Unu el la plej problemaj malware hodiaŭ estas trojano aŭ viruso, kiu ĉifras dosierojn sur la disko de uzanto. Iuj el ĉi tiuj dosieroj povas esti malĉifritaj, kaj iuj ankoraŭ ne. La manlibro enhavas eblajn algoritmojn por agoj en ambaŭ situacioj, manieroj determini specifan tipon de ĉifrado en servoj por No More Ransom kaj ID Ransomware, kaj ankaŭ mallongan superrigardon de programoj por protekto kontraŭ ransomware-virusoj.
Estas multaj modifoj de tiaj virusoj aŭ ransomware-trojanoj (kaj novaj aperas konstante), sed la ĝenerala esenco de la laboro kliniĝas al la fakto, ke post instalado en via komputilo viaj dokumentaj dosieroj, bildoj kaj aliaj potenciale gravaj dosieroj estas ĉifritaj kun ŝanĝo en etendo kaj forigo de la originalaj dosieroj, post kio vi ricevas mesaĝon en la readme.txt-dosiero, ke ĉiuj viaj dosieroj estis ĉifritaj, kaj por malĉifri ilin, vi devas sendi certan sumon al la atakanto. Notu: Ĝisdatigo pri Aŭtuno-Kreintoj de Windows 10 havas enkonstruitan protekton kontraŭ ransomware-virusoj.
Kion fari, se ĉiuj gravaj datumoj estas ĉifritaj
Por komenci, iuj ĝeneralaj informoj por tiuj, kiuj ĉifris gravajn dosierojn en sia komputilo. Se gravaj datumoj en via komputilo estas ĉifritaj, tiam antaŭ ĉio, ne paniku.
Se vi havas tian ŝancon, de la disko de la komputilo sur kiu aperis la ransomware-viruso, kopiu ie al ekstera stirado (USB flash drive) ekzemplo de dosiero kun teksto-peto de atakanto por deĉifrado, plus iu kopio de la ĉifrita dosiero, kaj tiam, ŝancoj, malŝaltu la komputilon, por ke la viruso ne plu daŭrigu ĉifri datumojn kaj plenumi la ceterajn agojn en alia komputilo.
La sekva paŝo estas uzi la ekzistantajn ĉifritajn dosierojn por ekscii, kia tipo de viruso ĉifris viajn datumojn: por iuj el ili estas malĉifriloj (iuj mi indikos ĉi tie, iuj estas listigitaj proksime de la fino de la artikolo), por iuj - ankoraŭ ne. Sed eĉ en ĉi tiu kazo, vi povas sendi ekzemplojn de ĉifritaj dosieroj al kontraŭvirusaj laboratorioj (Kaspersky, D-ro.) Por ekzameno.
Kiel precize ekscii? Vi povas fari tion per Google, trovinte diskutojn aŭ la specon de kriptora dosiero per etenda dosiero. Servoj ankaŭ ekaperis por determini la tipon de ransomware.
Ne plu ransmo
No More Ransom estas aktive evoluanta rimedo subtenata de sekurecaj programistoj kaj disponebla en la rusa versio, celanta batali virusojn kun ransomware (ransomware-trojanoj).
Se sukcesas, Ne Pli Ransom povas helpi malĉifri viajn dokumentojn, datumbazojn, fotojn kaj aliajn informojn, elŝuti la necesajn malĉifrilajn programojn kaj ankaŭ akiri informojn, kiuj helpos eviti tiajn minacojn estonte.
En No More Ransom, vi povas provi deĉifri viajn dosierojn kaj determini la tipon de ĉifrita viruso jene:
- Alklaku "Jes" sur la ĉefa paĝo de la servo //www.nomoreransom.org/en/index.html
- La paĝo Crypto Sheriff malfermiĝas, kie vi povas elŝuti ekzemplojn de ĉifritaj dosieroj ne pli ol 1 MB en grandeco (mi rekomendas elŝuti sen konfidencaj datumoj), kaj ankaŭ precizigi la retpoŝtadresojn aŭ retejojn, al kiuj skamistoj postulas ranson (aŭ elŝutu la dosieron readme.txt de postulo).
- Alklaku la butonon "Kontroli" kaj atendu ke la ĉeko finiĝos kaj ĝia rezulto.
Aldone, utilaj sekcioj estas haveblaj en la retejo:
- Malĉifriloj estas preskaŭ ĉiuj ekzistantaj utilaĵoj por deĉifrado de dosieroj ĉifritaj de virusoj.
- Antaŭzorgo de infekto - informo celanta ĉefe novulojn, kiuj povas helpi eviti infekton en la estonteco.
- Demandoj kaj respondoj - informoj por tiuj, kiuj volas pli bone kompreni la laboron de ransomware-virusoj kaj agoj en kazoj, kiam vi frontas la fakton, ke la dosieroj en la komputilo estis ĉifritaj.
Hodiaŭ No More Ransom estas probable la plej grava kaj utila rimedo rilata al deĉifrado de dosieroj por rusparolanta uzanto, mi rekomendas ĝin.
Ransomware-ID
Alia tia servo estas //id-ransomware.malwarehunterteam.com/ (kvankam mi ne scias kiel bone funkcias por ruslingvaj versioj de la viruso, sed indas provi ĝin, nutrante la servon ekzemplon de ĉifrita dosiero kaj teksta dosiero kun peto pri ranson).
Post determini la tipon de ĉifrita, se vi sukcesis, provu trovi utilecon por malĉifri ĉi tiun opcion surbaze de demandoj kiel: Deĉifrilo ĉifrita. Tiaj utilecoj estas senpagaj kaj estas emisiitaj de antivirusaj programistoj, ekzemple pluraj tiaj utilecoj troveblas ĉe la retejo Kaspersky //support.kaspersky.ru/viruses/utility (aliaj utilecoj estas pli proksimaj al la fino de la artikolo). Kaj, kiel jam menciite, ne hezitu kontakti la kontraŭvirusajn programistojn en siaj forumoj aŭ al la subtena servo per poŝto.
Bedaŭrinde ĉio ĉi ne ĉiam helpas kaj ne ĉiam funkcias dosiero-malĉifriloj. Ĉi-kaze la scenaroj estas malsamaj: multaj pagas la atakantojn, kuraĝigante ilin daŭrigi ĉi tiun agadon. Programoj por reakiri datumojn en komputilo helpas iujn uzantojn (ĉar viruso, farante ĉifritan dosieron, forigas ordinaran gravan dosieron, kiu teorie povas esti restarigita).
Dosieroj en la komputilo estas ĉifritaj en xtbl
Unu el la plej novaj variantoj de la ransomware-viruso ĉifras dosierojn, anstataŭigante ilin per dosieroj kun la etendo .xtbl kaj nomo konsistanta el hazarda aro de signoj.
Samtempe, la teksta dosiero readme.txt estas metita sur la komputilon kun la jena enhavo: "Viaj dosieroj estis ĉifritaj. Por malĉifri ilin, vi devas sendi la kodon al la retpoŝta adreso [email protected], [email protected] aŭ [email protected]. Sekva. vi ricevos ĉiujn necesajn instrukciojn. Provoj deĉifri la dosierojn mem kondukos al neregebla perdo de informoj "(poŝta adreso kaj teksto povas varii).
Bedaŭrinde ekzistas nuntempe neniu maniero malĉifri .xtbl (tuj kiam ĝi aperos, la instrukcio estos ĝisdatigita). Iuj uzantoj, kiuj havas vere gravajn informojn en siaj komputiloj, raportas pri kontraŭvirusaj forumoj, ke ili sendis al la aŭtoroj de la viruso 5.000 rublojn aŭ alian bezonatan sumon kaj ricevis deĉifrilon, sed ĉi tio estas tre riska: vi eble ricevos nenion.
Kio se la dosieroj estis ĉifritaj en .xtbl? Miaj rekomendoj estas kiel sekvas (sed ili diferencas de tiuj en multaj aliaj temaj retejoj, kie, ekzemple, ili rekomendas tuj malŝalti la komputilon de la elektra fonto aŭ ne forigi la viruson. Laŭ mia opinio, ĉi tio estas nenecesa, kaj en iuj cirkonstancoj eĉ povas ekzisti malutila, tamen, vi decidas.):
- Se vi povas, interrompu la ĉifradan procezon per forigado de la respondaj taskoj en la tasko-administranto, malkonektante la komputilon de la Interreto (tio povas esti necesa kondiĉo por ĉifrado)
- Memoru aŭ notu la kodon, kiun la atakantoj postulas sendi al la retpoŝta adreso (nur ne en teksta dosiero en la komputilo, nur en kazo, ke ĝi ankaŭ ne rezultos ĉifrita).
- Uzante Malwarebytes Antimalware, provan version de Kaspersky Interreta Sekureco aŭ Dr.Web Kuracu ĝin, forigu la ĉifritajn dosierojn de viruso (ĉiuj listigitaj iloj povas fari tion bone). Mi konsilas vin turni uzante la unuan kaj duan produktojn el la listo (tamen, se vi havas antiviruson instalitan, instali la duan "de supre" estas nedezirata, ĉar ĝi povas kaŭzi problemojn en la komputilo.)
- Atendu deĉifrilo de kontraŭvirusa kompanio aperi. Ĉe la avangardo ĉi tie estas Kaspersky Lab.
- Vi ankaŭ povas sendi ekzemplon de ĉifrita dosiero kaj la bezonatan kodon al [email protected]se vi havas kopion de la sama dosiero en neĉifrita formo, ankaŭ sendu ĝin. Teorie, ĉi tio povas akceli la aspekton de malĉifrilo.
Kio ne devas fari:
- Alinomi ĉifritajn dosierojn, ŝanĝi la etendon kaj forigi ilin se ili gravas por vi.
Verŝajne tio estas ĉio, kion mi povas diri pri ĉifritaj dosieroj kun .xtbl-etendo tiutempe.
Dosieroj ĉifritaj pli bone_kalukas_
El la plej novaj ransomware-virusoj, Better Call Saul (Trojan-Ransom.Win32.Shade) instalas la .better_call_saul-etendon por ĉifritaj dosieroj. Kiel malĉifri tiajn dosierojn ankoraŭ ne klaras. Tiuj uzantoj, kiuj kontaktis Kaspersky Lab kaj Dr.Web, ricevis informojn, ke ĉi tio ankoraŭ ne eblas (sed tamen provu sendi ĝin - pli da ekzemploj de ĉifritaj dosieroj de programistoj = pli verŝajne trovos manieron).
Se ĝi rezultas, ke vi trovis malĉifran metodon (tio estas, ĝi estis afiŝita ie, sed mi ne sekvis ĝin), bonvolu dividi informojn en la komentoj.
Trojan-Ransom.Win32.Aura kaj Trojan-Ransom.Win32.Rakhni
La sekva trojan kiu ĉifras dosierojn kaj instalas etendojn el ĉi tiu listo:
- .ŝlosita
- .crypto
- .kraken
- .AES256 (ne nepre ĉi trojan, estas aliaj instalantaj la saman etendon).
- .codercsu @ gmail_com
- .enc
- .oshit
- Kaj aliaj.
Por malĉifri dosierojn post la operacio de ĉi tiuj virusoj, la retejo de Kaspersky havas senpagan utilecon RakhniDecryptor, disponeblan sur la oficiala paĝo //support.kaspersky.ru/viruses/disinfection/10556.
Ankaŭ estas detala instrukcio pri la uzo de ĉi tiu utileco, montrante kiel rekuperi ĉifritajn dosierojn, el kiuj mi simple kaze forigus la opcion "Forigi ĉifritajn dosierojn post sukcesa malĉifrado" (kvankam mi pensas, ke ĉio funkcios bone kun la instalita opcio).
Se vi havas Dr.Web-antivirusan permesilon, vi povas uzi la senpagan malĉifrilon de ĉi tiu kompanio ĉe //support.drweb.com/new/free_unlocker/
Pli da variantoj de la ransomware-viruso
Malpli ofte, sed ankaŭ estas la jenaj trojanoj, kiuj ĉifras dosierojn kaj postulas monon por malĉifrado. Ĉi tiuj ligoj enhavas ne nur utilecojn por redoni viajn dosierojn, sed ankaŭ priskribon de signoj, kiuj helpos determini, ke vi havas ĉi tiun apartan viruson. Kvankam ĝenerale, la optimuma maniero: uzi Kaspersky Anti-Virus, skani la sistemon, ekscii la nomon de Trojo laŭ la klasifiko de ĉi tiu kompanio, kaj poste serĉu utilecon per ĉi tiu nomo.
- Trojan-Ransom.Win32.Rector - senpaga utileco RectorDecryptor por malĉifrado kaj uzada gvidilo haveblas ĉi tie: //support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - simila troiano kiu montras fenestron petanta vin sendi pagitan SMS aŭ kontakton retpoŝte por ricevi malĉifrilajn instrukciojn. Instrukcioj por rekuperi ĉifritajn dosierojn kaj la utilecon XoristDecryptor por ĉi tio haveblas ĉe //support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - utileco RannohDecryptor //support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 kaj aliaj kun la sama nomo (serĉante la antiviruson Dr.Web aŭ la Kuracilon) kaj kun malsamaj nombroj - provu serĉi interreton la nomon de la trojano. Por iuj el ili estas deĉifraj utilecoj de Dr.Web, ankaŭ se vi ne povus trovi la utilecon, sed ekzistas Dr.Web-permesilo, vi povas uzi la oficialan paĝon //support.drweb.com/new/free_unlocker/
- CryptoLocker - por malĉifri dosierojn post kiam CryptoLocker funkcias, vi povas uzi la retejon //decryptcryptolocker.com - post sendi la ekzemplan dosieron, vi ricevos ŝlosilon kaj utilecon por reakiri viajn dosierojn.
- Sur la retejo//bitbucket.org/jadacyrus/ransomwareremovalkit/elŝutoj aliras Ransomware Removal Kit - granda ar archiveivo kun informoj pri diversaj specoj de ĉifriloj kaj malĉifrilaj utilecoj (en la angla)
Nu, de la plej novaj novaĵoj - Kaspersky Lab, kune kun policistoj de Nederlando, disvolvis Ransomware Decryptor (//noransom.kaspersky.com) por deĉifri dosierojn post CoinVault, sed ĉi ransomware ankoraŭ ne aperas en niaj latitudoj.
Ransomware aŭ ransomware-virusa protekto
Kiam Ransomware disvastiĝis, multaj fabrikantoj de antivirus kaj kontraŭ-malware-iloj komencis liberigi siajn proprajn solvojn por malebligi ĉifritulojn labori en la komputilo, inter kiuj estas:- Malwarebytes Anti-Ransomware
- Anti-Ransomware BitDefender
- WinAntiRansom
Sed: ĉi tiuj programoj ne celas malĉifri, sed nur por malebligi ĉifradon de gravaj dosieroj en la komputilo. Ĉiuokaze ŝajnas al mi, ke ĉi tiuj funkcioj devas esti efektivigitaj en kontraŭvirusaj produktoj, alie ĝi estas stranga situacio: la uzanto bezonas havi kontraŭviruson, ilon por kontraŭbatali AdWare kaj Malware, kaj nun ankaŭ la kontraŭ-ransomware-utilecon, krom nur kontraŭ-viruso. ekspluati.
Parenteze, se subite rezultas, ke vi havas ion por aldoni (ĉar mi ne sukcesas monitori kio okazas per malĉifraj metodoj), sciigu min en la komentoj, ĉi tiu informo estos utila por aliaj uzantoj, kiuj renkontis problemon.
