2048-algoritmilla, joka on erittäin vastustuskykyinen. Kaspersky antivirus nimesi sen nimellä Trojan-Ransom.Win32.Scatter.lb. Kukaracha voidaan poistaa tietokoneesta, jotta muut asiakirjat eivät tartu. Tartunnan saaneiden salauksen purkaminen on kuitenkin tällä hetkellä lähes mahdotonta (erittäin tehokas algoritmi).

Kuinka ransomware-virus toimii?

Kiristysohjelmia on valtava määrä, mutta ne kaikki toimivat samalla periaatteella.

  1. Pääsy henkilökohtaiseen tietokoneeseen. Yleensä sähköpostiin liitetyn tiedoston ansiosta. Asennuksen aloittaa käyttäjä itse avaamalla asiakirjan.
  2. Tiedoston infektio. Lähes kaiken tyyppiset tiedostot ovat salattuja (riippuen viruksesta). Luodaan tekstidokumentti, joka sisältää yhteystiedot hyökkääjien kanssa kommunikointia varten.
  3. Kaikki. Käyttäjä ei voi käyttää mitään dokumenttia.

Ohjausaineet suosituista laboratorioista

Käyttäjätietojen vaarallisimpana uhkana tunnustettujen kiristysohjelmien laajasta käytöstä on tullut sysäys monille virustentorjuntalaboratorioille. Jokainen suosittu yritys tarjoaa käyttäjilleen ohjelmia, jotka auttavat heitä torjumaan kiristysohjelmia. Lisäksi monet niistä auttavat asiakirjan salauksen purkamisessa ja järjestelmän suojauksessa.

Kaspersky ja ransomware-virukset

Yksi Venäjän ja maailman tunnetuimmista virustentorjuntalaboratorioista tarjoaa nykyään tehokkaimmat työkalut lunnasohjelmavirusten torjuntaan. Ensimmäinen este kiristysohjelmavirukselle on Kaspersky Endpoint Security 10 uusimpiin päivityksiin. Virustorjunta ei yksinkertaisesti anna uhan päästä tietokoneellesi (vaikka se ei ehkä estä uusia versioita). Tietojen salauksen purkamiseksi kehittäjä tarjoaa useita ilmaisia ​​apuohjelmia: XoristDecryptor, RakhniDecryptor ja Ransomware Decryptor. Ne auttavat löytämään viruksen ja valitsemaan salasanan.

DR. Web ja lunnasohjelmat

Tämä laboratorio suosittelee heidän virustorjuntaohjelmansa käyttöä, jonka pääominaisuus on tiedostojen varmuuskopiointi. Asiakirjojen kopiointivarasto on myös suojattu luvattomalta pääsyltä tunkeilijoilta. Lisensoidun tuotteen omistajat Dr. Verkkotoiminto on käytettävissä pyytääksesi apua tekniseltä tuelta. Totta, edes kokeneet asiantuntijat eivät aina voi vastustaa tällaista uhkaa.

ESET Nod 32 ja kiristysohjelmat

Tämä yritys ei myöskään jäänyt sivuun ja tarjosi käyttäjilleen hyvän suojan tietokoneisiinsa pääseviltä viruksilta. Lisäksi laboratorio julkaisi äskettäin ilmaisen apuohjelman, jossa on ajantasaiset tietokannat - Eset Crysis Decryptor. Kehittäjät sanovat, että se auttaa taistelussa jopa uusimpia lunnasohjelmia vastaan.

Jos järjestelmä on saastunut haittaohjelmilla Trojan-Ransom.Win32.Rannoh-, Trojan-Ransom.Win32.AutoIt-, Trojan-Ransom.Win32.Fury-, Trojan-Ransom.Win32.Crybola-, Trojan-Ransom.Win32.Cry- tai Trojan-Ransom. -Lunastusperheet. Win32.CryptXXX, kaikki tietokoneen tiedostot salataan seuraavasti:

  • Kun Trojan-Ransom.Win32.Rannoh on saanut tartunnan, nimet ja laajennukset muuttuvat lukitun mallin mukaan.<оригинальное_имя>.<4 произвольных буквы>.
  • Kun Trojan-Ransom.Win32.Cryakl on saanut tartunnan, tiedoston sisällön loppuun lisätään tunniste (CRYPTENDBLACKDC).
  • Kun Trojan-Ransom.Win32.AutoIt saa tartunnan, laajennus muuttuu mallin mukaan<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Esimerkiksi, [sähköposti suojattu] _.RZWDTDIC.
  • Kun laajennus saa tartunnan Trojan-Ransom.Win32.CryptXXX, laajennus muuttuu kuvioiden mukaan<оригинальное_имя>.crypt,<оригинальное_имя>.crypz ja<оригинальное_имя>.cryp1.

RannohDecryptor-apuohjelma on suunniteltu purkamaan tiedostojen salaus Trojan-Ransom.Win32.Polyglot-, Trojan-Ransom.Win32.Rannoh-, Trojan-Ransom.Win32.AutoIt-, Trojan-Ransom.Win32.Fury- ja Trojan-Ransom.Cryin-tartunnan jälkeen. , Trojan- Ransom.Win32.Cryakl tai Trojan-Ransom.Win32.CryptXXX versiot 1, 2 ja 3.

Kuinka parantaa järjestelmää

Tartunnan saaneen järjestelmän parantaminen:

  1. Lataa RannohDecryptor.zip-tiedosto.
  2. Suorita RannohDecryptor.exe tartunnan saaneessa koneessa.
  3. Napsauta pääikkunassa Aloita tarkistaminen.
  1. Määritä polku salattuun ja salaamattomaan tiedostoon.
    Jos tiedosto on salattu Trojan-Ransom.Win32.CryptXXX, määritä suurin tiedostokoko. Salauksen purku on käytettävissä vain samankokoisille tai pienemmille tiedostoille.
  2. Odota salattujen tiedostojen haun ja salauksen purkamisen päättymistä.
  3. Käynnistä tietokone tarvittaessa uudelleen.
  4. lukituksen jälkeen-<оригинальное_имя>.<4 произвольных буквы>Jos haluat poistaa salattujen tiedostojen kopion onnistuneen salauksen purkamisen jälkeen, valitse .

Jos tiedoston salasi Trojan-Ransom.Win32.Cryakl, apuohjelma tallentaa tiedoston vanhaan paikkaansa tunnisteella .decryptedKLR.original_extension. Jos olet valinnut Poista salatut tiedostot onnistuneen salauksen purkamisen jälkeen, apuohjelma tallentaa litteroidun tiedoston alkuperäisellä nimellä.

  1. Oletusarvoisesti apuohjelma tulostaa työraportin järjestelmälevyn juureen (levy, jolle käyttöjärjestelmä on asennettu).

    Raportin nimi on seuraava: UtilityName.Version_Date_Time_log.txt

    Esimerkiksi C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trojan-Ransom.Win32.CryptXXX-tartunnan saaneessa järjestelmässä apuohjelma tarkistaa rajoitetun määrän tiedostomuotoja. Jos käyttäjä valitsee tiedoston, johon CryptXXX v2 vaikuttaa, avaimen palauttaminen voi kestää kauan. Tässä tapauksessa apuohjelma näyttää varoituksen.

Noin viikko tai kaksi sitten Internetiin ilmestyi uusi nykyaikaisten virustenvalmistajien hakkerointi, joka salaa kaikki käyttäjän tiedostot. Jälleen kerran harkitsen kysymystä tietokoneen parantamisesta lunnasohjelmaviruksen jälkeen salattu000007 ja palauttaa salatut tiedostot. Tässä tapauksessa mitään uutta tai ainutlaatuista ei ole ilmestynyt, vain muutos edelliseen versioon.

Taattu tiedostojen salauksen purku kiristysohjelmaviruksen jälkeen - dr-shifro.ru. Yksityiskohdat työstä ja vuorovaikutussuunnitelma asiakkaan kanssa ovat alla artikkelissani tai verkkosivustolla "Työmenettely"-osiossa.

Kuvaus CRYPTED000007 lunnasohjelmaviruksesta

CRYPTED000007-salauslaite ei eroa olennaisesti edeltäjistään. Se toimii lähes täsmälleen samalla tavalla. Mutta silti on useita vivahteita, jotka erottavat sen. Kerron sinulle kaikesta järjestyksessä.

Se saapuu, kuten sen analogit, postitse. Sosiaalisen suunnittelun tekniikoilla varmistetaan, että käyttäjä kiinnostuu kirjeestä ja avaa sen. Minun tapauksessani kirjeessä puhuttiin jonkinlaisesta tuomioistuimesta ja liitteenä olevasta tärkeästä asiasta. Liitteen käynnistämisen jälkeen käyttäjä avaa Word-asiakirjan, jossa on ote Moskovan välitystuomioistuimesta.

Samanaikaisesti asiakirjan avaamisen kanssa tiedostojen salaus alkaa. Tietosanoma Windowsin käyttäjätilien valvontajärjestelmästä alkaa jatkuvasti ponnahtaa esiin.

Jos hyväksyt ehdotuksen, Windowsin varjokopioiden tiedostojen varmuuskopiot poistetaan ja tietojen palauttaminen on erittäin vaikeaa. On selvää, että et voi hyväksyä ehdotusta missään olosuhteissa. Tässä salauksessa nämä pyynnöt ponnahtavat esiin jatkuvasti, yksi toisensa jälkeen eivätkä lopu, ja pakottaa käyttäjän suostumaan ja poistamaan varmuuskopiot. Tämä on tärkein ero salauslaitteiden aikaisempiin muutoksiin. En ole koskaan kohdannut pyyntöjä poistaa varjokopiot pysähtymättä. Yleensä 5-10 tarjouksen jälkeen he pysähtyivät.

Annan heti suosituksen tulevaisuutta varten. On hyvin yleistä, että ihmiset poistavat käyttäjätilien valvontavaroitukset käytöstä. Tätä ei tarvitse tehdä. Tämä mekanismi voi todella auttaa vastustamaan viruksia. Toinen ilmeinen neuvo on, että älä työskentele jatkuvasti tietokoneen järjestelmänvalvojan tilillä, ellei sille ole objektiivista tarvetta. Tässä tapauksessa viruksella ei ole mahdollisuutta tehdä paljon haittaa. Sinulla on paremmat mahdollisuudet vastustaa häntä.

Mutta vaikka olisit aina vastannut kielteisesti kiristysohjelmien pyyntöihin, kaikki tietosi on jo salattu. Kun salausprosessi on valmis, näet kuvan työpöydälläsi.

Samanaikaisesti työpöydälläsi on monia samansisältöisiä tekstitiedostoja.

Tiedostosi on salattu. ux:n salauksen purkamiseksi sinun on lähetettävä koodi: 329D54752553ED978F94|0 sähköpostiosoitteeseen [sähköposti suojattu]. Seuraavaksi saat kaikki tarvittavat ohjeet. Yritykset selvittää omat tiedot eivät johda mihinkään muuhun kuin peruuttamattomaan määrään tietoja. Jos haluat silti yrittää, tee tiedostoista ensin varmuuskopiot, muuten salauksen purkaminen tulee muuttuessa mahdottomaksi missään olosuhteissa. Jos et ole saanut ilmoitusta yllä olevaan osoitteeseen 48 tunnin sisällä (vain tässä tapauksessa!), käytä yhteydenottolomaketta. Tämä voidaan tehdä kahdella tavalla: 1) Lataa ja asenna Tor-selain linkin kautta: https://www.torproject.org/download/download-easy.html.en Kirjoita osoite Tor-selaimen osoitteeseen: http: //cryptsen7fo43rr6 .onion/ ja paina Enter. Yhteydenottolomakkeen sisältävä sivu latautuu. 2) Siirry millä tahansa selaimella johonkin osoitteista: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Kaikki tietokoneesi tärkeät tiedostot salattiin. Tiedostojen salauksen purkamiseksi sinun tulee lähettää seuraava koodi: 329D54752553ED978F94|0 sähköpostiosoitteeseen [sähköposti suojattu]. Sitten saat kaikki tarvittavat ohjeet. Kaikki itse tekemäsi salauksen purkuyritykset johtavat vain tietojen peruuttamattomaan menettämiseen. Jos haluat silti yrittää purkaa ne itse, tee ensin varmuuskopio, koska salauksen purkaminen tulee mahdottomaksi, jos tiedostoissa tehdään muutoksia. Jos et ole saanut vastausta yllä mainitusta sähköpostista yli 48 tuntiin (ja vain tässä tapauksessa!), käytä palautelomaketta. Voit tehdä sen kahdella tavalla: 1) Lataa Tor-selain täältä: https://www.torproject.org/download/download-easy.html.en Asenna se ja kirjoita osoitepalkkiin seuraava osoite: http:/ /cryptsen7fo43rr6.onion/ Paina Enter, jolloin palautelomakkeella varustettu sivu ladataan. 2) Siirry johonkin seuraavista osoitteista millä tahansa selaimella: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Postiosoite voi muuttua. Törmäsin myös seuraaviin osoitteisiin:

Osoitteita päivitetään jatkuvasti, joten ne voivat olla täysin erilaisia.

Heti kun huomaat, että tiedostosi on salattu, sammuta tietokone välittömästi. Tämä on tehtävä salausprosessin keskeyttämiseksi sekä paikallisessa tietokoneessa että verkkoasemissa. Salausvirus voi salata kaiken tiedon, jonka se voi tavoittaa, myös verkkoasemilla. Mutta jos siellä on paljon tietoa, se vie häneltä huomattavasti aikaa. Joskus, jopa parissa tunnissa, kiristysohjelma ei ehtinyt salata kaikkea noin 100 gigatavun verkkoasemalla.

Seuraavaksi sinun on mietittävä tarkkaan, miten toimia. Jos tarvitset tietoja tietokoneellesi hinnalla millä hyvänsä ja sinulla ei ole varmuuskopioita, on tällä hetkellä parempi kääntyä asiantuntijoiden puoleen. Ei välttämättä rahasta joillekin yrityksille. Tarvitset vain henkilön, joka tuntee hyvin tietojärjestelmät. On tarpeen arvioida katastrofin laajuus, poistaa virus ja kerätä kaikki saatavilla oleva tieto tilanteesta, jotta voidaan ymmärtää, miten edetä.

Virheelliset toimet tässä vaiheessa voivat merkittävästi vaikeuttaa tiedostojen salauksen purkamista tai palauttamista. Pahimmassa tapauksessa ne voivat tehdä sen mahdottomaksi. Joten ota aikaa, ole varovainen ja johdonmukainen.

Kuinka CRYPTED000007 lunnasohjelmavirus salaa tiedostoja

Kun virus on käynnistetty ja lopettanut toimintansa, kaikki hyödylliset tiedostot salataan ja nimetään uudelleen extension.crypted000007. Lisäksi ei vain tiedostopääte korvata, vaan myös tiedoston nimi, joten et tiedä tarkalleen, millaisia ​​tiedostoja sinulla oli, jos et muista. Se näyttää tältä.

Tällaisessa tilanteessa on vaikea arvioida tragedian laajuutta, koska et voi täysin muistaa, mitä sinulla oli eri kansioissa. Tämä tehtiin nimenomaan hämmentämään ihmisiä ja rohkaisemaan heitä maksamaan tiedostojen salauksen purkamisesta.

Ja jos verkkokansiosi oli salattu eikä täydellisiä varmuuskopioita ole, tämä voi pysäyttää koko organisaation työn kokonaan. Kestää jonkin aikaa selvittääksesi, mikä lopulta hävisi, jotta voit aloittaa restauroinnin.

Kuinka käsitellä tietokonettasi ja poistaa CRYPTED000007 lunnasohjelmat

CRYPTED000007 virus on jo tietokoneessasi. Ensimmäinen ja tärkein kysymys on tietokoneen desinfioiminen ja viruksen poistaminen siitä, jotta estetään lisäsalaus, jos sitä ei ole vielä suoritettu. Haluan välittömästi kiinnittää huomiosi siihen, että kun olet itse alkanut suorittaa joitain toimintoja tietokoneellasi, tietojen salauksen purkamisen mahdollisuudet vähenevät. Jos haluat palauttaa tiedostoja hinnalla millä hyvänsä, älä koske tietokoneeseesi, vaan ota välittömästi yhteyttä ammattilaisiin. Alla kerron niistä ja annan linkin sivustolle ja kuvailen kuinka ne toimivat.

Sillä välin jatkamme tietokoneen itsenäistä käsittelyä ja viruksen poistamista. Perinteisesti lunnasohjelmat poistetaan helposti tietokoneelta, koska viruksen tehtävänä ei ole jäädä tietokoneeseen hinnalla millä hyvänsä. Kun tiedostot on salattu kokonaan, hänen on vielä kannattavampaa poistaa itsensä ja kadota, jolloin tapauksen tutkiminen ja tiedostojen salauksen purkaminen on vaikeampaa.

On vaikea kuvailla, kuinka virus poistetaan manuaalisesti, vaikka olen yrittänyt tehdä tätä aiemmin, mutta näen, että useimmiten se on turhaa. Tiedostojen nimet ja virusten sijoituspolut muuttuvat jatkuvasti. Se, mitä näin, ei ole enää relevantti viikon tai kahden kuluttua. Yleensä virukset lähetetään postitse aaltoina, ja joka kerta tulee uusi muutos, jota virustorjunta ei vielä tunnista. Yleiset työkalut, jotka tarkistavat käynnistyksen ja havaitsevat epäilyttävän toiminnan järjestelmäkansioissa, auttavat.

Voit poistaa CRYPTED000007 viruksen käyttämällä seuraavia ohjelmia:

  1. Kaspersky Virus Removal Tool - apuohjelma Kasperskyltä http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - samankaltainen tuote muusta verkosta http://free.drweb.ru/cureit.
  3. Jos kaksi ensimmäistä apuohjelmaa eivät auta, kokeile MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Todennäköisesti jokin näistä tuotteista tyhjentää tietokoneesi CRYPTED000007 lunnasohjelmasta. Jos yhtäkkiä tapahtuu, etteivät ne auta, yritä poistaa virus manuaalisesti. Annoin esimerkin poistomenetelmästä ja näet sen siellä. Lyhyesti, askel askeleelta, sinun on toimittava näin:

  1. Katsomme prosessiluetteloa lisättyään useita lisäsarakkeita tehtävänhallintaan.
  2. Löydämme virusprosessin, avaamme kansion, jossa se sijaitsee, ja poistamme sen.
  3. Poistamme virusprosessin mainitsemisen rekisteristä tiedostonimellä.
  4. Käynnistämme uudelleen ja varmistamme, että CRYPTED000007 virus ei ole käynnissä olevien prosessien luettelossa.

Mistä ladata salauksenpurkuohjelma CRYPTED000007

Kysymys yksinkertaisesta ja luotettavasta salauksenpurkuohjelmasta nousee ensimmäisenä esille, kun kyse on lunnasohjelmaviruksesta. Ensimmäinen asia, jonka suosittelen, on käyttää palvelua https://www.nomoreransom.org. Entä jos olet onnekas ja heillä on salauksenpurkuohjelma CRYPTED000007-salauksen versiollesi. Sanon heti, että sinulla ei ole paljon mahdollisuuksia, mutta yrittäminen ei ole kidutusta. Napsauta etusivulla Kyllä:

Lataa sitten muutama salattu tiedosto ja napsauta Go! Selvittää:

Kirjoitushetkellä sivustolla ei ollut salauksen purkuohjelmaa.

Ehkä sinulla on parempi tuuri. Voit myös nähdä luettelon ladattavista salauksenpurkuohjelmista erillisellä sivulla - https://www.nomoreransom.org/decryption-tools.html. Ehkä siellä on jotain hyödyllistä. Kun virus on täysin tuore, tämän tapahtuman mahdollisuus on pieni, mutta ajan myötä jotain saattaa ilmaantua. On esimerkkejä siitä, kun verkkoon ilmestyi salauksenpurkuja joidenkin salauslaitteiden modifikaatioille. Ja nämä esimerkit ovat määritetyllä sivulla.

En tiedä mistä muualta löydät dekooderin. On epätodennäköistä, että se todella olisi olemassa, kun otetaan huomioon nykyaikaisten salaajien työn erityispiirteet. Vain viruksen tekijöillä voi olla täysimittainen salauksen purkaja.

Kuinka purkaa ja palauttaa tiedostot CRYPTED000007 viruksen jälkeen

Mitä tehdä, kun CRYPTED000007-virus on salannut tiedostosi? Salauksen tekninen toteutus ei salli tiedostojen salauksen purkamista ilman avainta tai salauksenpurkulaitetta, joka on vain salauksen tekijällä. Ehkä on joku muu tapa saada se, mutta minulla ei ole sitä tietoa. Voimme yrittää palauttaa tiedostoja vain improvisoiduilla menetelmillä. Nämä sisältävät:

  • Työkalu varjokopiot ikkunat.
  • Poistetut tietojen palautusohjelmat

Tarkista ensin, ovatko varjokopiot käytössä. Tämä työkalu toimii oletuksena Windows 7:ssä ja uudemmissa käyttöjärjestelmissä, ellet poista sitä manuaalisesti käytöstä. Tarkistaaksesi, avaa tietokoneen ominaisuudet ja siirry järjestelmän suojausosioon.

Jos et tartunnan aikana vahvistanut UAC-pyyntöä poistaa varjokopioissa olevia tiedostoja, osan tiedoista pitäisi jäädä sinne. Kerroin tästä pyynnöstä tarkemmin tarinan alussa, kun puhuin viruksen toiminnasta.

Tiedostojen palauttamiseksi helposti varjokopioista suosittelen käyttämään ilmaista ohjelmaa - ShadowExplorer. Lataa arkisto, pura ohjelma ja suorita se.

Tiedostojen uusin kopio ja C-aseman juuri avautuvat. Vasemmasta yläkulmasta voit valita varmuuskopion, jos sinulla on niitä useita. Tarkista tarvittavat tiedostot eri kopioista. Vertaa uusimman version päivämäärän mukaan. Alla olevassa esimerkissäni löysin työpöydältäni 2 tiedostoa kolmen kuukauden takaa, kun niitä viimeksi muokattiin.

Pystyin palauttamaan nämä tiedostot. Tätä varten valitsin ne, napsautin hiiren kakkospainikkeella, valitsin Vie ja määritin kansion, johon ne palautetaan.

Voit palauttaa kansiot välittömästi samalla periaatteella. Jos varjokopiot toimivat etkä poistanut niitä, sinulla on hyvät mahdollisuudet palauttaa kaikki tai melkein kaikki viruksen salaamat tiedostot. Ehkä jotkut niistä ovat vanhempia versioita kuin haluaisimme, mutta silti se on parempi kuin ei mitään.

Jos sinulla ei jostain syystä ole varjokopioita tiedostoistasi, ainoa mahdollisuutesi saada ainakin jotain salatuista tiedostoista on palauttaa ne poistettujen tiedostojen palautustyökaluilla. Tätä varten suosittelen ilmaisen Photorec-ohjelman käyttöä.

Käynnistä ohjelma ja valitse levy, jolle palautat tiedostot. Ohjelman graafisen version käynnistäminen suorittaa tiedoston qphotorec_win.exe. Sinun on valittava kansio, johon löydetyt tiedostot sijoitetaan. On parempi, jos tämä kansio ei sijaitse samalla asemalla, josta etsimme. Liitä flash-asema tai ulkoinen kiintolevy tehdäksesi tämän.

Hakuprosessi kestää kauan. Lopussa näet tilastot. Nyt voit siirtyä aiemmin määritettyyn kansioon ja katsoa, ​​mitä sieltä löytyy. Tiedostoja tulee todennäköisesti olemaan paljon ja suurin osa niistä joko vaurioituu tai ne ovat jonkinlaisia ​​järjestelmiä ja hyödyttömiä tiedostoja. Tästä luettelosta löytyy kuitenkin hyödyllisiä tiedostoja. Täällä ei ole takuita; mitä löydät, sen löydät. Kuvat palautuvat yleensä parhaiten.

Jos tulos ei tyydytä sinua, on olemassa myös ohjelmia poistettujen tiedostojen palauttamiseksi. Alla on luettelo ohjelmista, joita käytän yleensä, kun minun on palautettava enimmäismäärä tiedostoja:

  • R.saver
  • Starus-tiedoston palautus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Nämä ohjelmat eivät ole ilmaisia, joten en tarjoa linkkejä. Jos todella haluat, voit löytää ne itse Internetistä.

Koko tiedoston palautusprosessi esitetään yksityiskohtaisesti artikkelin lopussa olevassa videossa.

Kaspersky, eset nod32 ja muut taistelussa Filecoder.ED-salausta vastaan

Suositut virustorjuntaohjelmat havaitsevat kiristysohjelman CRYPTED000007 as Filecoder.ED ja sitten voi olla jokin muu nimitys. Selailin läpi tärkeimmät virustorjuntafoorumit, enkä löytänyt niistä mitään hyödyllistä. Valitettavasti, kuten tavallista, virustorjuntaohjelmisto osoittautui valmistautumattomaksi uuden kiristysohjelmien hyökkäykseen. Tässä on viesti Kaspersky-foorumilta.

Virustentorjuntaohjelmat kaipaavat perinteisesti ransomware-troijalaisten uusia muutoksia. Suosittelen kuitenkin niiden käyttöä. Jos olet onnekas ja saat kiristysohjelmasähköpostin ei ensimmäisellä tartuntaaaltolla, vaan hieman myöhemmin, on mahdollista, että virustorjunta auttaa sinua. He kaikki työskentelevät askeleen hyökkääjiä jäljessä. Uusi versio ransomwaresta julkaistaan, mutta virustorjunta ei reagoi siihen. Heti kun tietty määrä materiaalia uuden viruksen tutkimukseen kerääntyy, virustorjuntaohjelmisto julkaisee päivityksen ja alkaa vastata siihen.

En ymmärrä, mikä estää virustorjuntaohjelmia vastaamasta välittömästi järjestelmän salausprosessiin. Ehkä tässä aiheessa on jokin tekninen vivahde, joka ei salli meidän vastata riittävästi ja estää käyttäjätiedostojen salausta. Minusta näyttää siltä, ​​​​että olisi mahdollista näyttää ainakin varoitus siitä, että joku salaa tiedostojasi, ja tarjota prosessin pysäyttämistä.

Minne hakea taattua salauksen purkamista

Satuin tapaamaan yhden yrityksen, joka todella purkaa tietojen salauksen erilaisten salausvirusten, mukaan lukien CRYPTED000007, työn jälkeen. Heidän osoitteensa on http://www.dr-shifro.ru. Maksu vasta täydellisen salauksen purkamisen ja vahvistuksen jälkeen. Tässä on likimääräinen työkaavio:

  1. Yrityksen asiantuntija tulee toimistoosi tai kotiin ja tekee kanssasi sopimuksen, jossa määritellään työn kustannukset.
  2. Käynnistää salauksenpurkuohjelman ja purkaa kaikkien tiedostojen salauksen.
  3. Varmistat, että kaikki tiedostot on avattu ja allekirjoitat valmiiden töiden toimitus-/vastaanottotodistuksen.
  4. Maksu suoritetaan vain onnistuneiden salauksen purkutulosten perusteella.

Olen rehellinen, en tiedä kuinka he tekevät sen, mutta et riskeeraa mitään. Maksu vasta dekooderin toiminnan osoittamisen jälkeen. Kirjoita arvostelu kokemuksistasi tästä yrityksestä.

Suojausmenetelmät CRYPTED000007 virukselta

Kuinka suojautua kiristysohjelmilta ja välttää aineelliset ja moraaliset vahingot? On olemassa muutamia yksinkertaisia ​​ja tehokkaita vinkkejä:

  1. Varmuuskopioida! Varmuuskopio kaikista tärkeistä tiedoista. Eikä vain varmuuskopio, vaan varmuuskopio, johon ei ole jatkuvaa pääsyä. Muussa tapauksessa virus voi tartuttaa sekä asiakirjojasi että varmuuskopioita.
  2. Lisensoitu virustorjunta. Vaikka ne eivät tarjoa 100-prosenttista takuuta, ne lisäävät mahdollisuuksia välttää salaus. He eivät useimmiten ole valmiita uusiin salausversioihin, mutta 3-4 päivän kuluttua he alkavat vastata. Tämä lisää mahdollisuuksiasi välttää tartuntaa, jos et ollut mukana ransomwaren uuden muunnelman ensimmäisessä jakelussa.
  3. Älä avaa epäilyttäviä liitteitä postissa. Täällä ei ole mitään kommentoitavaa. Kaikki tuntemani kiristysohjelmat tavoittivat käyttäjät sähköpostitse. Lisäksi joka kerta keksitään uusia temppuja uhrin huijaamiseksi.
  4. Älä avaa ajattelemattomasti linkkejä, jotka ystäväsi ovat lähettäneet sinulle sosiaalisten verkostojen tai pikaviestien kautta. Näin myös virukset joskus leviävät.
  5. Ota ikkunat käyttöön tiedostotunnisteiden näyttämiseksi. Kuinka tämä tehdään, on helppo löytää Internetistä. Tämän avulla voit huomata viruksen tiedostotunnisteen. Useimmiten se tulee olemaan .exe, .vbs, .src. Jokapäiväisessä työssäsi asiakirjojen kanssa et todennäköisesti törmää tällaisiin tiedostopäätteisiin.

Yritin täydentää sitä, mitä olen jo aiemmin kirjoittanut jokaisessa kiristysohjelmaviruksesta kertovassa artikkelissa. Sillä välin sanon hyvästit. Otan mielelläni vastaan ​​hyödyllisiä kommentteja artikkelista ja CRYPTED000007 ransomware-viruksesta yleensä.

Video tiedostojen salauksen purkamisesta ja palauttamisesta

Tässä on esimerkki viruksen aiemmasta muutoksesta, mutta video on täysin relevantti CRYPTED000007:lle.

Kaspersky Anti-Ransomware Tool for Business on suunniteltu suojaamaan Windows-tietokoneita kiristysohjelmilta.

On olemassa Troijan hevosten luokka, jotka on suunniteltu kiristämään rahaa uhreilta. Niitä kutsutaan ransomwareiksi (englanniksi ransomware). Tähän luokkaan kuuluu myös viime vuosina laajalle levinnyt kiristysohjelma.

Näistä ohjelmista lähtevien uhkien tarkoituksena on estää tietokoneen toiminta tai salata levylle tallennettuja tietoja ja estää pääsy tiettyihin tiedostoihin. Tämän jälkeen hyökkääjät vaativat maksua peruuttaakseen tällaisen ohjelman jonkun muun tietokoneelle tekemät muutokset. Tämä aiheuttaa vakavia tappioita pääasiassa yritysympäristössä.

Ilmainen Kaspersky Anti-Ransomware -ohjelma on yhteensopiva muiden virustentorjuntaohjelmien kanssa ja voi olla lisäsuojaus ransomware-troijalaisia ​​ja kiristysohjelmia vastaan. Ja pitääksesi tietokoneesi täysin turvassa, tämä on ilmainen sovellus.

Uuden Kaspersky-viruksentorjuntaohjelman ominaisuudet:

  • Vapaa
  • Tunnistaa kiristysohjelmat premium-yritysratkaisujen tasolla.
  • Käytetyt virustorjuntatekniikat: tiedostojen virustorjunta ja Activity Monitor
  • Yhteensopiva kolmannen osapuolen virustorjuntaohjelmien kanssa
  • Tukee yleisiä käyttöjärjestelmiä: Windows 7 - 10 (mukaan lukien Anniversary Update)
  • Tunnistusraportit lähetetään sähköpostitse ylläpitäjälle

Rajoitukset


Kasperskyn Anti-Ransomware Tool käyttää erilaisia ​​uhkien havaitsemismenetelmiä tietokoneiden suojaamiseen. Virustorjunta tunnistaa haitalliset sovellukset analysoimalla virustentorjuntatietokantojen sisältämiä tietoja. Tämä työkalu käyttää kiristysohjelmille ominaisen toiminnan havaitsemiseen kahta innovatiivista tekniikkaa: Activity Monitoria ja Kaspersky Security Networkia.

Kaspersky Security Networkin avulla voit reagoida nopeammin tuntemattomiin uhkiin, kun taas Activity Monitor pystyy estämään vaaralliset järjestelmämuutokset ja peruuttamaan ne.

Kaspersky Security Networkiin osallistuvat käyttäjät antavat Kaspersky Labin nopeasti kerätä tietoja uusista uhkien lähteistä ja luoda ratkaisuja niiden neutraloimiseksi. Kaspersky Security Network on pilviverkko, johon osallistuminen sisältää tilastotietojen lähettämisen, joita tämä virustorjunta kerää jokaiselta tietokoneelta, jossa se toimii.

Kun uhka havaitaan, Anti-Ransomware Tool estää sen automaattisesti ja lisää sen estettyjen sovellusten luetteloon (käyttöliittymässä kutsutaan nimellä Estetyt sovellukset). Ennen estämisen estämistä ransomware-ohjelma voi kuitenkin suorittaa joitakin toimintoja käyttöjärjestelmässä (esimerkiksi muuttaa tiedostoja tai luoda uusia tai tehdä muutoksia rekisteriin). Peruuttaakseen kaikki haittaohjelman toimet, Anti-Ransomware tallentaa kaikkien sovellusten toimintahistorian.

Kaspersky Anti-Ransomware antivirus sijoittaa haittaohjelmien luomat tiedostot tallennustilaansa. Kaspersky Labin työntekijät voivat palauttaa ne sieltä. Jos sinun on palautettava tiedostoja tallennustilasta, voit saada neuvoja kehittäjien keskustelupalstalta.

Aiheeseen liittyviä julkaisuja: