Zdravo svima! Danas želim da istaknem jedan problem vezan za malver koji šifruje fajlove na računaru. Postoji takav problem, nakon čega se pojavljuju zahtjevi poput „Upomoć! Virus je šifrirao datoteke”, isti problem imaju mnogi kompjuterski čarobnjaci, koji se ponekad i obavežu da pomognu, ali na kraju koriste ono što je opisano u nastavku. A šta se zapravo radi ako je virus šifrirao fajlove na računaru?! Pročitajte članak do kraja, poslušajte napisano, smirite se i poduzmite akciju. Idi!

Enkriptori su varijante porodice trojanskih enkodera (kako ih dr. Web klasifikuje, na primjer). Sam ransomware program često nakon nekog vremena uhvati antivirus ako ga propusti. Ali posljedice njenog rada su depresivne. Šta učiniti ako postanete žrtva ove vrste prljavštine? Hajde da to shvatimo. Prvo treba otprilike znati kako neprijatelj funkcionira kako bi prestao tovariti sve i svakoga glupim pitanjima u nadi da će se sada pojaviti šaman sa tamburom i riješiti tvoj problem u trenu. Dakle, virus koristi asimetrične ključeve, koliko ja znam, inače ne bi bilo toliko problema s njim. Takav sistem koristi dva ključa, od kojih jedan šifrira, a drugi dešifruje. Štaviše, prvo se računa od drugog (ali ne i obrnuto). Pokušajmo vizualizirati ovo i ono što se zove na prstima. Razmotrite nekoliko slika koje jasno pokazuju proces šifriranja i dešifriranja.

Nećemo ulaziti u detalje o tome kako se formira javni ključ. Ove dvije slike demonstriraju proces šifriranja pa dešifriranja, to je kao da zatvorite vrata i zatim ih otvorite. Šta je pravi problem sa ransomware virusom? Problem je što uopšte nemate ključ. Napadač ima ključeve. A algoritmi šifriranja koji koriste ovu tehnologiju su vrlo lukavi. Možete nekako dobiti javni ključ pregledom datoteke, ali to nema smisla jer vam je potreban privatni ključ. I evo kvake s njim. Čak i poznavajući javni ključ, gotovo je nemoguće dobiti tajni. Jasno je da u filmovima i knjigama, kao i u pričama prijatelja i poznanika, postoje neki super-duper hakeri koji će pokretom malog prsta preko tastature sve dešifrirati, hakirati sve u čelo i u stvarnom svijetu nije sve tako jednostavno. Reći ću da se ovaj problem ne može riješiti direktno, tačka.

A sada o tome šta da radite ako ste pokupili ovu prljavštinu. Nemate mnogo opcija. Najobičnije je kontaktirati autora putem e-maila, koji će vam ljubazno dostaviti novu pozadinu za vaš desktop, a također će napisati u nazivu svake oštećene datoteke. Budite oprezni, inače nećete dobiti nikakve fajlove ili novac. Druga opcija - antivirusne kompanije, posebno Dr. Web. Kontaktirajte tehničku podršku na https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Prođite kroz stavke koje su potrebne i voila. Istina, postoji jedno Ali! Morate koristiti licencirani antivirus od Dr. Weba, ako ga nemate, morat ćete kupiti licencu. Ako bude uspješan, vaš zahtjev će ići službi tehničke podrške kompanije, a zatim čekati odgovor. Obratite posebnu pažnju da ova metoda ne daje 100% garanciju za potpunu dešifriranje svih datoteka, to je zbog činjenice da nisu dostupni svi ključevi i algoritmi. Druge antivirusne kompanije su takođe uključene u dešifrovanje, pod sličnim uslovima. Treća opcija je da se obratite policiji. Usput, ako napravite zahtjev za Doctor Web, čak i oni će vam reći o tome. Treća opcija može biti dugotrajna i neuspješna (međutim, kao i prve dvije), ali ako bude uspješna, napadač će biti kažnjen i manje će naštetiti ljudima, a ključ će dobiti antivirusne kompanije. Postoji i četvrta opcija - bezuspješno pokušavanje pronaći čudo majstora, koji će ga dešifrirati na neki strogo povjerljiv način. Napred momci! Ali razmisli! Pa, ako antivirusne kompanije ne daju 100% garanciju i preporučuju kontaktiranje policije, šta onda drugo tražiti? Ne gubite vrijeme i novac, budite realni.

rezimiram. Nažalost, mnoge ljude vrijeđaju majstori koji ih šalju u policiju ili u antivirusnu kompaniju, moleći za pomoć, ali naši dragi korisnici, shvaćajte da majstori nisu svemoćni i ovdje je potrebno odlično znanje iz kriptografije, a oni malo je vjerovatno da će pomoći. Stoga, koristite gornje tri metode, ali budite oprezni s prvim (ekstremni slučaj), bolje je kontaktirati nadležne organe, a istovremeno pokušati spasiti barem nešto uz pomoć stručnjaka iz antivirusne kompanije .
Da, usput, kontaktiranje policije pomoći će i drugim žrtvama, a ako svi to pokušaju, zaraza će postati višestruko manja, pa ne razmišljajte samo o sebi već i o drugim ljudima. I također budite spremni na činjenicu da možda nitko drugi neće riješiti vaš problem osim autora virusa! Stoga, napravite važan zaključak za sebe i namotajte vrijedne datoteke u više kopija na različite uređaje ili koristite usluge u oblaku.

Da budem iskren, danas nisam očekivao da ću naići na, možda, jednu od najnovijih modifikacija ovog virusa. Ne tako davno, već sam malo pisao o njemu na svojoj web stranici - vrijeme je da kažem više :)

Kao što sam već rekao - Trojan.Encoder je trojanac koji šifrira korisničke datoteke. Sve je više varijanti ovog horora, a prema približnim procjenama ima ih već oko 8, a to su: Trojan.Encoder.19 , Trojan.Encoder.20 , Trojan.Encoder.21 , Trojan.Encoder.33 , Trojan.Encoder - 43, 44 i 45 i posljednji, koliko sam shvatio, nije numerisan. Autor virusa je izvjesni "Korektor".

Neke informacije o verzijama (informacije preuzete dijelom sa stranice, a dijelom sa stranice):

Trojan.Encoder.19 - nakon inficiranja sistema, trojanac ostavlja tekstualnu datoteku crypted.txt sa zahtjevom da plati 10 dolara za program dešifriranja.

Druga varijanta Trojan.Encoder.19 zaobilazi sve medije koji se ne mogu ukloniti i šifrira datoteke sa ekstenzijama sa sljedeće liste:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, . jbc, .txt, .pdf.

Trojan.Encoder.20 je nova verzija ransomware trojanca koji ima drugačiji mehanizam za šifrovanje i generisanje ključeva u poređenju sa Trojan.Encoder.19.

Trojan.Encoder.21 je nova modifikacija Trojanca u datoteci crypted.txt koja zahtijeva da prenosite novac ($89) samo koristeći određeni sistem plaćanja koji je naveo autor virusa, a ne da koristite sisteme kao što su PAYPAL i gotovina. Za širenje Trojan.Encoder.21 koristi stranice za koje se zna da su aktivni distributeri Trojanaca. Prethodne modifikacije su za ovo koristile jednokratne veze ili veze sa kratkim trajanjem. Ova karakteristika Trojan.Encoder.21 može drastično povećati brzinu njegovog širenja.

Trojan.Encoder.33 šifrira korisničke podatke, ali koristi nove mehanizme. Fajlovi sa ekstenzijama *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls koje trojanac prenosi u fascikle su u opasnosti:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
Istovremeno, originalne datoteke se zamjenjuju porukom "FileError_22001".

Za razliku od prethodnih modifikacija, Trojan.Encoder.33 ne prikazuje nikakve poruke koje zahtijevaju plaćanje različitih iznosa novca. Istovremeno, funkciju šifriranja korisničkih podataka ovaj trojanac obavlja samo ako uspije kontaktirati vanjski server.

Potonji se od prethodnih razlikuju po novom ključu za šifriranje dokumenta, kao i po novim kontakt podacima napadača. Stručnjaci Doctor Weba su odmah kreirali uslužne programe koji omogućavaju dešifriranje datoteka pristup kojima je blokiran novim modifikacijama Trojan.Encoder. Ali još jedna, "najsvježija" modifikacija Trojan.Encodera je posebno zanimljiva. Ova verzija Trojanca dodaje ekstenziju .DrWeb šifrovanim datotekama. Kao rezultat uspješnog suprotstavljanja Trojan.Encoderu od strane Dr.Web antivirusa, autor je očigledno imao želju da se “pokvari” spominjanjem našeg žiga u nazivu šifriranih datoteka.

Osim toga, stručnjaci Doctor Weba pronašli su link do jedne od web stranica autora najnovijih modifikacija Trojan.Encoder. Zanimljivo je da vlasnik ovog resursa pokušava da se poveže sa Doctor Webom koristeći slike pauka i doktora, dok kompanija nema nikakve veze sa takvim sajtovima. Očigledno, ovaj dizajn se koristi da zbuni neiskusne korisnike i kompromituje Doctor Web.

Napadač na sve moguće načine pokušava da se pred žrtvama pojavi sa pozitivne strane - kao osoba koja pomaže u obnavljanju dokumenata korisnika. Na svojoj web stranici nudi da pogledate video koji pokazuje rad uslužnog programa za dešifriranje dokumenata, za koji se iznuđuje novac.

Prema dostupnim informacijama, može se pretpostaviti da se jedna osoba bavi iznudom novca nakon šifriranja fajlova.

Analitičari Doctor Weba razvili su uslužni program za dešifriranje i nude ga svim korisnicima besplatno da oporave svoje datoteke. Za praktičnost korisnika, nova verzija uslužnog programa opremljena je modulom grafičkog sučelja i zove se Trojan.Encoder Decrypt.

Danas sam naišao na još jednu (vjerovatno najnoviju) verziju ovog prljavog trika, koja ne samo da je šifrirala sve, već nema ni datoteku crypted.txt, koja je neophodna programu za dešifriranje sa dr.weba da bi dekodirao datoteke nazad. Štaviše, ova (ili ne ova, već neka druga) stvar je potpuno blokirala pristup avz-u i ni na koji način mu ne dozvoljava da radi na računaru. Nemoguće je ni raspakovati preuzetu arhivu iz ili direktno učitati fasciklu na računar, ukratko, ona se oslanja na noge i ruke, odsecajući avz bazu koja živi u fascikli Base i ima ekstenziju .avz. Trik s preimenovanjem ekstenzije ili daljinskim pokretanjem također nije imao efekta. Morao sam da se vrtim. Nakon postavljanja + softverskog paketa na računar i njihovog temeljitog čišćenja bez ijednog ponovnog pokretanja računara (ovo je važno), kao i nakon ručnog grickanja preostalih procesa, startup elemenata, modula kernel space-a i ostalih užasa života, avz je ipak uspio početi. Sveobuhvatna analiza sistema koji ga koristi otkrila je čitav oblak problema, iznijela niz virusa (sama enkoder je očišćen drwebom), ali.. Dešifriranje datoteka posebnim programom ne radi zbog odsustva kriptovanih. txt ili bilo koji drugi fajl koji mu je blizak I drugo rešenje koje još ne znam.

Stoga toplo preporučujem svim zaraženim osobama da prvo koriste paket Dr.web Sureit + spybot, a zatim direktno kontaktiraju dr.web za pomoć u dešifriranju datoteka. Obećavaju da će pomoći i to je potpuno besplatno.

Gdje je korisnik pokupio ovaj virus, nažalost, ne znam.

Hvala vam na pažnji i čuvajte svoj računar. Važno je.

Windows dešifriranje Trojan.Encoder.19— uslužni program za dešifriranje iz Doctor Weba za Trojan.Encoder.19 Trojan. Nakon inficiranja sistema, trojanac ostavlja tekstualnu datoteku crypted.txt sa zahtjevom da plati 10 dolara za dešifriranje:

Vaši fajlovi su šifrirani! Dekoder košta 10 dolara! Više detalja: http://decryptor.****** E-mail: [email protected]****** ICQ: ****** S/N BF_3-pUChT$+bm5 Nemojte brisati ili modifikovati ovaj fajl!!!

Uputstvo za upotrebu

1. Pokrenite dešifriranje datoteke na cijelom C: disku. Da biste to učinili, pokrenite program sa sljedećim parametrima komandne linije:

   Na primjer:

2. Datoteke na disku C: će biti dešifrovane. Kada uslužni program završi sa radom, dešifrovane datoteke bez završetka .crypt bi se trebale pojaviti pored šifrovanih .crypt datoteka. Šifrirane fajlove nije potrebno brisati. nije isključena mogućnost pogrešnog dekodiranja.

PAŽNJA! Izričito savjetujemo da ne plaćate otkupninu napadačima. Osim toga, pozivamo korisnike da ne pokušavaju reinstalirati sistem i vratiti ga iz rezervnih kopija, već da se za pomoć obrate tehničkoj podršci ili posebnom dijelu službenog foruma Doctor Weba.

Ako niste uspjeli dešifrirati neke fajlove, pošaljite ih na adresu [email protected] crypted.txt datoteku iz korijena diska C: i nekoliko uzoraka šifriranih datoteka.

Prvi trojanci za šifrovanje iz porodice Trojan.Encoder pojavili su se 2006-2007. Od januara 2009. godine broj njihovih sorti se povećao za oko 1900%! Trenutno, Trojan.Encoder je jedna od najopasnijih prijetnji za korisnike, sa nekoliko hiljada modifikacija. Od aprila 2013. do marta 2015. laboratorija Doctor Weba za viruse primila je 8.553 zahtjeva za dešifriranje datoteka na koje utiču trojanci kodera.
Virusi za šifriranje su praktično osvojili prvo mjesto u zahtjevima forumima o informacijskoj sigurnosti. Svakog dana prosječno 40 aplikacija za dešifriranje zaprime samo zaposleni u laboratoriji za viruse Doctor Web od korisnika zaraženih raznim vrstama enkripcijskih trojanaca ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, trezor itd.). Glavni znakovi ovakvih zaraza su promjena ekstenzija korisničkih fajlova, kao što su muzički fajlovi, slikovni fajlovi, dokumenti itd., pri pokušaju njihovog otvaranja pojavljuje se poruka od napadača sa zahtevom za plaćanje za dobijanje dešifratora. Također je moguće promijeniti pozadinu radne površine, izgled tekstualnih dokumenata i prozora sa odgovarajućim porukama o šifriranju, kršenju licencnih ugovora i sl. Enkripcijski trojanci su posebno opasni za komercijalne firme, jer izgubljeni podaci iz baza podataka i platnih dokumenata mogu blokirati rad firme na neodređeno vrijeme, što dovodi do gubitka profita.

Trojanci iz porodice Trojan.Encoder koriste desetine različitih algoritama šifriranja za korisničke datoteke. Na primjer, da biste pronašli ključeve za dešifriranje datoteka koje je šifrirao Trojan.Encoder.741 pomoću jednostavne metode nabrajanja, trebat će vam:
107902838054224993544152335601

Dešifriranje datoteka koje je oštetio trojanac moguće je u najviše 10% slučajeva. To znači da je većina korisničkih podataka zauvijek izgubljena.

Danas ransomware zahtijeva dešifriranje datoteka do 1 500 bitcoina.

Čak i ako platite otkupninu napadaču, on vam neće dati nikakvu garanciju za oporavak informacija.

Radi se o zanimljivostima – zabilježen je slučaj kada, uprkos plaćenoj otkupnini, kriminalci nisu uspjeli dešifrirati datoteke šifrirane od strane Trojan.Encodera koji su kreirali, te su pogođenog korisnika poslali u pomoć... službi tehničke podrške antivirusne kompanije !

Kako dolazi do infekcije?

• Putem priloga e-pošte; koristeći društveni inženjering, napadači prisiljavaju korisnika da otvori priloženi fajl.
• Sa Zbot infekcijama prerušenim u PDF priloge.
• Putem kompleta za eksploataciju koji se nalaze na hakovanim web lokacijama koje koriste ranjivosti na računalu za instaliranje infekcije.
• Preko trojanaca koji nude preuzimanje plejera potrebnog za gledanje video zapisa na mreži. Ovo se obično nalazi na porno sajtovima.
• Preko RDP-a, koristeći pogađanje lozinke i ranjivosti u ovom protokolu.
• Uz pomoć zaraženih keygenova, krekova i uslužnih programa za aktivaciju.

Kada se koristi RDP nagađanje lozinke, napadač on dolazi pod hakovanim računom, isključuje ga ili učitava antivirusni proizvod i se lansira enkripcija.

Sve dok se ne prestanete bojati slova sa naslovima "Dug", "Krivični postupak" itd., napadači će koristiti vašu naivnost.

Razmislite... Naučite sami i naučite druge osnovama sigurnosti!

• Nikada ne otvarajte priloge iz e-poruka primljenih od nepoznatih primalaca, ma koliko naslov bio zastrašujući. Ako je prilog došao kao arhiva, potrudite se da jednostavno pogledate sadržaj arhive. A ako postoji izvršna datoteka (ekstenzija .exe, .com, .bat, .cmd, .scr), onda je to 99.(9)% zamka za vas.
• Ako se i dalje nečega bojite, nemojte biti lijeni da saznate pravu email adresu organizacije u ime koje vam je pismo stiglo. Nije tako teško saznati u našem informatičkom dobu.
• Čak i ako se ispostavi da je adresa pošiljaoca tačna, nemojte biti lijeni da telefonom razjasnite postojanje takvog poslanog pisma. Adresu pošiljaoca je lako krivotvoriti korištenjem anonimnih smtp servera.
• Ako pošiljalac kaže Sberbank ili Ruska pošta, onda to ništa ne znači. Normalna pisma bi u idealnom slučaju trebala biti potpisana digitalnim potpisom. Pažljivo provjerite datoteke priložene takvim pismima prije otvaranja.
• Redovno pravite rezervne kopije svojih informacija na odvojenim medijima.
• Zaboravite na korištenje jednostavnih lozinki koje je lako podići i ući u lokalnu mrežu organizacije pod vašim podacima. Za RDP pristup koristite certifikate, VPN pristup ili dvofaktorsku autentifikaciju.
• Nikada nemojte raditi sa administratorskim pravima, budite pažljivi na poruke UAC,čak i ako jesu "plava boja" potpisanu aplikaciju, nemojte kliknuti "da", ako niste pokrenuli instalacije ili ažuriranja.
• Redovno instalirajte sigurnosna ažuriranja ne samo za operativni sistem, već i za aplikativne programe.
• Instaliraj lozinka za postavke antivirusa, koja se razlikuje od lozinke naloga, omogućite opciju samoodbrane

Citiramo preporuke Dr.Web-a i Kaspersky Lab-a:

• odmah isključite računar da biste zaustavili akciju Trojanca, dugme Reset / Power on na vašem računaru može sačuvati značajan deo podataka;
• Stranica komentara: Unatoč činjenici da takvu preporuku daju poznate laboratorije, u nekim slučajevima njena implementacija će dovesti do komplikacija dešifriranja, budući da se ključ može pohraniti u RAM i nakon ponovnog pokretanja sistema neće ga biti moguće vratiti. Da biste zaustavili dalje šifriranje, možete zamrznuti izvršenje procesa ransomwarea pomoću Process Explorer-a ili i za daljnje preporuke.

Spojler: Fusnota

Nijedan enkoder ne može trenutno šifrirati sve podatke, tako da do kraja enkripcije neki dio ostaje netaknut. I što je više vremena prošlo od početka enkripcije, ostaje manje netaknutih podataka. Pošto je naš zadatak da ih sačuvamo što je više moguće, moramo zaustaviti enkoder. Možete, u principu, početi analizirati listu procesa, tražiti gdje se u njima nalazi Trojanac, pokušati ga prekinuti... Ali, vjerujte mi, isključeni kabel za napajanje je mnogo brži! Redovno gašenje Windows-a je dobra alternativa, ali može potrajati, ili trojanac može ometati njegove radnje. Tako da je moj izbor da povučem uže. Bez sumnje, ovaj korak ima svoje nedostatke: mogućnost oštećenja sistema datoteka i nemogućnost daljeg izbacivanja RAM-a. Oštećen sistem datoteka za nespremnu osobu je ozbiljniji problem od kodera. Nakon enkodera ostaju barem datoteke, dok će oštećenje tablice particija onemogućiti pokretanje OS-a. S druge strane, kompetentan stručnjak za oporavak podataka će popraviti istu particijsku tablicu bez ikakvih problema, a koder možda jednostavno neće imati vremena da dođe do mnogih datoteka.

Za pokretanje krivičnog postupka protiv zlonamjernika, organima za provođenje zakona potreban je procesni razlog – vaša izjava o zločinu. Sample Application

Pripremite se na činjenicu da će vaš računar biti povučen na neko vrijeme na pregled.

Ako odbiju da prihvate Vašu prijavu, dobijte pismeno odbijanje i podnesite pritužbu višem policijskom organu (načelniku policije vašeg grada ili regije).

• ni u kom slučaju ne pokušavajte ponovo instalirati operativni sistem;
• nemojte brisati datoteke i e-mail poruke na svom računaru;
• nemojte pokretati nikakve "čistače" privremenih datoteka i registra;
• ne biste trebali skenirati i tretirati svoj računar antivirusima i antivirusnim uslužnim programima, a još više antivirusnim LiveCD-ovima; u ekstremnim slučajevima možete premjestiti zaražene datoteke u antivirusni karantin;

Spojler: Fusnota

Za dešifriranje, najveću vrijednost može imati neprimjetna datoteka od 40 bajta u privremenom direktoriju ili nerazumljiva prečica na radnoj površini. Vjerovatno ne znate da li će biti važni za dešifriranje ili ne, pa je najbolje ništa ne dirati. Čišćenje registra je općenito sumnjiva procedura, a neki koderi ostavljaju tragove rada važnih za dešifriranje. Antivirusi, naravno, mogu pronaći tijelo trojanskog kodera. I mogu ga čak i izbrisati jednom za svagda, ali šta će onda ostati za analizu? Kako da razumijemo kako i kojim fajlovima su šifrirani? Stoga je bolje ostaviti životinju na disku. Još jedna važna stvar: ne znam ni jedan čistač sistema koji bi uzeo u obzir mogućnost rada enkodera, a koji bi sačuvao sve tragove njegovog rada. I, najvjerovatnije, takva sredstva se neće pojaviti. Ponovna instalacija sistema će definitivno uništiti sve tragove Trojanca, osim šifrovanih datoteka.

• ne pokušavajte oporaviti šifrirane datoteke na svoju ruku;

Spojler: Fusnota

Ako iza sebe imate par godina pisanja programa, stvarno razumijete šta su RC4, AES, RSA i koja je razlika između njih, znate šta je Hiew, a šta znači 0xDEADC0DE, možete probati. Ne preporučujem drugima. Recimo da ste pronašli nekakvu čudesnu metodu za dešifriranje datoteka i čak ste uspjeli dešifrirati jedan fajl. Ovo nije garancija da će tehnika raditi na svim vašim datotekama. Štoviše, to nije garancija da ovom metodom nećete još više pokvariti datoteke. Čak iu našem radu ima neprijatnih trenutaka kada se pronađu ozbiljne greške u kodu za dešifrovanje, ali u hiljadama slučajeva do ovog trenutka kod je radio kako treba.

Sada kada je jasno šta treba raditi, a šta ne, možete početi s dekodiranjem. U teoriji, dešifriranje je gotovo uvijek moguće. Ovo je ako znate sve podatke koji su vam potrebni ili imate neograničenu količinu novca, vremena i procesorskih jezgara. U praksi, nešto se može dešifrovati skoro odmah. Nešto će čekati na red nekoliko mjeseci ili čak godina. U nekim slučajevima ne možete ni uzeti: niko neće iznajmiti superkompjuter za bescjenje na 5 godina. Loše je i to što se naizgled jednostavan slučaj, nakon detaljnog razmatranja, pokaže izuzetno složenim. Na vama je kome ćete se obratiti.

• kontaktirajte antivirusnu laboratoriju kompanije, koja ima odjel virusnih analitičara koji se bavi ovim problemom;
• priložite datoteku šifrovanu Trojancima uz kartu (i, ako je moguće, njenu nešifrovanu kopiju);
• sačekajte odgovor virusnog analitičara. Zbog velikog obima zahtjeva, ovo može potrajati.

Kako oporaviti fajlove?

Adrese sa obrascima za slanje šifrovanih fajlova:

• Dr.Web (Prijave za besplatnu dešifriranje primaju se samo od korisnika antivirusnog kompleksa Drweb)
• Kaspersky Lab (Zahtjevi za besplatno dešifriranje se prihvaćaju samo od korisnika komercijalnih proizvoda Kaspersky Lab)
• ESET LLC ( Aplikacije za besplatnu dešifriranje prihvaćaju se samo od korisnika ESET komercijalnih proizvoda)
• Projekat No More Ransom (izbor razbijača šifri)
• Kriptografi - iznuđivači (izbor dekriptora)
• ID Ransomware (izbor dekriptora)

Mi apsolutno se ne preporučuje vratite fajlove sami, jer je nesposobnim radnjama moguće izgubiti sve informacije bez vraćanja bilo čega !!! Osim toga, oporavak datoteka šifriranih nekim vrstama trojanaca jednostavno nemoguće zbog snage mehanizma šifriranja.

Uslužni programi za oporavak izbrisanih datoteka:
Neki tipovi ransomware trojanaca kreiraju kopiju šifrirane datoteke, šifriraju je i brišu originalnu datoteku, u kom slučaju možete koristiti jedan od uslužnih programa za oporavak datoteka (preporučljivo je koristiti prijenosne verzije programa preuzetih i zapisanih na fleš voziti na drugom računaru):

• R.saver
• Recuva
• JPEG Ripper - uslužni program za oporavak oštećenih slika
• JPGscan opis)
• PhotoRec - uslužni program za oporavak oštećenih slika (opis)

Metoda za rješavanje problema s nekim verzijama Lockdir

Fascikle šifrirane nekim verzijama Lockdira mogu se otvoriti pomoću arhivatora 7zip

Nakon uspješnog oporavka podataka, potrebno je provjeriti sistem na zlonamjerni softver, za to bi trebali pokrenuti i kreirati temu s opisom problema u odjeljku

Oporavak šifriranih datoteka pomoću alata operativnog sistema.

Da biste vratili datoteke koristeći operativni sistem, morate omogućiti zaštitu sistema prije nego što trojanski enkriptor dođe na vaš računar. Većina ransomware trojanaca će pokušati da ukloni sve kopije u sjeni na vašem računaru, ali ponekad ne uspije (u nedostatku administratorskih privilegija i instaliranih Windows ažuriranja), a možete koristiti sjene kopije za vraćanje oštećenih datoteka.

Treba imati na umu da naredba za uklanjanje sjenčanih kopija:

kod:

Vssadmin briše senke

radi samo sa administratorskim pravima, tako da nakon omogućavanja zaštite morate raditi samo kao korisnik sa ograničenim pravima i obratiti pažnju na sva UAC upozorenja o pokušaju podizanja prava.

spojler: Kako omogućiti zaštitu sistema?

Kako vratiti prethodne verzije datoteka nakon što su oštećene?

Bilješka:

Dostupno je vraćanje iz svojstava datoteke ili mape pomoću kartice "Prethodne verzije". samo u izdanjima Windows 7 i novijim "Professional". Kućna izdanja Windowsa 7 i sva izdanja novijeg Windowsa imaju rješenje (ispod spojlera).

Spoiler

Drugi način - ovo je upotreba uslužnog programa shadowexplorer(možete preuzeti i instalater i prenosivu verziju uslužnog programa).

Pokrenite program
Odaberite disk i datum za koji želite oporaviti datoteke

Odaberite datoteku ili mapu koju želite vratiti i kliknite desnim tasterom miša na nju
Odaberite stavku menija Izvoz i odredite putanju do fascikle u koju želite da vratite datoteke iz kopije u senci.

Načini zaštite od ransomware trojanaca

Nažalost, načini zaštite od ransomware trojanaca za obične korisnike su prilično složeni, jer su sigurnosne politike ili HIPS obavezne da dozvole pristup datotekama samo određenim aplikacijama i ne pružaju 100% zaštitu u slučajevima kada je trojanac ugrađen u adresu prostor pouzdane aplikacije. Stoga je jedina dostupna zaštita pravljenje rezervnih kopija korisničkih datoteka na prenosive medije. U ovom slučaju, ako je takav medij eksterni čvrsti disk ili fleš disk, ovi mediji bi trebalo da budu povezani sa računarom samo tokom pravljenja rezervne kopije i da budu isključeni sve ostalo vreme. Radi veće sigurnosti, sigurnosne kopije se mogu napraviti pokretanjem sa live CD. Takođe, rezervne kopije se mogu vršiti na tzv. pohrana u oblaku koje pružaju neke kompanije.

Konfiguriranje antivirusnih programa kako bi se smanjila vjerojatnost zaraze trojancima za ransomware.

Odnosi se na sve proizvode:

Morate omogućiti modul samoodbrane i postaviti složenu lozinku za postavke antivirusa !!!

Doctor Web je objavio besplatni uslužni program za dešifriranje za novu verziju Trojan.Encoder.19 ransomwarea

Doctor Web najavljuje novog trojanca koji šifrira korisničke datoteke. U klasifikaciji Doctor Weba, trojanski program je nazvan Trojan.Encoder.19. Nakon inficiranja sistema, trojanac ostavlja tekstualnu datoteku crypted.txt sa zahtjevom da plati 10 dolara za program dešifriranja.

Kako koristiti uslužni program
Pokrenite dešifriranje datoteke na cijelom C: disku. Da biste to učinili, pokrenite program sa sljedećim parametrima komandne linije:

Datoteke na disku C: će biti dešifrovane. Kada uslužni program završi sa radom, dešifrovane datoteke bez završetka .crypt bi se trebale pojaviti pored šifrovanih .crypt datoteka. Šifrirane fajlove nije potrebno brisati. nije isključena mogućnost pogrešnog dekodiranja.

Ako niste uspjeli dešifrirati neke fajlove, pošaljite ih na adresu [email protected] crypted.txt datoteku iz korijena diska C: i nekoliko uzoraka šifriranih datoteka.

(Informacije sa stranice proizvođača)

Ovaj program je predložio: Wiper_off

Ovaj opis je, najvjerovatnije, napisao korisnik i stoga se može razlikovati od mišljenja urednika loadion.com. Imajte na umu da se ova stranica može koristiti samo u legalne svrhe i da se ograđujemo od bilo kakve zloupotrebe.