Einn vandræðasti malwareinn í dag er tróverji eða vírus sem dulritar skrár á diski notandans. Sumar af þessum skrám geta verið afkóðaðar og sumar ekki. Handbókin inniheldur mögulegar reiknirit fyrir aðgerðir við báðar aðstæður, leiðir til að ákvarða ákveðna tegund dulkóðunar á No More Ransom og ID Ransomware þjónustu, svo og stutt yfirlit yfir forrit til verndar gegn ransomware vírusum.
Það eru nokkrar breytingar á slíkum vírusum eða ransomware tróverji (og nýjar birtast stöðugt), en almennur kjarni verksins snýr að því að eftir að tölvuskrár, skjöl og aðrar mögulegar mikilvægar skrár hafa verið settar upp eru dulkóðaðar með breytingu á útvíkkun og eyðingu upprunalegu skjalanna, eftir það færðu skilaboð í readme.txt skránni um að allar skrár þínar hafi verið dulkóðaðar og til að afkóða þær þarftu að senda ákveðna upphæð til árásarmannsins. Athugasemd: Windows 10 Fall Creators Update hefur innbyggða vernd gegn ransomware vírusum.
Hvað á að gera ef öll mikilvæg gögn eru dulkóðuð
Til að byrja með eru nokkrar almennar upplýsingar fyrir þá sem hafa dulkóða mikilvægar skrár á tölvunni sinni. Ef mikilvæg gögn á tölvunni þinni hafa verið dulkóðuð, þá fyrst og fremst, ekki örvænta.
Ef þú hefur slíkt tækifæri skaltu afrita einhvers staðar á ytri drif (USB glampi ökuferð) af tölvunni sem diskurinn sem ransomware vírusinn birtir á og dæmi um skrá með textabeiðni árásarmannsins um afkóðun, ásamt afriti af dulkóðuðu skránni og síðan, tækifæri, slökktu á tölvunni svo að vírusinn gæti ekki haldið áfram að dulkóða gögn og framkvæmt aðgerðirnar sem eftir eru á annarri tölvu.
Næsta skref er að nota fyrirliggjandi dulkóðuðu skrárnar til að komast að nákvæmlega hvaða tegund af vírusum dulkóðuðu gögnin þín: fyrir suma þeirra eru umskráðir (sumir ætla ég að benda á hér, sumir eru taldir upp undir lok greinarinnar), fyrir suma - ekki ennþá. En jafnvel í þessu tilfelli geturðu sent dæmi um dulkóðaðar skrár til rannsóknarstofa gegn vírusum (Kaspersky, Dr. Web).
Hvernig nákvæmlega að komast að því? Þú getur gert þetta með Google, eftir að hafa fundið umræður eða gerð dulritunar eftir skjalaviðbót. Þjónusta byrjaði einnig að birtast til að ákvarða tegund af lausnarbúnaði.
Ekki meira lausnargjald
No More Ransom er virkan þróunargögn sem er studd af öryggisframkvæmdum og er fáanleg í rússnesku útgáfunni, sem miðar að því að berjast gegn vírusum með ransomware (ransomware Trojans).
Ef vel tekst til getur No More Ransom hjálpað til við að afkóða skjöl, gagnagrunna, myndir og aðrar upplýsingar, halað niður nauðsynlegum afkóðunarforritum og einnig fengið upplýsingar sem munu hjálpa til við að forðast slíkar ógnir í framtíðinni.
Á No More Ransom geturðu reynt að afkóða skrárnar þínar og ákvarða tegund dulkóðunarveirunnar sem hér segir:
- Smelltu á „Já“ á aðalsíðu þjónustunnar //www.nomoreransom.org/en/index.html
- Crypto Sheriff síðan opnast, þar sem þú getur halað niður dæmum um dulkóðuð skrár sem eru ekki meira en 1 MB að stærð (ég mæli með að hala niður án trúnaðargagna), svo og tilgreina netföng eða vefsvæði sem svindlarar þurfa lausnargjald (eða halaðu niður readme.txt skránni frá krafa).
- Smelltu á hnappinn „Athugaðu“ og bíðið eftir að ávísuninni ljúki og niðurstöðu hennar.
Að auki eru gagnlegir hlutar fáanlegir á síðunni:
- Afkóðunaraðilar eru næstum allar búnaðir sem nú eru til til að dulkóða skrár sem eru dulkóðar af vírusum.
- Forvarnir gegn smiti - upplýsingar sem miða fyrst og fremst að nýliði sem geta hjálpað til við að forðast smit í framtíðinni.
- Spurningar og svör - upplýsingar fyrir þá sem vilja skilja betur ransomware vírusa og aðgerðir í þeim tilvikum þegar þú stendur frammi fyrir því að skrárnar á tölvunni voru dulkóðar.
Í dag er No More Ransom líklega viðeigandi og gagnlegasta auðlindin sem tengist afkóðun skráa fyrir rússneskumælandi notanda, ég mæli með því.
Auðkenni Ransomware
Önnur slík þjónusta er //id-ransomware.malwarehunterteam.com/ (þó að ég viti ekki hversu vel hún virkar fyrir rússnesk tungumál af vírusnum, en það er þess virði að prófa þjónustuna dæmi um dulkóðaða skrá og textaskrá með lausnarbeiðni).
Eftir að þú ákveður tegund dulkóðara, ef þú tókst það, reyndu að finna tól til að dulkóða þennan valkost út frá fyrirspurnum eins og: Afkóðunar dulkóðunartegund. Slíkar veitur eru ókeypis og eru gefnar út af vírusvörn, til dæmis er hægt að finna nokkrar slíkar veitur á Kaspersky vefsíðunni //support.kaspersky.ru/viruses/utility (aðrar veitur eru nær lok greinarinnar). Og eins og áður hefur komið fram, hikaðu ekki við að hafa samband við vírusvarnaraðilana á spjallborðum sínum eða í þjónustuþjónustuna með pósti.
Því miður, allt þetta hjálpar ekki alltaf og það eru ekki alltaf að vinna skráafkóðara. Í þessu tilfelli eru atburðarásin önnur: Margir greiða árásarmönnunum og hvetja þá til að halda áfram þessari starfsemi. Forrit til að endurheimta gögn á tölvu hjálpa sumum notendum (þar sem vírus, með því að búa til dulkóðaða skrá, eyðir venjulegri mikilvægri skrá, sem fræðilega er hægt að endurheimta).
Skrár á tölvunni eru dulkóðuð í xtbl
Eitt af nýjustu afbrigðunum af ransomware vírusnum dulkóðar skrár og kemur þeim í staðinn fyrir skrár með endingunni .xtbl og heiti sem samanstendur af handahófi sett af stöfum.
Á sama tíma er readme.txt textaskráin sett á tölvuna með eftirfarandi innihaldi: "Skrárnar þínar hafa verið dulkóðaðar. Til að afkóða þær þarftu að senda kóðann á netfangið [email protected], [email protected] eða [email protected]. Næsta þú munt fá allar nauðsynlegar leiðbeiningar. Tilraunir til að afkóða skrárnar sjálfur munu leiða til óafturkræfra upplýsingataps “(póstfang og texti geta verið mismunandi).
Því miður er engin leið til að afkóða .xtbl (um leið og hún birtist verður leiðbeiningin uppfærð). Sumir notendur sem hafa virkilega mikilvægar upplýsingar á tölvum sínum tilkynna um vírusvarnarefni að þeir hafi sent höfundum vírusins 5.000 rúblur eða aðra nauðsynlega upphæð og fengið leyniletri en þetta er mjög áhættusamt: þú færð kannski ekki neitt.
Hvað ef skrár voru dulkóðar í .xtbl? Tillögur mínar eru eftirfarandi (en þær eru frábrugðnar þeim sem eru á mörgum öðrum þemasíðum, þar sem þeir mæla til dæmis með því að slökkva strax á tölvunni frá aflgjafa eða fjarlægja ekki vírusinn. Að mínu mati er þetta óþarfi, og undir sumum kringumstæðum gæti jafnvel verið skaðlegt, þú ákveður samt.):
- Ef þú getur, rofið dulkóðunarferlið með því að fjarlægja samsvarandi verkefni í verkefnisstjóranum, aftengið tölvuna frá internetinu (þetta getur verið nauðsynlegt skilyrði fyrir dulkóðun)
- Mundu eða skrifaðu númerið sem árásarmennirnir þurfa að senda á netfangið (aðeins ekki í textaskrá í tölvunni, bara ef það reynist heldur ekki vera dulkóðað).
- Notkun Malwarebytes Antimalware, prufuútgáfa af Kaspersky Internet Security eða Dr.Web Cure It, fjarlægðu dulkóðunarskrár vírusa (öll verkfæri sem skráð eru geta gert þetta vel). Ég ráðleggja þér að taka beygju með því að nota fyrstu og aðra vöruna af listanum (þó að ef þú ert með vírusvarnarforrit, þá er óæskilegt að setja upp seinni „að ofan“ þar sem það getur leitt til vandræða í tölvunni.)
- Búast við að afkóðari frá vírusvarnarfyrirtæki birtist. Í fremstu röð hér er Kaspersky Lab.
- Þú getur líka sent dæmi um dulkóðaða skrá og nauðsynlegan kóða til [email protected]ef þú ert með afrit af sömu skrá á dulkóðaðri formi, sendu hana líka. Fræðilega séð getur þetta flýtt fyrir útliti myndlykils.
Hvað ætti ekki að gera:
- Endurnefnið dulkóðu skrár, breyttu viðbyggingunni og eytt þeim ef þær eru mikilvægar fyrir þig.
Það er líklega allt sem ég get sagt um dulkóðaðar skrár með .xtbl viðbótinni á þessum tímapunkti.
Skrár dulkóðuð better_call_saul
Af nýjustu ransomware vírusunum setur Better Call Saul (Trojan-Ransom.Win32.Shade) upp .better_call_saul viðbótina fyrir dulkóðaðar skrár. Hvernig á að afkóða slíkar skrár er enn óljóst. Þeir notendur sem höfðu samband við Kaspersky Lab og Dr.Web fengu upplýsingar um að þetta sé ekki hægt að gera enn (en reyndu samt að senda það - fleiri sýnishorn af dulkóðuðum skrám frá forriturum = líklegri til að finna leið).
Ef það kemur í ljós að þú hefur fundið afkóðunaraðferð (það er að hún var sett einhvers staðar, en ég fylgdi henni ekki) skaltu deila upplýsingum í athugasemdunum.
Trojan-Ransom.Win32.Aura og Trojan-Ransom.Win32.Rakhni
Eftirfarandi trojan sem dulritar skrár og setur upp viðbætur frá þessum lista:
- . læst
- .crypto
- .kraken
- .AES256 (ekki endilega þessi tróverji, það eru aðrir sem setja sömu viðbót).
- .codercsu @ gmail_com
- .enc
- .oshit
- Og aðrir.
Til að hallmæla skrám eftir að þessar vírusar eru starfræktar, á vef Kaspersky er ókeypis gagnsemi RakhniDecryptor, sem er aðgengilegt á opinberu síðunni //support.kaspersky.ru/viruses/disinfection/10556.
Einnig er að finna ítarlegar leiðbeiningar um notkun þessarar tól, sem sýnir hvernig hægt er að endurheimta dulkóðuðar skrár, en þaðan myndi ég fjarlægja valkostinn „Eyða dulkóðuðum skrám eftir að dulkóðun tókst“ (þó að ég held að allt verði í lagi með uppsettan valkost).
Ef þú ert með Dr.Web vírusvarnarleyfi getur þú notað ókeypis afkóðun frá þessu fyrirtæki á //support.drweb.com/new/free_unlocker/
Fleiri afbrigði af ransomware vírusnum
Sjaldgæfara, en einnig eru eftirfarandi tróverji sem dulkóða skrár og þurfa peninga til dulkóðunar. Þessir tenglar innihalda ekki aðeins tól til að skila skrám þínum, heldur einnig lýsingu á merkjum sem munu hjálpa til við að ákvarða að þú sért með þennan tiltekna vírus. Þrátt fyrir að almennt séð sé besta leiðin að nota Kaspersky andstæðingur-veira til að skanna kerfið, finna út nafn Tróju eftir flokkun þessa fyrirtækis og leita síðan að tólum með þessu nafni.
- Trojan-Ransom.Win32.Rector - ókeypis RectorDecryptor decryption gagnsemi og notkunarleiðbeiningar sem til eru hér: //support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - svipaður tróverji sem sýnir glugga sem biður þig um að senda greitt SMS eða hafa samband með tölvupósti til að fá leiðbeiningar um afkóðun. Leiðbeiningar um endurheimt dulkóðuðra skráa og XoristDecryptor gagnsemi fyrir þetta er að finna á //support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - tól RannohDecryptor //support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 og aðrir með sama nafni (þegar þú leitar í gegnum Dr.Web antivirus eða Cure It gagnsemi) og með mismunandi tölur - prófaðu að leita á netinu að nafni trojan. Hjá sumum þeirra eru Dr.Web-afkóðunarveitur, einnig ef þú gætir ekki fundið tækið, en það er til Dr.Web leyfi, geturðu notað opinberu síðuna //support.drweb.com/new/free_unlocker/
- CryptoLocker - til að hallmæla skrám eftir að CryptoLocker virkar geturðu notað síðuna //decryptcryptolocker.com - eftir að hafa sent sýnishornaskrána færðu lykil og tól til að endurheimta skrárnar þínar.
- Á síðunni//bitbucket.org/jadacyrus/ransomwareremovalkit/halar niður aðgangi að Ransomware flutningsbúnaði - stórt skjalasafn með upplýsingum um ýmsar tegundir dulkóðara og afkóðunarveitur (á ensku)
Nýjustu fréttirnar - Kaspersky Lab, ásamt löggæslumönnum frá Hollandi, þróaði Ransomware Decryptor (//noransom.kaspersky.com) til að afkóða skrár eftir CoinVault, en þessi lausnarvara birtist ekki enn á breiddargráðum okkar.
Ransomware eða ransomware vírusvörn
Þegar Ransomware breiddist út fóru margir framleiðendur vírusvarnar- og vírusvarnarverkfæra að gefa út sínar eigin lausnir til að koma í veg fyrir að dulkóðarar virki í tölvunni, þar á meðal:- Malwarebytes Anti-Ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
En: þessi forrit eru ekki ætluð til afkóðunar, heldur aðeins til að koma í veg fyrir dulkóðun mikilvægra skráa á tölvunni. Engu að síður, mér sýnist að þessar aðgerðir ættu að koma til framkvæmda í vírusvarnarvörum, annars er það undarlegt ástand: notandinn þarf að hafa vírusvarnarvirki, tæki til að berjast gegn AdWare og malware, og nú einnig Anti-ransomware gagnsemi, plús bara ef Anti- nýta sér.
Við the vegur, ef það kemur í ljós að þú hefur eitthvað að bæta við (vegna þess að ég get ekki fylgst með því sem er að gerast með afkóðunaraðferðunum), tilkynntu í athugasemdunum, þessar upplýsingar munu nýtast öðrum notendum sem hafa lent í vandræðum.
