Virusul criptează fișiere și redenumit. Cum de a decripta fișiere criptate virus

Recent, a existat o creștere a activității din noua generație de programe de calculator rău intenționate. Au apărut pentru o lungă perioadă de timp (6 - 8 ani în urmă), dar ritmul de implementare a acestora a atins punctul culminant acum. Este din ce în ce se confruntă cu faptul că fișierul virus este criptat.

Știm deja că acest lucru nu este doar un software rău intenționat primitiv, de exemplu, blocarea calculatorului ( care cauzează ecran albastru), precum și programe serioase care vizează daune, de regulă, datele contabile. Ei cripta toate fișierele care sunt la indemana, inclusiv 1C date, docx, xlsx, jpg, doc, xls, pdf, zip.

viruși Pericole speciale considerate

Acesta se află în faptul că acest lucru se aplică RSA-cheie, care este legat de computerul unui anumit utilizator, ca o consecință, decodorul universal (Decryptor) lipseste. Virușii care sunt active într-unul dintre calculatoarele, să nu funcționeze în alta.

Pericolul este, de asemenea, în faptul că mai mult de un an de pe Internet plasat programe gata-constructori (Builder), care să permită să se dezvolte un astfel de virus, chiar kulhatskeram (persoane care se consideră hackeri, dar nu și de a învăța de programare).

În prezent, există modificări mai puternice.

Metoda de punere în aplicare a bazei de date malware

Virusul Newsletter produs intenționat, de regulă, departamentul de contabilitate al companiei. În primul rând, colectează departamente de e-mail-uri de personal, conturile de departamente ale unor astfel de baze de date, de exemplu, hh.ru. Următoarea este trimiterea de scrisori. Acestea conțin adesea o cerere în ceea ce privește adoptarea unei anumite poziții. O astfel de scrisoare fișier atașat cu un rezumat, în care documentul real cu un obiect OLE-implantat (fișier pdf cu un virus).

În situațiile în care personalul contabil a lansat documentul imediat, după repornirea următoarele situații: un virus și redenumit fișierul criptat, și apoi se autodistruge.

Acest tip de scrisoare este de obicei adecvată în scris și trimis la nespamerskogo caseta (nume se potrivește cu semnătura). Post vacant este întotdeauna solicitată pe baza activităților societății, motiv pentru care nu apar suspiciunile de profiluri.

Nici o licență „Kaspersky“ (software-ul antivirus) sau „Virus Total“ (fișiere atașate verifica on-line-service pentru viruși) nu pot proteja computerul în acest caz. Ocazional, unele programe antivirus pentru a scana problema că atașamentul este Gen: Variant.Zusy.71505.

Cum de a evita să fie infectat cu virusul?

Este necesar să se verifice fiecare fișier primit. O atenție deosebită este acordată documente vordovsky care au încorporate pdf.

Variante de mesaje „infectate“

O mulțime de ei. Cele mai frecvente variante ale virusului criptează fișierele sunt prezentate mai jos. În toate cazurile, următoarele documente vin prin e-mail:

1. Notificarea cu privire la începerea procesului de revizuire aplicată unei acțiuni juridice companie specifice (scrisoarea servește pentru a verifica datele făcând clic pe link-ul).
2. Scrisoare de la SAC pentru recuperarea datoriei.
3. Mesaj de la Sberbank pentru o creștere a datoriei existente.
4. Aviz de stabilire încălcări de trafic.
5. O scrisoare de la o agenție de colectare cu întârziere maximă posibilă de plată.

Notificare privind criptarea fișierelor

Acesta va apărea după infecție în directorul rădăcină al unității C. Uneori, toate directoarele cu un tip de text deteriorat plasat fișiere ChTO_DELAT.txt, CONTACT.txt. Acolo, utilizatorul este informat cu privire la modul de a cripta fișierele ce se face prin algoritmi de criptare de încredere. Și a avertizat cu privire la utilizarea necorespunzătoare a instrumentelor terțe părți, deoarece acest lucru poate duce la deteriorarea fișierelor finale, care, la rândul său, va conduce la imposibilitatea decriptare ulterioare.

Anunțul este recomandat să lăsați computerul în aceeași stare. Acesta indică stocarea asigurată de o cheie (în general, este de 2 zile). Precizate data exactă, după care orice fel de tratament vor fi ignorate.

La sfârșitul dat de e-mail. De asemenea, se precizează că utilizatorul trebuie să introducă ID-ul și că oricare dintre următoarele acțiuni poate avea ca rezultat eliminarea cheie, și anume:

• insulte;
• detalii cu privire la cerere, fără plată suplimentară;
• amenințare.

Cum de a decripta fișiere criptate virus?

Acest tip de criptare este foarte puternic: fișierul este atribuit o extensie ca nochance etc Crack perfectă, este pur și simplu imposibil, dar puteți încerca să conectați un criptanalist și să caute o portiță (în unele situații pentru a ajuta la Dr. Web) ..

Există 1 modalitate de a restabili virus fișiere criptate, dar nu este potrivit pentru toate virusurile, de asemenea, necesitatea de a elimina exe originale cu acest program rău intenționat, care este destul de dificil să se pună în aplicare de auto-distrugere după.

Vă rugăm să ceea ce privește introducerea virusului unui cod special - un control mic, deoarece fișierul în acest moment are deja un decodor (cod de, ca să spunem așa, atacatorul nu are nevoie să). Esența acestei metode - intrarea în virusul a pătruns (în locul codului de intrare comparație în sine), echipele goale. Rezultatul - un program periculos în sine ruleaza decriptarea de fișiere și, astfel, le restaurează complet.

În fiecare virus are propria caracteristica de criptare specială, motiv pentru care o executabilelor terță parte (format de fișier exe) nu va decripta, sau puteți încerca pentru a alege funcția de mai sus, care impune toate acțiunile efectuate pe WinAPI.

Virusul criptează fișiere: ce să fac?

Pentru a efectua, este necesară procedura de decriptare:

1. Face copii de siguranță (backup - uri ale fișierelor existente). La sfârșitul decripteze tot ce se îndepărtează.
2. Pe computerul (victima), trebuie să executați acest program rău intenționat, apoi așteptați, conține o cerință cu privire la introducerea codului când este afișată fereastra.
3. Apoi, trebuie să pornească de la fișierul arhivă atașat Patcher.exe.
4. Următorul pas este de a introduce un număr de procesul de virus, atunci este necesar să apăsați pe „libera inițiativă“.
5. Va «patch» mesaj, ceea ce înseamnă că frecarea instrucțiuni de comparare.
6. Aceasta este urmată de introducerea codului în caseta de tip oricare dintre caracterele, și apoi faceți clic pe „OK“.
7. Virusul incepe procesul de decripta dosar, după care el însuși elimină.

Cum pentru a evita pierderea de date atenta considerare a malware-ului?

Este demn de știut că într-o situație în care virusul criptează fișiere pentru procesul de decriptare lua timp. Cel mai important punct în favoarea este faptul că malware - ul menționat mai sus există un bug care vă permite să salvați unele fișiere, în cazul în care deconectați rapid computerul (trageți ștecherul din priză, opriți banda de alimentare, scoateți bateria în cazul unui laptop), de îndată ce un număr mare de fișiere de extensie specificate anterior .

Încă o dată, trebuie subliniat faptul că principalul lucru - este de a crea în mod constant o copie de rezervă, dar nu într-un alt dosar, nu pe suport amovibil, care este introdus în computer, deoarece modificarea virusului și va ajunge la aceste locuri. Este demn de a păstra copii de rezervă pe un alt calculator, un hard-disk, care nu este atașat în mod permanent la calculator, și în nor.

Ar trebui să fie tratate cu suspiciune la toate documentele care vin în e-mail de la persoane necunoscute (sub formă de rezumat, factură, Rezoluția SAC sau fiscale și altele.). Ele nu ar trebui să fie rulat pe un computer (pentru acest scop netbook, nu conține date importante pot fi identificate).

*.paycrypt@gmail.com program rău intenționat: Căi de atac

.. Într-o situație în care fișierele CBF, doc, jpg, etc, există doar trei scenarii virus criptat de mai sus-menționate:

1. Cel mai simplu mod de a scăpa de ea - elimina toate fișierele infectate (este acceptabil, în cazul în care datele nu este foarte important).
2. Vezi program antivirus de laborator, de exemplu, dr WEB. Dezvoltatorii de e-mail mai multe fișiere infectate cu cheia necesară pentru a decripta, situat pe computer ca KEY.PRIVATE.
3. Cel mai scump mod. El presupune plata sumei solicitate pentru hackeri decripta fișierele infectate. De obicei, costul acestui serviciu este intre 200-500 de dolari SUA .. Acest lucru este acceptabil într-o situație în care virusul criptează fișiere de o companie mare, în care are loc un flux substanțial de informații pe o bază de zi cu zi, iar acest program rău intenționat poate în câteva secunde provoca daune imens. În legătură cu această plată - cea mai rapidă versiune de recuperare a fișierelor infectate.

Uneori este eficientă și o opțiune suplimentară. În cazul în care virusul criptează fișiere (paycrypt @ gmail_com sau alt software rău intenționat) poate ajuta la sistemul de role înapoi cu câteva zile în urmă.

Program pentru a decripta RectorDecryptor

În cazul în care virusul criptează fișiere jpg, doc, CBF și așa mai departe. N., poate ajuta un program special. Pentru aceasta avem nevoie în primul rând pentru a merge la pornire și a dezactiva toate, dar antivirus. Apoi, trebuie să reporniți computerul. Vezi toate fișierele, evidențiați suspecte. În câmpul sub numele de „echipa“, a declarat locația unui anumit fișier (ar trebui să acorde o atenție la aplicații care nu au o semnătură: producătorul - nu există date).

Toate fișierele suspecte de a fi șterse, atunci necesitatea de a curăța cache-urile browsere folder temporar (programul CCleaner este potrivit pentru acest scop).

Pentru a porni decriptarea, trebuie să descărcați programul de mai sus. Apoi, rulați-l și faceți clic pe „Start Scan“, specificând fișierele modificate și extinderea acestora. În versiunile moderne ale programului poate specifica doar el însuși fișierul infectat și faceți clic pe „Open“. După aceea, fișierele vor fi decriptate.

Ulterior, utilitarul scanează automat toate datele de calculator, inclusiv fișierele stocate pe conectat unitatea de rețea, și să le decriptează. Acest proces de recuperare poate dura câteva ore (în funcție de volumul de muncă și de viteza computerului).

Ca urmare, toate fișierele corupte vor fi decodificate în același folder în care au fost instalate inițial. La final va avea numai de a elimina toate fișierele existente cu extensia suspecte, pe care le puteți pune în jos o căpușă în interogare „Ștergeți fișierele criptate după decodificare de succes“, prin apăsarea unui buton de pre-„Modificarea setărilor de scanare“. Cu toate acestea, este mai bine să nu pună, la fel ca în cazul unei decriptare a eșuat de fișiere care se pot pensiona, iar apoi trebuie să le restabiliți mai întâi.

Deci, în cazul în care virusul criptează fișiere doc, CBF, jpg T. E., nu ar trebui să se grăbească la codul de plată. Poate că nu au nevoie de ea.

îndepărtarea Nuante de fișiere criptate

Când încercați să elimine toate fișierele deteriorate folosind un standard de căutare și îndepărtarea ulterioară poate începe agățat și încetinirea computerului. Prin urmare, pentru această procedură ar trebui să utilizați o specială de linie de comandă. După lansarea sa, este necesar să introduceți următoarele: del «:. \ * » / f / s.

Asigurați-vă că doriți să ștergeți aceste fișiere ca "Read-menya.txt", care, în aceeași linie de comandă trebuie să specifice: del „: \ * » / f / s..

Astfel, se poate observa că în cazul în care virusul a schimbat numele și fișierele cripta, nu ar trebui să cheltui doar bani pe achiziționarea de cybercriminals-cheie în primul rând este necesar pentru a încerca să înțeleagă problema pe cont propriu. Este mai bine să investească în achiziționarea unui program special pentru a decripta fișierele corupte.

În cele din urmă, este demn de reamintit faptul că, în acest articol întrebarea cu privire la modul de a decripta fișiere criptate virus.