Sveiki visi! Šiandien noriu pabrėžti vieną problemą, susijusią su kenkėjiška programa, kuri užšifruoja failus kompiuteryje. Iškilo tokia problema, po kurios sulaukiama tokių užklausų kaip „Pagalba! Virusas užšifravo failus“, su ta pačia problema susiduria daugelis kompiuterių vedlių, kurie kartais net imasi padėti, bet galiausiai naudojasi tuo, kas aprašyta žemiau. O ką iš tikrųjų daryti, jei virusas užšifravo kompiuteryje esančius failus?! Perskaitykite straipsnį iki galo, išklausykite, kas parašyta, nusiraminkite ir imkitės veiksmų. Pirmyn!

Šifruotojai yra Trojos arklių kodavimo įrenginių šeimos atmainos (kaip, pavyzdžiui, juos klasifikuoja dr. web). Pačią išpirkos reikalaujančią programą dažnai po kurio laiko pagauna antivirusinė programa, jei ji ją praleido. Tačiau jos darbo pasekmės slegia. Ką daryti, jei tapote tokio nešvarumo auka? Išsiaiškinkime. Pirmiausia reikia apytiksliai žinoti, kaip veikia priešas, kad nebekrautum visų ir visko kvailais klausimais, tikėdamasis, kad dabar pasirodys šamanas su tamburinu ir akimirksniu išspręs tavo problemą. Taigi, virusas naudoja asimetrinius raktus, kiek žinau, kitaip su juo problemų nebūtų tiek daug. Tokia sistema naudoja du raktus, iš kurių vienas šifruoja, kitas iššifruoja. Be to, pirmasis skaičiuojamas nuo antrojo (bet ne atvirkščiai). Pabandykime tai įsivaizduoti ir tai, kas vadinama ant pirštų. Apsvarstykite keletą skaičių, kurie aiškiai parodo šifravimo ir iššifravimo procesą.

Mes nesigilinsime į detales, kaip formuojamas viešasis raktas. Šiose dviejose nuotraukose pavaizduotas šifravimo ir iššifravimo procesas – tai tarsi durų uždarymas ir atidarymas. Kokia tikroji išpirkos reikalaujančio viruso problema? Problema ta, kad jūs neturite jokio rakto. Užpuolikas turi raktus. O šifravimo algoritmai, naudojantys šią technologiją, yra labai gudrūs. Galite kažkaip gauti viešąjį raktą išnagrinėję failą, bet tai nėra prasmės, nes jums reikia privataus rakto. Ir čia yra laimikis su juo. Net ir žinant viešąjį raktą beveik neįmanoma gauti slaptojo. Aišku, kad filmuose ir knygose, taip pat draugų ir pažįstamų pasakojimuose pasitaiko super-duper hakerių, kurie mažuoju pirštu per klaviatūrą mostelėdami viską iššifruos, nulaužs į kaktą ir realiame pasaulyje viskas nėra taip paprasta. Pasakysiu, kad ši problema negali būti išspręsta akimirksniu, taškas.

O dabar apie tai, ką daryti, jei pasiėmėte šitą purvą. Neturite daug pasirinkimų. Įprasčiausia yra susisiekti su autoriumi el. paštu, kurį jis maloniai pateiks naują darbalaukio foną, taip pat parašys kiekvieno sugadinto failo pavadinimą. Būkite atsargūs, kitaip negausite nei failų, nei pinigų. Antras variantas – antivirusinės įmonės, ypač „Dr. Web“. Susisiekite su technine pagalba adresu https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Peržiūrėkite reikalingus elementus ir voila. Tiesa, yra vienas Bet! Turite naudoti licencijuotą antivirusinę programą iš Dr. Web, jei jos neturite, turėsite įsigyti licenciją. Jei jūsų užklausa bus sėkminga, jūsų užklausa bus nukreipta į įmonės techninės pagalbos tarnybą, o tada laukite atsakymo. Atkreipkite ypatingą dėmesį, kad šis metodas nesuteikia 100% garantijos, kad visi failai bus visiškai iššifruoti, taip yra dėl to, kad ne visi raktai ir algoritmai yra prieinami. Kitos antivirusinės įmonės taip pat užsiima iššifravimu panašiomis sąlygomis. Trečias variantas – kreiptis į teisėsaugą. Beje, jei sukursite užklausą Doctor Web, net jie jums apie tai pasakys. Trečiasis variantas gali būti užsitęsęs ir nesėkmingas (tačiau, kaip ir pirmieji du), tačiau pasisekęs užpuolikas bus nubaustas ir jis mažiau kenks žmonėms, o raktas bus atiduotas antivirusinėms įmonėms. Yra ir ketvirtas variantas – nesėkmingai bandoma surasti meistro stebuklą, kuris jį kokiu nors itin slaptu būdu iššifruos. Pirmyn vaikinai! Bet pagalvok! Na, o jei antivirusinės kompanijos nesuteikia 100% garantijos ir rekomenduoja kreiptis į policiją, tai ko dar ieškoti? Nešvaistykite laiko ir pinigų, būkite realistai.

reziumuoju. Deja, daug ką žeidžia meistrai, kurie siunčia juos į policiją ar į antivirusinę įmonę, prašydami pagalbos, bet mūsų mieli vartotojai supraskite, kad meistrai nėra visagaliai, o čia reikia puikių kriptografijos žinių, ir jie vargu ar padės. Todėl naudokite aukščiau nurodytus tris būdus, tačiau būkite atsargūs su pirmuoju (kraštutinis atvejis), geriau kreiptis į valdžios institucijas ir tuo pačiu pabandyti bent ką nors išsaugoti padedant antivirusinės įmonės specialistams .
Taip, beje, kreipimasis į policiją padės ir kitiems nukentėjusiems, o jei visi stengsis tai padaryti, užsikrėtimo bus daug kartų mažiau, todėl galvokite ne tik apie save, bet ir apie kitus žmones. Taip pat būkite pasirengę tam, kad galbūt niekas kitas neišspręs jūsų problemos, išskyrus viruso autorių! Todėl padarykite sau svarbią išvadą ir suvyniokite vertingus failus į kelias kopijas skirtinguose įrenginiuose arba naudokite debesies paslaugas.

Tiesą sakant, šiandien nesitikėjau susidurti su, ko gero, viena iš naujausių šio viruso modifikacijų. Ne taip seniai apie jį jau šiek tiek rašiau savo svetainėje - laikas papasakoti plačiau :)

Kaip jau sakiau anksčiau – Trojan.Encoder yra Trojos arklys, kuris užšifruoja vartotojo failus. Šio siaubo atmainų atsiranda vis daugiau, o apytiksliais skaičiavimais jų jau yra apie 8, būtent: Trojan.Encoder.19 , Trojan.Encoder.20 , Trojan.Encoder.21 , Trojan.Encoder.33 , Trojan.Encoder - 43, 44 ir 45, o paskutinis, kaip suprantu, nėra sunumeruotas. Viruso autorius yra tam tikras „korektorius“.

Tam tikra informacija apie versijas (informacija paimta iš dalies iš svetainės ir iš dalies iš svetainės):

Trojan.Encoder.19 – užkrėtęs sistemą Trojos arklys palieka crypted.txt tekstinį failą su reikalavimu sumokėti 10 USD už iššifravimo programą.

Kitas Trojan.Encoder.19 variantas apeina visas neišimamas laikmenas ir užšifruoja failus su plėtiniais iš šio sąrašo:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, . jbc, .txt, .pdf.

Trojan.Encoder.20 yra nauja išpirkos reikalaujančios Trojos arklys versija, kuri turi kitokį šifravimo ir raktų generavimo mechanizmą, palyginti su Trojan.Encoder.19.

Trojan.Encoder.21 yra nauja Trojos arklys modifikacija crypted.txt faile, kuri reikalauja pervesti pinigus (89 USD) tik naudojant tam tikrą viruso autoriaus nurodytą mokėjimo sistemą, o ne naudoti tokias sistemas kaip PAYPAL ir grynieji pinigai. Norėdami platinti Trojan.Encoder.21 naudoja svetaines, kurios yra žinomos kaip aktyvios Trojos arklys. Ankstesnėse modifikacijose tam buvo naudojamos vienkartinės arba trumpos trukmės nuorodos. Ši Trojan.Encoder.21 funkcija gali drastiškai padidinti jos plitimo greitį.

Trojan.Encoder.33 užšifruoja vartotojo duomenis, tačiau naudoja naujus mechanizmus. Failams su *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls plėtiniais, kuriuos Trojos arklys perkelia į aplankus, kyla pavojus:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
Tuo pačiu metu originalūs failai pakeičiami pranešimu „FileError_22001“.

Skirtingai nuo ankstesnių modifikacijų, Trojan.Encoder.33 nerodo jokių pranešimų, reikalaujančių sumokėti įvairias pinigų sumas. Tuo pačiu metu vartotojo duomenų šifravimo funkciją šis Trojos arklys atlieka tik tuo atveju, jei jam pavyksta susisiekti su išoriniu serveriu.

Pastarieji nuo ankstesnių skiriasi nauju dokumento šifravimo raktu, taip pat naujais užpuoliko kontaktiniais duomenimis. Doctor Web specialistai operatyviai sukūrė programas, leidžiančias iššifruoti failus, prie kurių prieiga buvo užblokuota dėl naujų Trojan.Encoder modifikacijų. Tačiau dar vienas, „šviežiausias“ Trojan.Encoder modifikavimas yra ypač įdomus. Ši Trojos arklys versija prideda .DrWeb plėtinį prie užšifruotų failų. Dėl sėkmingos antivirusinės Dr.Web kovos su Trojan.Encoder autorius, matyt, turėjo norą „sugadinti“ paminėdamas mūsų prekės ženklą šifruotų failų pavadinime.

Be to, Doctor Web specialistai rado nuorodą į vieną iš naujausių Trojan.Encoder modifikacijų autoriaus svetainių. Įdomu tai, kad šio šaltinio savininkas bando susieti save su Doctor Web naudodamas voro ir gydytojo atvaizdus, ​​o įmonė su tokiomis svetainėmis neturi nieko bendra. Akivaizdu, kad šis dizainas naudojamas norint suklaidinti nepatyrusius vartotojus ir sukompromituoti Doctor Web.

Užpuolikas visais įmanomais būdais stengiasi prieš aukas pasirodyti iš teigiamos pusės – kaip asmuo, padedantis atkurti vartotojų dokumentus. Savo svetainėje jis siūlo pažiūrėti vaizdo įrašą, kuriame demonstruojamas dokumentų iššifravimo programos darbas, už kurį išviliojami pinigai.

Pagal turimą informaciją galima daryti prielaidą, kad vienas asmuo užsiima pinigų prievartavimu užšifravęs failus.

„Doctor Web“ analitikai sukūrė iššifravimo priemonę ir siūlo ją visiems vartotojams nemokamai atkurti failus. Vartotojų patogumui naujojoje programos versijoje yra grafinės sąsajos modulis ir ji vadinasi Trojan.Encoder Decrypt .

Šiandien aptikau dar vieną (turbūt naujausią) šio nešvaraus triuko versiją, kuri ne tik viską užšifravo, bet ir neturi crypted.txt failo, kuris reikalingas iššifravimo programai iš dr.web, norint iššifruoti failus atgal. Be to, šis (arba ne šis, o kažkoks kitas) dalykas visiškai užblokavo prieigą prie avz ir jokiu būdu neleidžia jam veikti kompiuteryje. Neįmanoma nei išpakuoti atsisiųsto archyvo, nei įkelti aplanko tiesiai į kompiuterį, trumpai tariant, jis guli ant kojų ir rankų, nupjauna avz bazę, kuri gyvena Base aplanke ir turi .avz plėtinį. Triukas su plėtinio pervadinimu ar nuotoliniu paleidimu taip pat neturėjo jokios įtakos. Teko suktis. Kompiuteryje įdiegus + programinės įrangos paketą ir kruopščiai juos išvalius be vieno kompiuterio perkrovimo (tai svarbu), taip pat rankiniu būdu nuplėšus paliktus procesus, paleisties elementus, branduolio erdvės modulius ir kitus gyvenimo baisumus, avz vis tiek pavyko. pradėti. Išsamios sistemos analizė su juo atskleidė visą debesį bėdų, išvedė nemažai virusų (patį Encoderį išvalė drweb), bet .. Failų iššifravimas specialia programa neveikia, nes nėra šifruotų. txt ar bet koks kitas šalia jo esantis failas.Ir kito sprendimo dar nežinau.

Todėl primygtinai rekomenduoju visiems užkrėstiems žmonėms pirmiausia naudoti Dr.web Сureit + spybot paketą, o tada susisiekti tiesiogiai su dr.web, kad padėtų iššifruoti failus. Jie žada padėti ir tai visiškai nemokama.

Deja, nežinau, kur vartotojas pasiėmė šį virusą.

Dėkojame už dėmesį ir saugokite savo kompiuterį. Svarbu.

„Windows“ iššifravimo programa Trojan.Encoder.19— „Doctor Web“ iššifravimo programa, skirta Trojan.Encoder.19 Trojan. Užkrėtęs sistemą, Trojos arklys palieka crypted.txt tekstinį failą su reikalavimu sumokėti 10 USD už iššifruotoją:

Jūsų failai yra užšifruoti! Dekoderis kainuoja 10 USD! Daugiau informacijos: http://decryptor.****** El. [apsaugotas el. paštas]****** ICQ: ****** S/N BF_3-pUChT$+bm5 Neištrinkite ir nekeiskite šio failo!!!

Naudojimo instrukcijos

1. Vykdykite failo iššifravimą visame C: diske. Norėdami tai padaryti, paleiskite programą naudodami šiuos komandinės eilutės parametrus:

   Pavyzdžiui:

2. C: diske esantys failai bus iššifruoti. Kai paslaugų programa baigs veikti, šalia užšifruotų .crypt failų turėtų būti rodomi iššifruoti failai be galūnės .crypt. Šifruotų failų ištrinti nereikia. neatmetama ir neteisingo dekodavimo galimybė.

DĖMESIO! Primygtinai rekomenduojame nemokėti išpirkos užpuolikams. Be to, raginame vartotojus nebandyti iš naujo įdiegti sistemos ir atkurti ją iš atsarginių kopijų, o kreiptis pagalbos į techninę pagalbą arba specialią oficialaus Doctor Web forumo skyrių.

Jei nepavyko iššifruoti kai kurių failų, siųskite adresu [apsaugotas el. paštas] crypted.txt failą iš šakninio C: disko ir kelis šifruotų failų pavyzdžius.

Pirmieji šifruojantys Trojos arklys iš Trojan.Encoder šeimos pasirodė 2006–2007 m. Nuo 2009 metų sausio mėnesio jų veislių padaugėjo apie 1900%! Šiuo metu Trojan.Encoder yra viena pavojingiausių grėsmių vartotojams, turinti kelis tūkstančius modifikacijų. Nuo 2013 m. balandžio mėn. iki 2015 m. kovo mėnesio „Doctor Web“ virusų laboratorija gavo 8 553 prašymus iššifruoti failus, paveiktus kodavimo Trojos arklių.
Šifravimo virusai praktiškai užėmė pirmąją vietą užklausose į informacijos saugumo forumus. Kasdien tik Doctor Web virusų laboratorijos darbuotojai gauna vidutiniškai 40 prašymų iššifruoti iš vartotojų, užkrėstų įvairaus tipo šifravimo Trojos arkliais ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Skaitmeninis seifas, Skaitmeninis dėklas lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, saugykla ir tt). Pagrindiniai tokių infekcijų požymiai yra vartotojų failų plėtinių, tokių kaip muzikos failai, vaizdo failai, dokumentai ir kt., keitimas, kai bandant juos atidaryti, pasirodo užpuoliko pranešimas, reikalaujantis sumokėti už iššifruotojo gavimą. Taip pat galima keisti darbalaukio fono paveikslėlį, tekstinių dokumentų ir langų išvaizdą su atitinkamais pranešimais apie šifravimą, licencijos sutarčių pažeidimus ir pan. Šifravimo Trojos arklys yra ypač pavojingas komercinėms įmonėms, nes prarasti duomenys iš duomenų bazių ir mokėjimo dokumentų gali neribotam laikui blokuoti įmonės darbą, o tai gali prarasti pelną.

Trojan.Encoder šeimos Trojos arklys naudoja daugybę skirtingų vartotojų failų šifravimo algoritmų. Pavyzdžiui, norėdami rasti raktus failams, užšifruotiems Trojan.Encoder.741, naudojant paprastą surašymo metodą, iššifruoti, jums reikės:
107902838054224993544152335601

Trojos arklys sugadintų failų iššifravimas įmanomas ne daugiau kaip 10% atvejų. Tai reiškia, kad dauguma vartotojo duomenų prarandami visam laikui.

Šiandien išpirkos reikalaujančios programos reikalauja iššifruoti failus iki 1500 bitkoinų.

Net jei sumokėsite išpirką užpuolikui, jis nesuteiks jums jokių garantijų dėl informacijos atkūrimo.

Kalbant apie kuriozus – užfiksuotas atvejis, kai, nepaisant sumokėtos išpirkos, nusikaltėliai negalėjo iššifruoti savo sukurtų Trojos arklių užšifruotų failų. Nukentėjusį vartotoją nusiuntė pagalbos ... į antivirusinės kompanijos techninės pagalbos tarnybą. !

Kaip atsiranda infekcija?

• per el. pašto priedus; Naudodami socialinę inžineriją, užpuolikai priverčia vartotoją atidaryti pridėtą failą.
• Su Zbot infekcijomis, užmaskuotomis kaip PDF priedai.
• Per išnaudojimo rinkinius, esančius nulaužtose svetainėse, kuriose naudojami kompiuterio pažeidžiamumai infekcijai įdiegti.
• Per Trojos arklys, kurie siūlo atsisiųsti grotuvą, reikalingą norint žiūrėti internetinius vaizdo įrašus. Tai dažniausiai randama pornografinėse svetainėse.
• Per KPP, naudojant slaptažodžio atspėjimą ir šio protokolo pažeidžiamumą.
• Su užkrėstų raktų genų, įtrūkimų ir aktyvinimo paslaugų pagalba.

Kai naudojate KPP slaptažodžio spėjimą, užpuolikas jis ateina pagal nulaužtą paskyrą, jį išjungia arba iškrauna antivirusinį produktą ir paleidžia patsšifravimas.

Kol nustosite bijoti laiškų su antraštėmis „Skola“, „Baudžiamasis procesas“ ir pan., užpuolikai naudosis jūsų naivumu.

Pagalvokite... Mokykitės patys ir mokykite kitus saugumo pagrindų!

• Niekada neatidarykite priedų iš el. laiškų, gautų iš nežinomų gavėjų, kad ir koks bauginantis būtų pavadinimas. Jei priedas buvo kaip archyvas, nesistenkite tiesiog peržiūrėti archyvo turinio. Ir jei yra vykdomasis failas (plėtinys .exe, .com, .bat, .cmd, .scr), tai 99.(9)% jums yra spąstai.
• Jei vis dar ko nors bijote, nepatingėkite išsiaiškinti tikrąjį organizacijos, kurios vardu laiškas atėjo, el. Mūsų informacijos amžiuje tai nėra taip sunku sužinoti.
• Net jei siuntėjo adresas pasirodė tikras, nepatingėkite telefonu pasiaiškinti, ar toks išsiųstas laiškas yra. Siuntėjo adresą lengva suklastoti naudojant anoniminius smtp serverius.
• Jei siuntėjas sako „Sberbank“ arba Rusijos paštas, tai nieko nereiškia. Įprastos raidės idealiai turėtų būti pasirašytos skaitmeniniu parašu. Prieš atidarydami, atidžiai patikrinkite prie tokių laiškų pridėtus failus.
• Reguliariai kurkite atsargines informacijos kopijas atskirose laikmenose.
• Pamirškite naudoti paprastus slaptažodžius, kuriuos lengva pasiimti ir patekti į organizacijos vietinį tinklą pagal savo duomenis. Norėdami pasiekti KPP, naudokite sertifikatus, VPN prieigą arba dviejų veiksnių autentifikavimą.
• Niekada nedirbkite su administratoriaus teisėmis, būkite atidūs žinutėms UAC, net jei jie turi "Mėlyna spalva" pasirašytą paraišką, nespauskite "taip", jei nevykdėte diegimų ar naujinimų.
• Reguliariai įdiekite ne tik operacinės sistemos, bet ir taikomųjų programų saugos naujinimus.
• Diegti antivirusinių nustatymų slaptažodis, kuris skiriasi nuo paskyros slaptažodžio, įjunkite savigynos parinktį

Cituokime Dr.Web ir Kaspersky Lab rekomendacijas:

• nedelsdami išjunkite kompiuterį, kad sustabdytumėte Trojos arklys, kompiuterio mygtukas Reset / Power on gali išsaugoti didelę dalį duomenų;
• Komentarų svetainė: Nepaisant to, kad tokią rekomendaciją pateikia gerai žinomos laboratorijos, kai kuriais atvejais jos įgyvendinimas apsunkins iššifravimą, nes raktas gali būti saugomas RAM ir paleidus sistemą iš naujo jo atkurti bus neįmanoma. Norėdami sustabdyti tolesnį šifravimą, galite sustabdyti išpirkos reikalaujančios programos vykdymą naudodami Process Explorer arba ir gauti daugiau rekomendacijų.

Spoileris: išnaša

Nė vienas koduotuvas negali užšifruoti visų duomenų akimirksniu, todėl iki šifravimo pabaigos dalis jų lieka nepažeista. Ir kuo daugiau laiko praėjo nuo šifravimo pradžios, tuo mažiau lieka nepaliestų duomenų. Kadangi mūsų užduotis yra išsaugoti kuo daugiau jų, turime sustabdyti kodavimo įrenginį. Galite iš principo pradėti analizuoti procesų sąrašą, ieškoti, kur juose yra Trojos arklys, bandyti jį nutraukti... Bet, patikėkite, atjungtas maitinimo laidas yra daug greitesnis! Reguliarus „Windows“ išjungimas yra gera alternatyva, tačiau tai gali užtrukti arba Trojos arklys gali trukdyti jo veiksmams. Taigi mano pasirinkimas yra traukti už laido. Be jokios abejonės, šis žingsnis turi trūkumų: galimybė sugadinti failų sistemą ir neįmanoma toliau išmesti RAM. Sugadinta failų sistema nepasiruošusiam žmogui yra rimtesnė problema nei kodavimo įrenginys. Po koduotuvo lieka bent failai, o sugadinus skaidinių lentelę bus neįmanoma paleisti OS. Kita vertus, kompetentingas duomenų atkūrimo specialistas be problemų suremontuos tą pačią skaidinių lentelę, o kodavimo priemonė gali tiesiog nespėti prieiti prie daugybės failų.

Norint iškelti baudžiamąją bylą piktadariams, teisėsaugos institucijoms reikia procesinės priežasties – jūsų pareiškimo apie nusikaltimą. Paraiškos pavyzdys

Pasiruoškite tam, kad jūsų kompiuteris kurį laiką bus išimtas apžiūrai.

Jei jie atsisako priimti jūsų prašymą, gaukite raštišką atsisakymą ir pateikite skundą aukštesnei policijos institucijai (jūsų miesto ar regiono policijos vadovui).

• jokiu būdu nebandykite iš naujo įdiegti operacinės sistemos;
• neištrinkite jokių failų ir el. laiškų savo kompiuteryje;
• nepaleiskite jokių laikinųjų failų ir registro „valytojų“;
• neturėtumėte nuskaityti ir apdoroti kompiuterio antivirusinėmis ir antivirusinėmis programomis, o tuo labiau antivirusinėmis LiveCD; kraštutiniais atvejais galite perkelti užkrėstus failus į antivirusinį karantiną;

Spoileris: išnaša

Iššifruojant didžiausią reikšmę gali turėti nepastebimas 40 baitų failas laikinajame kataloge arba nesuprantamas spartusis klavišas darbalaukyje. Tikriausiai nežinote, ar jie bus svarbūs iššifruojant, ar ne, todėl geriau nieko neliesti. Registro valymas paprastai yra abejotina procedūra, o kai kurie kodavimo įrenginiai palieka darbo pėdsakus, svarbius iššifruojant. Antivirusinės programos, žinoma, gali rasti trojos arklys. Ir jie gali net kartą ir visiems laikams ištrinti, bet kas tada liks analizei? Kaip suprasti, kaip ir su kokiais failais buvo užšifruoti? Todėl geriau palikti gyvūną diske. Kitas svarbus momentas: Nežinau jokio sistemos valiklio, kuris atsižvelgtų į kodavimo įrenginio veikimo galimybę, ir išsaugotų visus jo veikimo pėdsakus. Ir, greičiausiai, tokių lėšų neatsiras. Iš naujo įdiegę sistemą tikrai sunaikinsite visus Trojos arklys, išskyrus užšifruotus failus.

• nebandykite atkurti užšifruotų failų savarankiškai;

Spoileris: išnaša

Jei turite porą metų rašymo programas, jūs tikrai suprantate, kas yra RC4, AES, RSA ir kuo jie skiriasi, žinote, kas yra Hiew ir ką reiškia 0xDEADC0DE, galite pabandyti. Kitiems nerekomenduoju. Tarkime, radote kažkokį stebuklingą failų iššifravimo būdą ir netgi pavyko iššifruoti vieną failą. Tai negarantuoja, kad technika veiks su visais failais. Be to, tai nėra garantija, kad šiuo metodu nesugadinsite failų dar labiau. Net ir mūsų darbe pasitaiko nemalonių momentų, kai iššifravimo kode randamos rimtos klaidos, tačiau tūkstančiais atvejų iki šiol kodas veikė taip, kaip turėtų.

Dabar, kai aišku, ką daryti, o ko ne, galite pradėti dekoduoti. Teoriškai beveik visada įmanoma iššifruoti. Taip yra, jei žinote visus tam reikalingus duomenis arba turite neribotą pinigų, laiko ir procesoriaus branduolių kiekį. Praktiškai ką nors galima iššifruoti beveik iš karto. Kažkas lauks savo eilės porą mėnesių ar net metų. Kai kuriais atvejais galite net neimti: superkompiuterio niekas už dyką nenuomos 5 metams. Blogai ir tai, kad iš pažiūros paprastas atvejis, nuodugniai apsvarsčius, pasirodo itin sudėtingas. Su kuo susisiekti, priklauso nuo jūsų.

• kreiptis į įmonės antivirusinę laboratoriją, kurioje yra virusų analitikų skyrius, sprendžiantis šią problemą;
• prie bilieto pridėkite Trojos arklys šifruotą failą (ir, jei įmanoma, nešifruotą jo kopiją);
• laukite viruso analitiko atsakymo. Dėl didelio užklausų kiekio tai gali užtrukti.

Kaip atkurti failus?

Adresai su formomis šifruotiems failams siųsti:

• Dr.Web (Nemokamo iššifravimo paraiškos priimamos tik iš „Drweb“ kompleksinės antivirusinės programos vartotojų)
• Kaspersky Lab (nemokamo iššifravimo užklausos priimamos tik iš komercinių Kaspersky Lab produktų vartotojų)
• ESET LLC ( Nemokamo iššifravimo paraiškas priima tik ESET komercinių produktų vartotojai)
• „The No More Ransom Project“ (kodų laužytojų pasirinkimas)
• Kriptografai - turto prievartautojai (iššifruotojų pasirinkimas)
• ID Ransomware (iššifratorių pasirinkimas)

Mes visiškai nerekomenduojama atkurkite failus patys, nes netinkamais veiksmais galite prarasti visą informaciją nieko neatkuriant !!! Be to, kai kurių tipų Trojos arklių užšifruotų failų atkūrimas tiesiog neįmanoma dėl šifravimo mechanizmo stiprumo.

Priemonės, skirtos atkurti ištrintus failus:
Kai kurių tipų išpirkos reikalaujantys trojos arklys sukuria užšifruoto failo kopiją, užšifruoja ir ištrina pradinį failą, tokiu atveju galite naudoti vieną iš failų atkūrimo paslaugų (patartina naudoti nešiojamas programų versijas, atsisiųstas ir įrašytas į „flash“. vairuoti kitame kompiuteryje):

• R.taupytojas
• Recuva
• JPEG Ripper - programa, skirta atkurti sugadintus vaizdus
• JPGscan aprašymas)
• PhotoRec – sugadintų vaizdų atkūrimo įrankis (aprašas)

Kai kurių versijų problemų sprendimo būdas Lockdir

Aplankus, užšifruotus kai kuriomis „Lockdir“ versijomis, galima atidaryti naudojant archyvatorių 7zip

Sėkmingai atkūrę duomenis, turite patikrinti, ar sistemoje nėra kenkėjiškų programų, tam turėtumėte paleisti ir sukurti temą su problemos aprašymu skyriuje

Šifruotų failų atkūrimas naudojant operacinės sistemos įrankius.

Norėdami atkurti failus naudodami operacinę sistemą, turite įjungti sistemos apsaugą, kol Trojos arklys pateks į jūsų kompiuterį. Dauguma išpirkos reikalaujančių Trojos arklių bandys pašalinti bet kokias šešėlines kopijas jūsų kompiuteryje, tačiau kartais tai nepavyksta (nesant administratoriaus teisių ir įdiegiami Windows naujinimai), todėl galite naudoti šešėlines kopijas sugadintiems failams atkurti.

Reikėtų prisiminti, kad komanda pašalinti šešėlines kopijas:

Kodas:

Vssadmin ištrinti šešėlius

veikia tik su administratoriaus teisėmis, todėl įjungę apsaugą turite dirbti tik kaip vartotojas su ribotomis teisėmis ir atkreipti dėmesį į visus UAC įspėjimus apie bandymą pakelti teises.

Spoileris: Kaip įjungti sistemos apsaugą?

Kaip atkurti ankstesnes failų versijas, kai jos buvo sugadintos?

Pastaba:

Galima atkurti iš failo ar aplanko ypatybių naudojant skirtuką „Ankstesnės versijos“. tik „Windows 7“ ir naujesnėse versijose „Professional“. Pagrindiniai „Windows 7“ leidimai ir visi naujesnių „Windows“ leidimai turi problemos sprendimo būdą (po spoileriu).

Spoileris

Antras būdas - tai yra naudingumo naudojimas šešėlių tyrinėtojas(galite atsisiųsti ir diegimo programą, ir nešiojamąją programos versiją).

Paleiskite programą
Pasirinkite diską ir datą, kurio failus norite atkurti

Pasirinkite failą arba aplanką, kurį norite atkurti, ir spustelėkite jį dešiniuoju pelės mygtuku
Pasirinkite meniu elementą Eksportuoti ir nurodykite kelią į aplanką, kuriame norite atkurti failus iš šešėlinės kopijos.

Būdai apsisaugoti nuo išpirkos reikalaujančių Trojos arklių

Deja, paprastų vartotojų apsaugos nuo išpirkos reikalaujančių Trojos arklių būdai yra gana sudėtingi, nes saugos politika arba HIPS reikalauja, kad prie failų būtų leista prieiti tik tam tikroms programoms ir nesuteikia 100% apsaugos tokiais atvejais, kai į adresą yra įdėtas Trojos arklys. patikimos programos erdvė. Todėl vienintelė galima apsauga yra vartotojo failų atsarginių kopijų kūrimas keičiamojoje laikmenoje. Tokiu atveju, jei tokia laikmena yra išorinis standusis diskas arba „flash drive“, šios laikmenos turėtų būti prijungtos prie kompiuterio tik atsarginės kopijos kūrimo metu, o likusį laiką – atjungtos. Siekiant didesnio saugumo, atsargines kopijas galima daryti paleidžiant iš gyvas CD. Be to, atsarginės kopijos gali būti daromos vadinamajame " debesies saugykla teikia kai kurios įmonės.

Antivirusinių programų konfigūravimas, siekiant sumažinti užsikrėtimo išpirkos reikalaujančiais Trojos arkliais tikimybę.

Taikoma visiems produktams:

Turite įjungti savigynos modulį ir nustatyti sudėtingą antivirusinių nustatymų slaptažodį !!!

„Doctor Web“ išleido nemokamą iššifravimo priemonę, skirtą naujos „Trojan.Encoder.19“ išpirkos reikalaujančios programos versijos

„Doctor Web“ pristato naują Trojos arklys, kuris užšifruoja vartotojų failus. Doctor Web klasifikacijoje Trojos arklys buvo pavadintas Trojan.Encoder.19. Užkrėtęs sistemą, Trojos arklys palieka crypted.txt tekstinį failą su reikalavimu sumokėti 10 USD už iššifravimo programą.

Kaip naudotis programa
Vykdykite failo iššifravimą visame C: diske. Norėdami tai padaryti, paleiskite programą naudodami šiuos komandinės eilutės parametrus:

C: diske esantys failai bus iššifruoti. Kai paslaugų programa baigs veikti, šalia užšifruotų .crypt failų turėtų būti rodomi iššifruoti failai be galūnės .crypt. Šifruotų failų ištrinti nereikia. neatmetama ir neteisingo dekodavimo galimybė.

Jei nepavyko iššifruoti kai kurių failų, siųskite adresu [apsaugotas el. paštas] crypted.txt failą iš šakninio C: disko ir kelis šifruotų failų pavyzdžius.

(Informacija iš gamintojo puslapio)

Šią programą pasiūlė: Wiper_off

Šį aprašymą greičiausiai parašė vartotojas, todėl jis gali skirtis nuo loadion.com redaktorių nuomonės. Atminkite, kad ši svetainė gali būti naudojama tik teisėtais tikslais ir mes atsiribojame nuo bet kokio netinkamo naudojimo.