Decoderen van bestanden na ransomware Trojan. Manieren om gratis versleutelde bestanden te herstellen

Een nieuwe ronde van computersabotage en fraude zijn ransomware-virussen. In het beginstadium van infectie zult u merken dat u bekende bestanden niet kunt openen. Dit zijn foto's, archieven, documenten en andere belangrijke gebruikersgegevens.

Wanneer uw bestanden zijn versleuteld, verschijnt er een bericht op het bureaublad (in plaats van de achtergrond) of wordt een tekstbestand met de naam "readme" geopend. Hoe eerder u een infectie opmerkt, hoe beter. Wanneer u ziet dat gewone foto's of Excel-bestanden de extensie hebben gewijzigd, koppelt u uw computer onmiddellijk los van internet. Lees de verdere stappen hieronder.

We waarschuwen je meteen dat het mogelijk is om bestanden te herstellen en te decoderen als er een ransomware-virus binnenkomt, maar niet altijd. Laten we beginnen met de lastige gevallen.

Herstel bestanden xtbl, kluis, cbf -extensies

Helaas is informatie over het decoderen van xtbl alleen verkrijgbaar bij de distributeurs van het virus zelf (en dat is geen feit). Eerder vroegen ze om 5.000 roebel voor decodering, daarna verhoogden ze de kosten van "services" tot 15.000. Maar er zijn natuurlijk geen garanties. De kans op een "succesvolle" transactie neigt naar nul. De enkele gevallen op het netwerk waarin het mogelijk was om bestanden te herstellen na het kluisvirus (ook bekend als xbtl of cbf, het verschil zit alleen in de combinatie van letters), zijn niet geloofwaardig. De cybercriminelen 'adverteren' zelf de verhalen over hoe het probleem is opgelost.

Maar wanhoop niet, er moeten enkele maatregelen worden genomen. Als bestanden op de computer zijn versleuteld, volg dan de instructies:

1. Koppel uw computer los van internet. In 90% van de gevallen kan het virus de codering niet voortzetten zonder netwerktoegang, dus u heeft de kans om de resterende gegevens op te slaan.
2. Noteer de contacten en de code die moet worden verzonden vanuit het leesmij-bestand. Maak een foto of schrijf het op in een notitieblok, omdat u mogelijk de toegang tot dit bestand op uw computer kwijtraakt. De code is nodig als een kluis, cbf, xbtl-decoder wordt ontwikkeld.
3. Scan uw hele harde schijf met Malwarebytes Anti-Malware of CureIt van Dr. Web. Verwijder alle verdachte objecten. Als iets het verwijderen bemoeilijkt, zet u uw computer in de veilige modus en probeert u het opnieuw. Vernietig niet alleen het VAULT.key-bestand of iets dergelijks, het kan nodig zijn voor decodering (als het verschijnt).
4. Ga naar de instructies voor gegevensherstel.

Naast decodering zijn er andere manieren om uw bestanden terug te krijgen. De ideale optie zijn natuurlijk back-ups. Als je ze nog niet eerder hebt gedaan, zul je na infectie zeker met dit probleem te maken krijgen. Als er geen duplicaten zijn, zijn er een aantal opties om uw geluk te beproeven:

• Windows OS heeft een ingebouwd automatisch archiveringssysteem. Met een beetje geluk wordt het niet uitgeschakeld.

Het feit is dat het virus, na codering, het originele bestand verwijdert. Daarom is er een kans om uw gegevens in de diepten van de harde schijf te vinden. Hoewel sommige encoderaanpassingen deze records opzettelijk "overschrijven", is er geen kans.

Degenen die worden behandeld

Antivirusbedrijven hebben al speciale hulpprogramma's ontwikkeld voor eerdere versies van de "encryptie-infectie". Voor Kaspersky Lab is dit:

1. RakhniDecryptor voor Trojan-Ransom. Win32. Aura en Trojan-Ransom. Win32. Rakhni;
2. RannohDecryptor tegen Trojan-Ransom. Win32. Ranno;
3. RectorDecryptor decodeert Trojan-Ransom. Win32. Rector;
4. ScatterDecryptor om Trojan-Ransom te elimineren. KNUPPEL. Verstrooien;
5. Scraper-decoder tegen Trojan-Ransom.Win32.Scraper.

Ze kunnen gratis worden gedownload en gebruikt op de website van KasperskyLab: https://support.kaspersky.com/viruses/disinfection.

Dr.Web biedt een Trojan Encoder-decoder aan. Maar onlangs heeft het bedrijf een toegangsbeperking ingevoerd. Alleen gelicentieerde gebruikers van de antivirus kunnen het hulpprogramma downloaden. Als je het programma niet hebt gekocht, zoek dan naar een oplossing van concurrenten.

Rassen

Naast de hierboven genoemde trojans en virussen zijn er nog vele andere. Sommige zijn al goed bestudeerd, gemakkelijk te herkennen en vernietigd zonder gevolgen. Anderen "muteren" elke zes maanden en maken het onmogelijk om ze adequaat te weerstaan. Identificeer bij besmetting het virus op extensie of naam (indien gedetecteerd door de antivirus).

Zoek naar oplossingen op de officiële websites van antivirusprogramma's. Sinds tegen de achtergrond van de wijdverbreide verspreiding van infecties, zijn er veel "helpers" ontstaan. Ze zijn klaar om het probleem op te lossen voor een symbolische betaling van 700-1500 roebel. Het is het risico niet waard, wanneer de behandeling verschijnt, wordt deze alomtegenwoordig.

Wanneer een virus bestanden op een computer versleutelt, is dat niet het einde van de wereld. U hebt veel pogingen om belangrijke bestanden terug te controleren. Een van hen heeft de meeste kans van slagen. De ransomware helpt niet bij het decoderen van een cbf-virus, maar we hebben u de herstelmethoden getoond. In andere gevallen zullen verschillende decoders helpen. Actie ondernemen.

BEKIJK DE VIDEO

'Sorry dat ik u stoor, maar... uw bestanden zijn versleuteld. Om de decoderingssleutel te krijgen, moet u dringend een bepaald bedrag naar uw portemonnee overboeken ... Anders worden uw gegevens onherroepelijk vernietigd. Je hebt 3 uur, de tijd dringt." En het is geen grap. Het ransomware-virus is een meer dan reële bedreiging.

Vandaag zullen we het hebben over wat de ransomware-malware is die de afgelopen jaren is verspreid, wat te doen in geval van infectie, hoe u uw computer kunt genezen en of het überhaupt mogelijk is, en hoe u uzelf ertegen kunt beschermen.

Wij versleutelen alles!

Een ransomware (encryptor, cryptor) virus is een speciaal type ransomware dat de bestanden van de gebruiker versleutelt en vervolgens vraagt ​​om de decryptietool te kopen. De losgeldbedragen beginnen overal vanaf $ 200 en lopen op tot tien- en honderdduizenden groene rekeningen.

Enkele jaren geleden werden alleen Windows-computers aangevallen door deze klasse malware. Tegenwoordig is hun assortiment uitgebreid tot schijnbaar goed beschermde Linux, Mac en Android. Bovendien groeit de soortendiversiteit van scramblers voortdurend - de ene na de andere verschijnen er nieuwe items die iets hebben om de wereld mee te verrassen. Het is dus ontstaan ​​door de "kruising" van een klassieke ransomware-trojan en een netwerkworm (een kwaadaardig programma dat zich over netwerken verspreidt zonder de actieve deelname van gebruikers).

Na WannaCry waren er niet minder verfijnde Petya en Bad Rabbit. En aangezien de "encryptiebusiness" de eigenaren een goed inkomen oplevert, kunt u er zeker van zijn dat zij niet de laatsten zijn.

Meer en meer ransomware, vooral degenen die de afgelopen 3-5 jaar op de markt zijn gekomen, gebruiken sterke cryptografische algoritmen die niet kunnen worden gekraakt door brute-force-aanvallen of andere bestaande middelen. De enige manier om de gegevens te herstellen, is door de originele sleutel te gebruiken, die de cybercriminelen aanbieden te kopen. Maar zelfs als u het vereiste bedrag aan hen overmaakt, is de ontvangst van de sleutel niet gegarandeerd. Criminelen nemen de tijd om hun geheimen prijs te geven en potentiële winst te verliezen. En wat hebben ze voor zin om hun beloften na te komen als ze het geld al hebben?

Manieren van verspreiding van versleutelingsvirussen

De belangrijkste manier waarop malware de computers van particuliere gebruikers en organisaties bereikt, is via e-mail, om precies te zijn, bestanden en links die aan brieven zijn toegevoegd.

Een voorbeeld van zo'n brief bedoeld voor "corporate clients":

• "Betaal uw leningsschuld met spoed af."
• "De vordering is ingediend bij de rechtbank."
• "Betaal de boete / vergoeding / belasting."
• "Extra kosten van energierekeningen".
• "Oh, ben jij dat op de foto?"
• "Lena vroeg u dit dringend over te brengen", enz.

Mee eens, alleen een goed geïnformeerde gebruiker zal zo'n brief met de nodige voorzichtigheid behandelen. De meesten zullen niet aarzelen om de bijlage te openen en de malware zelf uit te voeren. Trouwens, ondanks het geschreeuw van de antivirus.

De volgende worden ook actief gebruikt om ransomware te verspreiden:

• Sociale netwerken (mailing vanuit de accounts van kennissen en onbekenden).
• Schadelijke en geïnfecteerde webbronnen.
• Bannerreclame.
• Mailing via messengers van gehackte accounts.
• Sites-warezniki en distributeurs van keygens en crackers.
• Sites voor volwassenen.
• App- en contentwinkels.

Andere kwaadaardige programma's, met name ad-demonstrators en backdoor-trojans, zijn niet ongebruikelijke geleiders van versleutelingsvirussen. Deze laatste maken gebruik van kwetsbaarheden in het systeem en de software en helpen de criminelen om op afstand toegang te krijgen tot het geïnfecteerde apparaat. De lancering van de ransomware valt in dergelijke gevallen niet altijd samen met de potentieel gevaarlijke acties van de gebruiker. Zolang de achterdeur op het systeem blijft, kan een aanvaller op elk moment het apparaat infiltreren en versleuteling initiëren.

Er worden vooral geavanceerde methoden ontwikkeld om bedrijfscomputers te infecteren (ze kunnen tenslotte meer uitknijpen dan thuisgebruikers). De Petya Trojan infiltreerde bijvoorbeeld apparaten via de updatemodule van het MEDoc-belastingboekhoudingsprogramma.

Encryptie-ransomware met netwerkwormfuncties, zoals eerder vermeld, verspreid over netwerken, inclusief internet, via protocolkwetsbaarheden. En je kunt ermee besmet raken zonder ook maar iets te doen. Gebruikers van Windows-besturingssystemen die niet vaak worden bijgewerkt, lopen het grootste risico omdat updates bekende mazen dichten.

Sommige malware, zoals WannaCry, maakt gebruik van 0-day-kwetsbaarheden, dat wil zeggen kwetsbaarheden die nog niet bekend zijn bij systeemontwikkelaars. Helaas is het onmogelijk om op deze manier een infectie volledig te weerstaan, maar de kans dat u tot de slachtoffers behoort, is niet eens 1%. Waarom? Omdat malware niet alle kwetsbare machines tegelijk kan infecteren. En terwijl het nieuwe slachtoffers plant, slagen systeemontwikkelaars erin een levensreddende update uit te brengen.

Hoe gedraagt ​​de ransomware zich op een geïnfecteerde computer?

Het coderingsproces begint in de regel onmerkbaar en wanneer de tekenen duidelijk worden, is het te laat om de gegevens op te slaan: tegen die tijd had de malware alles versleuteld wat het kon bereiken. Soms merkt de gebruiker hoe de extensie van bestanden in een geopende map is gewijzigd.

Het onredelijk verschijnen van een nieuwe, en soms een tweede, extensie voor bestanden, waarna ze niet meer openen, geeft absoluut de gevolgen van een ransomware-aanval aan. Overigens is het meestal mogelijk om de malware te identificeren aan de hand van de extensie die wordt ontvangen door beschadigde objecten.

Een voorbeeld van wat de extensies van versleutelde bestanden kunnen zijn: xtbl, .kraken, .cesar, .da_vinci_code, [e-mail beveiligd] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, enz.

Er zijn veel opties en morgen verschijnen er nieuwe, dus het heeft geen zin om alles op te sommen. Om het type infectie te bepalen, volstaat het om verschillende extensies aan de zoekmachine te geven.

Andere symptomen die indirect wijzen op het begin van encryptie:

• Opdrachtregelvensters verschijnen een fractie van een seconde op het scherm. Meestal is dit een normaal verschijnsel bij het installeren van systeem- en programma-updates, maar het is beter om het niet onbeheerd achter te laten.
• UAC vraagt ​​om een ​​programma te starten dat u niet van plan was te openen.
• Plotselinge herstart van de computer gevolgd door imitatie van het hulpprogramma voor systeemschijfcontrole (andere variaties zijn mogelijk). Tijdens "verificatie" vindt het versleutelingsproces plaats.

Nadat de kwaadaardige operatie met succes is voltooid, verschijnt er een bericht op het scherm met de vraag om losgeld en verschillende bedreigingen.

Ransomware versleutelt een aanzienlijk deel van gebruikersbestanden: foto's, muziek, video's, tekstdocumenten, archieven, e-mail, databases, bestanden met programma-extensies, enz. Maar ze raken de objecten van het besturingssysteem niet aan, omdat cybercriminelen de geïnfecteerde computer niet nodig hebben om stoppen met werken. Sommige virussen vervangen de opstartrecords van schijven en partities.

Na versleuteling worden meestal alle schaduwkopieën en herstelpunten van het systeem verwijderd.

Hoe een computer te genezen van ransomware

Het verwijderen van kwaadaardige programma's van een geïnfecteerd systeem is eenvoudig - de meeste kunnen gemakkelijk worden aangepakt door bijna alle antivirusprogramma's. Maar! Het is naïef om te denken dat het wegwerken van de boosdoener zal leiden tot een oplossing voor het probleem: als je het virus verwijdert of niet, blijven de bestanden versleuteld. Bovendien zal dit in sommige gevallen hun latere decodering bemoeilijken, indien mogelijk.

Correcte procedure voor het starten van encryptie

• Zodra u de tekenen van codering opmerkt, schakel de computer onmiddellijk uit door de knop ingedrukt te houdenVermogen voor 3-4 seconden... Hiermee worden ten minste enkele bestanden opgeslagen.
• Maak een opstartbare schijf of USB-flashstation met antivirussoftware op een andere computer. Bijvoorbeeld, , , enzovoort.
• Start de geïnfecteerde machine op vanaf deze schijf en scan het systeem. Verwijder de gevonden virussen en bewaar ze in quarantaine (voor het geval ze nodig zijn voor decodering). Pas daarna kan uw computer opstarten vanaf uw harde schijf.
• Probeer versleutelde bestanden van schaduwkopieën te herstellen met behulp van de systeemtools of met behulp van die van derden.

Wat te doen als bestanden al zijn versleuteld

• Geef de hoop niet op. Op de websites van ontwikkelaars van antivirusproducten worden gratis hulpprogramma's voor decoders voor verschillende soorten malware geplaatst. In het bijzonder zijn hier verzamelde hulpprogramma's van en .
• Nadat u het type encryptor hebt bepaald, downloadt u het juiste hulpprogramma, zeker doen kopieën beschadigde bestanden en probeer ze te ontcijferen. Als het lukt, ontcijfer dan de rest.

Als bestanden niet worden gedecodeerd

Als geen van de hulpprogramma's heeft geholpen, heeft u waarschijnlijk last van een virus waarvoor nog geen remedie bestaat.

Wat kan in dit geval worden gedaan:

• Als u een betaald antivirusproduct gebruikt, neem dan contact op met de ondersteuningsservice. Stuur meerdere kopieën van de beschadigde bestanden naar het laboratorium en wacht op een reactie. Als het technisch mogelijk is, helpen ze je verder.

• Als blijkt dat de bestanden hopeloos beschadigd zijn, maar van grote waarde voor je zijn, kun je alleen maar hopen en wachten dat er ooit een levensreddende remedie wordt gevonden. Het beste wat u kunt doen, is het systeem en de bestanden laten zoals ze zijn, dat wil zeggen, volledig loskoppelen en de harde schijf niet gebruiken. Het verwijderen van malwarebestanden, het opnieuw installeren van het besturingssysteem en zelfs het bijwerken ervan kan u beroven van: en deze kans, omdat bij het genereren van encryptie-decryptiesleutels vaak unieke systeem-ID's en viruskopieën worden gebruikt.

Het losgeld betalen is geen optie, omdat de kans dat u de sleutel ontvangt nul is. En het is niet nodig om de criminele onderneming te financieren.

Hoe te beschermen tegen dit type malware

Ik zou het advies dat elk van de lezers honderden keren heeft gehoord, niet willen herhalen. Ja, het installeren van een goede antivirus, niet klikken op verdachte links en blabla is belangrijk. Zoals het leven echter heeft aangetoond, bestaat er vandaag de dag geen magische pil die je 100% zekerheid geeft.

De enige effectieve beschermingsmethode tegen dit soort ransomware is: reservekopie van gegevens naar andere fysieke media, waaronder clouddiensten. Back-up, back-up, back-up ...

Meer op de site:

Geen kans op redding: wat is een ransomware-virus en hoe ermee om te gaan? bijgewerkt: 1 september 2018 door: Johnny geheugensteuntje

Als het systeem is geïnfecteerd met malware van de families Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl of Trojan-Ransom.Win32.CryptXXX, dan worden alle bestanden op de computer als volgt versleuteld:

• Wanneer besmet Trojan-Ransom.Win32.Rannoh namen en extensies veranderen in patroon op slot-<оригинальное_имя>.<4 произвольных буквы> .
• Wanneer besmet Trojan-Ransom.Win32.Cryakl een label wordt toegevoegd aan het einde van de bestandsinhoud (CRYPTENDZWARTDC) .
• Wanneer besmet Trojan-Ransom.Win32.AutoIt de extensie past zich aan volgens patroon <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Bijvoorbeeld, [e-mail beveiligd] _.RZWDTDIC.
• Wanneer besmet Trojan-Ransom.Win32.CryptXXX de extensie verandert door sjablonen <оригинальное_имя>.crypt,<оригинальное_имя>. crypz en <оригинальное_имя>. crypt1.

Het hulpprogramma RannohDecryptor is ontworpen om bestanden na infectie te decoderen Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl of Trojan-Ransom.Win32.CryptXXX versies 1 , 2 en 3 .

Hoe het systeem te genezen?

Een geïnfecteerd systeem desinfecteren:

1. Download het RannohDecryptor.zip-bestand.
2. Voer het bestand RannohDecryptor.exe uit op de geïnfecteerde computer.
3. Klik in het hoofdvenster op Start controle.

1. Geef het pad naar het versleutelde en niet-versleutelde bestand op.
   Als het bestand is versleuteld Trojan-Ransom.Win32.CryptXXX, specificeer de bestanden met de grootste grootte. Decodering is alleen beschikbaar voor bestanden van gelijke of kleinere grootte.
2. Wacht tot het einde van het zoeken en decoderen van versleutelde bestanden.
3. Start uw computer indien nodig opnieuw op.
4. Een kopie van versleutelde bestanden van het formulier verwijderen op slot-<оригинальное_имя>.<4 произвольных буквы> selecteer na succesvolle decodering.

Als het bestand versleuteld was Trojan-Ransom.Win32.Cryakl, dan zal het hulpprogramma het bestand op de oude locatie opslaan met de extensie .decryptedKLR.original_extension... Als je koos Versleutelde bestanden verwijderen na succesvolle decodering, dan wordt het gedecodeerde bestand met de oorspronkelijke naam door het hulpprogramma opgeslagen.

1. Standaard stuurt het hulpprogramma een rapport van zijn werk naar de hoofdmap van de systeemschijf (de schijf waarop het besturingssysteem is geïnstalleerd).

   De rapportnaam is als volgt: UtilityName.Version_Date_Time_log.txt

   Bijvoorbeeld, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Op een geïnfecteerd systeem Trojan-Ransom.Win32.CryptXXX, scant het hulpprogramma een beperkt aantal bestandsindelingen. Wanneer een gebruiker een bestand selecteert dat wordt beïnvloed door CryptXXX v2, kan het herstel van de sleutel lang duren. In dit geval geeft het hulpprogramma een waarschuwing weer.

Ongeveer een week of twee geleden verscheen er nog een stuk werk van moderne virusmakers op het netwerk, dat alle gebruikersbestanden versleutelt. Nogmaals, ik zal nadenken over de vraag hoe een computer te genezen na een ransomware-virus versleuteld000007 en versleutelde bestanden herstellen. In dit geval is er niets nieuws en unieks verschenen, alleen een wijziging van de vorige versie.

Gegarandeerde decodering van bestanden na het ransomware-virus - dr-shifro.ru. De details van het werk en het schema van interactie met de klant staan ​​hieronder in mijn artikel of op de website in de sectie "Werkprocedure".

Beschrijving van het CRYPTED000007 ransomware-virus

De CRYPTED000007 ransomware verschilt niet fundamenteel van zijn voorgangers. Hij handelt praktisch één op één als. Maar toch zijn er verschillende nuances die het onderscheiden. Ik zal je alles in volgorde vertellen.

Het komt, net als zijn tegenhangers, per post. Er worden social engineering-technieken gebruikt om ervoor te zorgen dat de gebruiker zeker geïnteresseerd is in de brief en deze opent. In mijn geval ging de brief over een soort rechtbank en over belangrijke informatie over de zaak in de bijlage. Na het starten van de bijlage opent de gebruiker een Word-document met een uittreksel van het Moskouse Arbitragehof.

Parallel met het openen van het document start de bestandscodering. Er verschijnt constant een informatief bericht van het Windows User Account Control-systeem.

Als u akkoord gaat met het voorstel, worden de back-upkopieën van bestanden in de schaduwkopieën van Windows verwijderd en zal het herstellen van informatie erg moeilijk zijn. Uiteraard mag u in geen geval akkoord gaan met het voorstel. In deze ransomware verschijnen deze verzoeken constant, één voor één, en stoppen niet, waardoor de gebruiker wordt gedwongen akkoord te gaan en de back-ups te verwijderen. Dit is het belangrijkste verschil met de eerdere aanpassingen van ransomware. Ik ben nog nooit verzoeken tegengekomen om schaduwkopieën te verwijderen zonder te stoppen. Meestal stopten ze na 5-10 zinnen.

Ik geef je een aanbeveling voor de toekomst. Heel vaak schakelen mensen gebruikersaccountbeheer-waarschuwingen uit. Dit is niet nodig. Dit mechanisme kan echt helpen bij het tegengaan van virussen. De tweede voor de hand liggende tip - werk niet constant onder het computerbeheerdersaccount, tenzij er een objectieve noodzaak voor is. In dit geval zal het virus niet veel schade kunnen aanrichten. Je hebt een grotere kans om hem te weerstaan.

Maar zelfs als je de hele tijd negatief hebt geantwoord op de ransomware-verzoeken, zijn al je gegevens al versleuteld. Nadat het coderingsproces is voltooid, ziet u een afbeelding op uw bureaublad.

Tegelijkertijd zullen er veel tekstbestanden op het bureaublad staan ​​met dezelfde inhoud.

Uw bestanden zijn versleuteld. Om ux te decoderen, moet u de code: 329D54752553ED978F94 | 0 naar het e-mailadres lezen [e-mail beveiligd]... Vanaf nu krijg je alle benodigde bedieningselementen. Zelf proberen te ontcijferen leidt tot niets, naast de onherroepelijke hoeveelheid informatie. Als je het toch wilt proberen, zorg er dan voor dat je van tevoren een back-up maakt van de bestanden, anders zal het wijzigen van de decodering onder geen enkele omstandigheid onmogelijk zijn. Als je binnen 48 uur (en alleen in dit geval!) geen bericht ontvangt op bovenstaand adres, gebruik dan het contactformulier. Dit kan op twee manieren worden gedaan: 1) Download u ycma en update Tor Browser via de link: https://www.torproject.org/download/download-easy.html.en Voer in de map Tor Browser adpеc7 in: http : // crypt7 .onion / en druk op Enter. De pagina met het feedbackformulier is geladen. 2) Ga in een willekeurige browser naar een van de adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle belangrijke bestanden op uw computer zijn versleuteld. Om de bestanden te decoderen moet u de volgende code sturen: 329D54752553ED978F94 | 0 naar e-mailadres [e-mail beveiligd]... Dan ontvang je alle benodigde instructies. Alle pogingen tot decodering door uzelf zullen alleen resulteren in onherroepelijk verlies van uw gegevens. Als u toch zelf wilt proberen om ze te ontsleutelen, maak dan eerst een back-up omdat de ontsleuteling onmogelijk wordt in het geval van wijzigingen in de bestanden. Als je langer dan 48 uur (en alleen in dit geval!) geen antwoord hebt ontvangen van de bovengenoemde e-mail, gebruik dan het feedbackformulier. U kunt dit op twee manieren doen: 1) Download Tor Browser van hier: https://www.torproject.org/download/download-easy.html.en Installeer het en typ het volgende adres in de adresbalk: http: / /cryptsen7fo43rr6.onion/ Druk op Enter en de pagina met feedbackformulier wordt geladen. 2) Ga naar een van de volgende adressen in een browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Het postadres is onder voorbehoud. Ik ben dergelijke adressen tegengekomen:

• [e-mail beveiligd]
• [e-mail beveiligd]

De adressen worden voortdurend bijgewerkt, dus ze kunnen totaal verschillend zijn.

Zodra u merkt dat uw bestanden versleuteld zijn, sluit u uw computer onmiddellijk af. Dit moet worden gedaan om het coderingsproces zowel op de lokale computer als op netwerkschijven te onderbreken. Het ransomware-virus kan alle informatie die het kan bereiken versleutelen, ook op netwerkschijven. Maar als er veel informatie is, dan kost het hem veel tijd. Soms, zelfs binnen een paar uur, had de ransomware geen tijd om alles te versleutelen op een netwerkschijf met een capaciteit van ongeveer 100 gigabyte.

Vervolgens moet u goed nadenken over hoe u moet handelen. Mocht u toch informatie op uw computer nodig hebben en u heeft geen backups, dan kunt u op dit moment beter contact opnemen met de specialisten. Niet per se voor geld in sommige bedrijven. Je hebt alleen iemand nodig die goed thuis is in informatiesystemen. Het is noodzakelijk om de omvang van de ramp te beoordelen, het virus te verwijderen en alle beschikbare informatie over de situatie te verzamelen om te begrijpen hoe verder te gaan.

Onjuiste acties in dit stadium kunnen het proces van het decoderen of herstellen van bestanden aanzienlijk bemoeilijken. In het ergste geval kunnen ze het onmogelijk maken. Dus neem de tijd, wees netjes en consequent.

Hoe het CRYPTED000007 ransomware-virus bestanden versleutelt

Nadat het virus is gestart en zijn activiteit heeft beëindigd, worden alle nuttige bestanden versleuteld, hernoemd van extension.crypted000007... Bovendien wordt niet alleen de bestandsextensie vervangen, maar ook de bestandsnaam, zodat je niet precies weet wat voor soort bestanden je had als je het zelf niet meer weet. De foto zal ongeveer zo zijn.

In een dergelijke situatie zal het moeilijk zijn om de omvang van de tragedie in te schatten, omdat u zich niet volledig kunt herinneren wat u in verschillende mappen had. Dit werd met opzet gedaan om een ​​persoon in verwarring te brengen en betaling voor het decoderen van bestanden te veroorzaken.

En als u gecodeerde netwerkmappen had en er zijn geen volledige back-ups, dan kan dit het werk van de hele organisatie helemaal stoppen. U zult niet meteen begrijpen wat er uiteindelijk verloren gaat om met herstel te beginnen.

Hoe u uw computer kunt opschonen en de CRYPTED000007 ransomware kunt verwijderen

Het CRYPTED000007-virus bevindt zich al op uw computer. De eerste en belangrijkste vraag is hoe de computer te genezen en hoe het virus te verwijderen om verdere codering te voorkomen als deze nog niet is voltooid. Ik vestig onmiddellijk uw aandacht op het feit dat nadat u zelf enkele acties met uw computer begint uit te voeren, de kans op het decoderen van de gegevens afneemt. Als u toch bestanden moet herstellen, raak dan de computer niet aan, maar neem onmiddellijk contact op met de professionals. Hieronder zal ik over hen praten en een link naar de site geven en het schema van hun werk beschrijven.

In de tussentijd gaan we zelfstandig door met het behandelen van de computer en het verwijderen van het virus. Traditioneel wordt ransomware eenvoudig van een computer verwijderd, aangezien een virus helemaal geen taak heeft om op de computer te blijven. Na volledige versleuteling van de bestanden is het zelfs nog voordeliger voor hem om zichzelf te verwijderen en te laten verdwijnen, zodat het moeilijker is om de initiatiefnemer te onderzoeken en de bestanden te ontsleutelen.

Het is moeilijk om de handmatige verwijdering van het virus te beschrijven, hoewel ik het eerder heb geprobeerd, maar ik zie dat het meestal zinloos is. De namen van de bestanden en de locatie van het virus veranderen voortdurend. Wat ik zag is over een week of twee niet meer relevant. Virussen worden meestal in golven per post verzonden en elke keer is er een nieuwe wijziging die nog niet is gedetecteerd door antivirussoftware. Universele tools die autorun controleren en verdachte activiteiten in systeemmappen detecteren, helpen.

Om het CRYPTED000007-virus te verwijderen, kunt u de volgende programma's gebruiken:

1. Kaspersky Virus Removal Tool - een hulpprogramma van Kaspersky http://www.kaspersky.com/antivirus-removal-tool.
2. Dr.Web CureIt! - een soortgelijk product van een ander web http://free.drweb.ru/cureit.
3. Als de eerste twee hulpprogramma's niet helpen, probeer dan MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Hoogstwaarschijnlijk zal een van deze producten de computer van de CRYPTED000007 ransomware wissen. Als het plotseling gebeurt dat ze niet helpen, probeer dan het virus handmatig te verwijderen. Ik gaf de verwijderingsmethode aan de hand van een voorbeeld en je kunt het daar zien. Kortom, stap voor stap, dan moet je als volgt te werk gaan:

1. We kijken naar de lijst met processen, nadat we eerder verschillende extra kolommen aan de taakbeheerder hebben toegevoegd.
2. We vinden het proces van het virus, openen de map waarin het zich bevindt en verwijderen het.
3. We wissen de vermelding van het virusproces door de bestandsnaam in het register.
4. Start opnieuw op en zorg ervoor dat het CRYPTED000007-virus niet in de lijst met lopende processen staat.

Waar de CRYPTED000007-decoder te downloaden

De kwestie van een eenvoudige en betrouwbare decryptor doet zich allereerst voor als het gaat om een ​​ransomware-virus. Het eerste dat ik aanbeveel, is om de service https://www.nomoreransom.org te gebruiken. En als je geluk hebt, hebben ze een decryptor voor jouw versie van de CRYPTED000007-encryptor. Ik zal meteen zeggen dat je niet veel kansen hebt, maar de poging is geen marteling. Klik op de hoofdpagina op Ja:

Download dan een paar versleutelde bestanden en klik op Go! Ontdekken:

Op het moment van schrijven was er geen decoder op de site.

Misschien heb je meer geluk. U kunt ook vertrouwd raken met de lijst met decryptors die u kunt downloaden op een aparte pagina - https://www.nomoreransom.org/decryption-tools.html. Misschien staat daar iets bruikbaars tussen. Wanneer het virus heel vers is, is de kans hierop klein, maar na verloop van tijd kan er iets verschijnen. Er zijn voorbeelden waarin decryptors voor sommige modificaties van encryptors op het netwerk verschenen. En deze voorbeelden staan ​​op de aangegeven pagina.

Waar kan ik nog een decoder vinden, ik weet het niet. Het is onwaarschijnlijk dat het daadwerkelijk zal bestaan, gezien de specifieke kenmerken van het werk van moderne ransomware. Alleen de auteurs van het virus kunnen een volwaardige decoder hebben.

Hoe bestanden te decoderen en te herstellen na het CRYPTED000007-virus

Wat te doen als het CRYPTED000007-virus uw bestanden versleutelde? De technische implementatie van encryptie staat het decoderen van bestanden niet toe zonder een sleutel of decryptor, die alleen de auteur van de encryptor heeft. Misschien is er een andere manier om het te krijgen, maar ik heb geen dergelijke informatie. We hoeven alleen maar te proberen de bestanden op handige manieren te herstellen. Deze omvatten:

• Hulpmiddel schaduwkopieën ramen.
• Software voor gegevensherstel verwijderd

Laten we eerst eens kijken of schaduwkopieën zijn ingeschakeld. Deze tool werkt standaard in Windows 7 en hoger, tenzij u deze handmatig uitschakelt. Om dit te controleren, opent u de computereigenschappen en gaat u naar de sectie systeembeveiliging.

Als je tijdens de infectie het UAC-verzoek om bestanden in schaduwkopieën te verwijderen niet hebt bevestigd, dan zouden sommige gegevens daar moeten blijven. Ik sprak meer in detail over dit verzoek aan het begin van het verhaal, toen ik sprak over het werk van het virus.

Voor handig bestandsherstel van schaduwkopieën, raad ik aan om hiervoor een gratis programma te gebruiken - ShadowExplorer. Download het archief, pak het programma uit en voer het uit.

De laatste kopie van de bestanden en de root van schijf C. In de linkerbovenhoek kunt u een back-up selecteren als u er meer dan één heeft. Controleer de verschillende exemplaren voor de gewenste bestanden. Vergelijk op datum, waar is de recentere versie. In mijn voorbeeld hieronder vond ik drie maanden geleden twee bestanden op mijn bureaublad toen ze voor het laatst waren bewerkt.

Ik heb deze bestanden kunnen herstellen. Om dit te doen, selecteerde ik ze, klikte met de rechtermuisknop, selecteerde Export en gaf de map aan waar ze moesten worden hersteld.

U kunt mappen op dezelfde manier meteen herstellen. Als schaduwkopieën voor u werkten en u ze niet hebt verwijderd, heeft u behoorlijk wat kansen om alle of bijna alle bestanden te herstellen die door het virus zijn versleuteld. Misschien zullen sommigen van hen een oudere versie zijn dan we zouden willen, maar toch is het beter dan niets.

Als u om de een of andere reden geen schaduwkopieën van bestanden hebt, is de enige kans om op zijn minst iets van de versleutelde bestanden te krijgen, ze te herstellen met behulp van de hulpprogramma's voor het herstellen van verwijderde bestanden. Om dit te doen, raad ik aan om het gratis Photorec-programma te gebruiken.

Voer het programma uit en selecteer de schijf waarop u de bestanden wilt herstellen. Door de grafische versie van het programma te starten, wordt het bestand uitgevoerd qphotorec_win.exe... Het is noodzakelijk om de map te selecteren waar de gevonden bestanden zullen worden geplaatst. Het is beter als deze map zich niet op dezelfde schijf bevindt als waar we zoeken. Sluit hiervoor een USB-stick of externe harde schijf aan.

Het zoekproces zal lang duren. Aan het einde ziet u statistieken. Nu kunt u naar de eerder opgegeven map gaan en zien wat daar is gevonden. Er zullen hoogstwaarschijnlijk veel bestanden zijn en de meeste zullen ofwel beschadigd zijn, of het zullen een soort systemische en nutteloze bestanden zijn. Maar desondanks vindt u in deze lijst enkele nuttige bestanden. Er zijn al geen garanties dat u zult vinden wat u zult vinden. Afbeeldingen kunnen meestal het beste worden hersteld.

Als u niet tevreden bent met het resultaat, zijn er nog steeds programma's om verwijderde bestanden te herstellen. Hieronder staat een lijst met programma's die ik meestal gebruik wanneer ik het maximale aantal bestanden moet herstellen:

• R.bespaarder
• Starus Bestandsherstel
• JPEG Herstel Pro
• Actieve bestandsherstelprofessional

Deze programma's zijn niet gratis, dus ik zal geen links geven. Met een sterk verlangen kun je ze zelf op internet vinden.

Het hele proces voor bestandsherstel wordt in detail getoond in de video helemaal aan het einde van het artikel.

Kaspersky, eset nod32 en anderen in de strijd tegen Filecoder.ED ransomware

Populaire antivirusprogramma's definiëren de CRYPTED000007 ransomware als: Filecoder.ED en dan kan er nog een andere aanduiding zijn. Ik ging door de belangrijkste antivirusforums en zag niets nuttigs. Helaas waren antivirussen, zoals gewoonlijk, niet klaar voor de invasie van een nieuwe golf ransomware. Hier is een bericht van het Kaspersky-forum.

Antivirussen laten traditioneel nieuwe wijzigingen van ransomware-trojans door. Toch raad ik aan om ze te gebruiken. Als je geluk hebt en je krijgt een ransomware in je mail, niet tijdens de eerste golf van infecties, maar even later, bestaat de kans dat de antivirus je helpt. Ze werken allemaal een stap achter de aanvallers. Er wordt een nieuwe versie van de ransomware uitgebracht, antivirusprogramma's reageren er niet op. Zodra een bepaalde hoeveelheid materiaal voor onderzoek naar een nieuw virus zich ophoopt, geven antivirussen een update vrij en beginnen ze erop te reageren.

Wat verhindert dat antivirus onmiddellijk reageert op een encryptieproces in het systeem is mij niet duidelijk. Misschien is er een technische nuance over dit onderwerp die het niet mogelijk maakt om adequaat te reageren en versleuteling van gebruikersbestanden te voorkomen. Het lijkt mij dat je op zijn minst een waarschuwing zou kunnen weergeven over het feit dat iemand je bestanden versleutelt, en zou kunnen voorstellen het proces te stoppen.

Waar te gaan voor gegarandeerde decodering

Ik heb toevallig een bedrijf ontmoet dat gegevens daadwerkelijk decodeert na het werk van verschillende ransomware-virussen, waaronder CRYPTED000007. Hun adres is http://www.dr-shifro.ru. Betaling pas na volledige decodering en uw verificatie. Hier is een voorbeeld van hoe het werkt:

1. Een bedrijfsspecialist rijdt naar uw kantoor of huis en tekent een overeenkomst met u, waarin hij de kosten van de werkzaamheden vastlegt.
2. Start de decryptor en decodeert alle bestanden.
3. Je zorgt ervoor dat alle bestanden geopend zijn, en je ondertekent het leverings-/acceptatiecertificaat van de uitgevoerde werkzaamheden.
4. Betaling uitsluitend bij succesvol decoderingsresultaat.

Om eerlijk te zijn, ik weet niet hoe ze het doen, maar je riskeert niets. Betaling pas na demonstratie van de werking van de decoder. Schrijf een review over uw ervaring met dit bedrijf.

Beschermingsmethoden tegen het CRYPTED000007-virus

Hoe kunt u uzelf beschermen tegen het werk van de ransomware en zonder materiële en morele schade? Er zijn enkele eenvoudige en effectieve tips:

1. Back-up! Een back-up van alle belangrijke gegevens. En niet zomaar een backup, maar een backup waar geen permanente toegang toe is. Anders kan het virus zowel uw documenten als back-ups infecteren.
2. Gelicentieerde antivirus. Hoewel ze geen 100% garantie bieden, vergroten ze de kans om encryptie te vermijden. Ze zijn vaak niet klaar voor nieuwe versies van de ransomware, maar beginnen na 3-4 dagen te reageren. Dit verhoogt uw kansen om infectie te vermijden als u niet in de eerste golf van het mailen van een nieuwe ransomware-modificatie terecht bent gekomen.
3. Open geen verdachte e-mailbijlagen. Er is niets om commentaar op te geven. Alle mij bekende ransomware bereikte gebruikers via mail. En telkens worden er nieuwe trucs bedacht om het slachtoffer te misleiden.
4. Open niet gedachteloos links die u van uw vrienden via sociale netwerken of instant messengers hebt ontvangen. Dit is ook hoe virussen zich soms verspreiden.
5. Schakel de weergave van bestandsextensies in Windows in. Hoe u dit doet, is eenvoudig te vinden op internet. Hierdoor kunt u de bestandsextensie op het virus opmerken. Meestal zal het zijn .exe, .vbs, .src... In het dagelijkse werk met documenten kom je dergelijke bestandsextensies nauwelijks tegen.

Ik heb geprobeerd aan te vullen wat ik eerder in elk artikel over het ransomware-virus al schreef. Ondertussen neem ik afscheid. Ik zou graag nuttige opmerkingen hebben over het artikel en over het CRYPTED000007 ransomware-virus in het algemeen.

Video met decodering en bestandsherstel

Hier is een voorbeeld van de vorige wijziging van het virus, maar de video is volledig relevant voor CRYPTED000007.

Het aantal virussen in hun gebruikelijke betekenis wordt steeds minder en de reden hiervoor zijn gratis antivirussen die goed werken en de computers van gebruikers beschermen. Tegelijkertijd geeft niet iedereen om de veiligheid van zijn gegevens en lopen ze het risico niet alleen geïnfecteerd te raken met kwaadaardige programma's, maar ook met standaardvirussen, waarvan Trojan nog steeds de meest voorkomende is. Het kan zich op verschillende manieren manifesteren, maar een van de gevaarlijkste is bestandscodering. Als een virus bestanden op een computer versleutelt, is het geen feit dat het de gegevens retourneert, maar er zijn enkele effectieve methoden, en deze zullen hieronder worden besproken.

Een coderend virus: wat het is en hoe het werkt

Er zijn honderden virussen op het web die bestanden versleutelen. Hun acties leiden tot één gevolg: de gegevens van de gebruiker op de computer krijgen een onbekend formaat dat niet kan worden geopend met standaardprogramma's. Hier zijn slechts enkele van de formaten waarin gegevens op een computer kunnen worden versleuteld als gevolg van virussen: .locked, .xtbl, .kraken, .cbf, .oshit en vele andere. In sommige gevallen wordt het e-mailadres van de makers van het virus rechtstreeks in de bestandsextensie geschreven.

Een van de meest voorkomende virussen die bestanden versleutelen zijn: Trojan-Ransom.Win32.Aura en Trojan-Ransom.Win32.Rakhni... Ze nemen vele vormen aan en het virus draagt ​​misschien niet eens de naam Trojan (bijvoorbeeld CryptoLocker), maar hun acties zijn praktisch hetzelfde. Er worden regelmatig nieuwe versies van versleutelingsvirussen uitgebracht om het voor ontwikkelaars van antivirussoftware moeilijker te maken om met nieuwe formaten om te gaan.

Als een versleutelend virus de computer is binnengedrongen, zal dit zich zeker niet alleen manifesteren door bestanden te blokkeren, maar ook door de gebruiker aan te bieden deze tegen betaling te deblokkeren. Er kan een banner op het scherm verschijnen waarop wordt geschreven waar u geld moet overmaken om de bestanden te deblokkeren. Wanneer zo'n banner niet verschijnt, moet je op de desktop zoeken naar een "brief" van de ontwikkelaars van het virus, zo'n bestand heet in de meeste gevallen ReadMe.txt.

Afhankelijk van de virusontwikkelaars kunnen de decoderingssnelheden van bestanden variëren. Tegelijkertijd is het verre van een feit dat wanneer ze geld sturen naar de makers van het virus, ze een ontgrendelingsmethode terugsturen. In de meeste gevallen gaat het geld "nergens" naartoe en ontvangt de computergebruiker geen decoderingsmethode.

Nadat het virus op uw computer is verschenen en u een code op het scherm ziet die naar een specifiek adres moet worden verzonden om een ​​decryptor te ontvangen, moet u dit niet doen. Kopieer deze code eerst op een stuk papier, want het nieuw aangemaakte bestand kan ook versleuteld zijn. Daarna kunt u informatie van de ontwikkelaars van het virus sluiten en op internet proberen een manier te vinden om de bestandsencryptor in uw specifieke geval te verwijderen. Hieronder vermelden we de belangrijkste programma's waarmee u het virus kunt verwijderen en bestanden kunt decoderen, maar ze kunnen niet universeel worden genoemd, en de makers van antivirussoftware breiden de lijst met oplossingen regelmatig uit.

Het is vrij eenvoudig om van een virus af te komen dat bestanden versleutelt met behulp van gratis versies van antivirussoftware. Drie gratis programma's gaan goed om met virussen die bestanden versleutelen:

• Malwarebytes Anti-Malware;
• Dr.Web genezen;
• Kaspersky Internet Security.

De hierboven genoemde apps zijn volledig gratis of proefversies. We raden aan om een ​​oplossing van Dr.Web of Kespersky te gebruiken nadat je het systeem hebt gescand met Malwarebytes Antimalware. Laten we u er nogmaals aan herinneren dat het niet wordt aanbevolen om 2 of meer antivirusprogramma's tegelijkertijd op een computer te installeren, daarom moet u, voordat u elke nieuwe oplossing installeert, de vorige verwijderen.

Zoals we hierboven hebben opgemerkt, is de ideale oplossing voor het probleem in deze situatie de selectie van instructies waarmee u specifiek met uw probleem kunt omgaan. Dergelijke instructies worden meestal op de websites van antivirusontwikkelaars geplaatst. Hieronder presenteren we een paar up-to-date antivirusprogramma's die kunnen omgaan met verschillende soorten Trojaanse paarden en andere soorten ransomware.

Het bovenstaande is slechts een klein deel van de antivirusprogramma's die geïnfecteerde bestanden kunnen decoderen. Het is vermeldenswaard dat als u gewoon probeert uw gegevens terug te krijgen, deze integendeel voor altijd verloren zullen gaan - u moet dit niet doen.