A vírus titkosítja a fájlokat, és átnevezték. Hogyan visszafejteni fájlok titkosított vírus

Nemrég volt egy hullám tevékenység az új generációs rosszindulatú számítógépes programok. Úgy tűnt, hosszú ideig (6-8 évvel ezelőtt), de az üteme a végrehajtásuk tetőzött most. Ez egyre inkább szembe azzal a ténnyel, hogy a vírus fájl titkosított.

Azt már tudjuk, hogy ez nem csak egy primitív rosszindulatú szoftverek, például blokkolja a számítógép (ami kék képernyő), és komoly károkat célzó programok, mint általában, a számviteli adatokkal. Ezek titkosítja a fájlokat, hogy elérhetőek, beleértve az adatok 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Különleges veszélyek tekinthető vírusok

Ez azon a tényen alapul, hogy ez vonatkozik RSA-kulcs, amely kötődik egy adott felhasználó számítógépén, aminek következtében az egyetemes dekóder (decryptor) hiányzik. Vírusok, amelyek aktívak a számítógépek egyikén, esetleg nem működik egy másik.

A veszély is, hogy a több mint egy éve az interneten elhelyezett kész programok építők (Builder), amely lehetővé teszi, hogy dolgozzon, mint egy vírus, még kulhatskeram (egyének, akik magukat a hackerek, de nem tanulni programozás).

Jelenleg erősebb módosítását.

Malware adatbázis végrehajtási módszer

Hírlevél előállított vírus céltudatosan, mint általában, a számviteli osztály a cég. Először is gyűjti az e-mailek személyzeti osztályok, részlegek számlák az ilyen adatbázisok, például hh.ru. Következő küld leveleket. Gyakran tartalmaznak kérés tekintetében elfogadását egy adott helyzetben. Egy ilyen levél csatolt fájlt , amely összefoglalja, amelyen belül az aktuális dokumentum ímplantált OLE-objektum (pdf-fájl egy vírus).

Azokban az esetekben, ahol a számviteli munkatársak azonnal elindította a dokumentumot, az újraindítás után a következő történik: egy vírus, és átnevezte a titkosított fájlt, majd megsemmisíti önmagát.

Ez a fajta levél általában megfelelő írásbeli és küldött nespamerskogo doboz (név megegyezik az aláírás). Vacancy mindig kérik alapján profilalkotás a vállalat tevékenysége, ezért a gyanú nem merül fel.

Nem engedély „Kaspersky” (antivírus szoftver), vagy „Virus Total” (online-szolgáltatás check berendezés vírusok) nem képes megvédeni a számítógépet ebben az esetben. Esetenként néhány antivírus programokat, hogy átvizsgálja a kérdést, hogy a melléklet Gen: Variant.Zusy.71505.

Hogyan lehet elkerülni, hogy fertőzött a vírussal?

Szükséges, hogy ellenőrizze minden kapott fájlt. Különös figyelmet fordítanak vordovsky dokumentumokat, amelyek beágyazott pdf.

Változatok „fertőzött” üzenetek

Sok közülük. A leggyakoribb változatai a vírus titkosítja a fájlokat az alábbiakban mutatjuk be. Minden esetben az alábbi dokumentumokat jön e-mail:

1. Az értesítés a felülvizsgálat kezdetétől alkalmazott eljárás, hogy egy adott cég jogi lépéseket (a levél szolgál, hogy ellenőrizze az adatokat linkre kattintva).
2. Levél a SAC behajtására irányuló tartozás.
3. Üzenet a Sberbank a növekedést a meglévő adósság.
4. Közlemény rögzítő forgalom megsértése.
5. A levelet egy gyűjtemény hivatal a lehető legnagyobb fizetési késedelem.

Közlemény a fájl titkosítás

Ez jelenik meg a fertőzés után a meghajtó gyökérkönyvtárában C. Néha könyvtárak egy sérült szöveges típusú feltöltött ChTO_DELAT.txt fájlok CONTACT.txt. Ott, a felhasználó értesítést arról, hogyan kell titkosítani a fájlokat, ami történik, megbízható titkosítási algoritmusokat. És figyelmeztetett a nem megfelelő használata harmadik féltől származó eszközök, mivel ez károsíthatja a végső kép, ami viszont ahhoz vezet, hogy lehetetlen a későbbi dekódolás.

A közlemény ajánlott hagyja el a számítógépet változatlan formában. Ez jelzi a tároló által biztosított kulcs (általában ez 2 nap). Fejtik ki a pontos dátumot, amely után bármilyen kezelést figyelmen kívül hagyja.

Végén a megadott e-mail. Azt is kimondja, hogy a felhasználónak meg kell adnia az azonosítóját, és hogy minden a következő tevékenységek megszüntetését eredményezi a legfontosabb, nevezetesen:

• sértéseket;
• részletek a kérés nélkül kifizetés;
• fenyegetés.

Hogyan visszafejteni fájlok titkosított vírus?

Ez a fajta titkosítás nagyon erős: a fájl van rendelve egy kiterjesztése olyan tökéletes, nochance stb Crack egyszerűen lehetetlen, de akkor megpróbál csatlakozni egy cryptanalyst és keresse meg a kiskaput (bizonyos helyzetekben, hogy segítsen Dr. WEB) ..

Van 1 lehet visszaállítani a titkosított fájlok vírus, de nem alkalmas az összes vírust, el kell távolítania az eredeti exe ezzel rosszindulatú program, ami elég nehéz megvalósítani önmegsemmisítő után.

Kérjük, tekintettel a vírus bevezetése egy speciális kódot - egy kis ellenőrzés, mert a fájl ezen a ponton már egy dekóder (kódját, hogy úgy mondjam, a támadó nem kell). A lényege ennek a módszernek - bejegyzés a vírus behatolt (helyett az összehasonlítás input kód is) üres csapatok. Az eredmény - a rosszindulatú program maga vezeti a dekódolás fájlok és így visszaállítja őket teljesen.

Minden vírus saját különleges titkosítási funkció, ezért egy harmadik fél futtatható (exe fájl formátum) nem fejt, vagy akkor próbálja kiválasztani a fenti funkció, amely előírja, hogy minden olyan tevékenységet végezni WinAPI.

A vírus titkosítja a fájlokat: mi a teendő?

Elvégzésére a dekódolási eljárás szükséges:

1. Hogy a mentést (mentések a meglévő fájlok). Végén dekódolására összes eltávolítja magát.
2. Azon a számítógépen (az áldozat), meg kell futtatni ezt a kártékony programot, majd várjon, tartalmazza azt a követelményt, tekintettel a bevezetése a kódot, ha az ablak jelenik meg.
3. Ezután meg kell kezdeni a mellékelt archív fájl Patcher.exe.
4. A következő lépés az, hogy vezessenek be egy számot a vírus folyamat, akkor meg kell nyomni „Enter-”.
5. Will «folt» üzenet, ami azt jelenti, dörzsölés összehasonlító utasításokat.
6. Ezt követi a bevezetése a kódot mezőbe írja karakterek bármelyikét, majd kattintson az „OK”.
7. A vírus kezdődik a folyamat dekódolására fájl, ami után megszünteti önmagát.

Hogyan kerüljük el az adatvesztés kellő figyelmet fordítva a malware?

Érdemes tudni, hogy egy olyan helyzetben, ahol a vírus titkosítja a fájlokat a folyamat dekódolás időt vesz igénybe. A lényeg mellett az, hogy a fent említett malware van egy hiba, amely lehetővé teszi, hogy mentse fájlokat, ha gyorsan húzza ki a számítógépet (húzza ki a dugót a konnektorból, kapcsolja ki a hálózati tápkábelt, vegye ki az akkumulátort a laptop esetén), amint számos korábban megadott kiterjesztésű fájlokat .

Ismét hangsúlyozni kell, hogy a legfontosabb dolog -, hogy folyamatosan hozzon létre egy biztonsági, de nem egy másik mappába, nem cserélhető adathordozót helyezünk a számítógépen, mert a módosítás a vírus, és eléri ezeket a helyeket. Érdemes megtartani mentést egy másik számítógépen, a merevlemez, amely nem tartósan csatlakozik a számítógéphez, és a felhő.

Kell kezelni a gyanút minden dokumentumot, hogy jön az e-mail az ismeretlen emberek (összefoglaló formájában, számla, Felbontás A SAC vagy az adó és mások.). Ezeket nem lehet futtatni a számítógépen (erre a célra a netbook, nem tartalmaz fontos adatokat lehet azonosítani).

*.paycrypt@gmail.com rosszindulatú program: Gyógyszerek

.. Egy olyan helyzetben, ahol a fent említett titkosított vírus CBF fájlokat, doc, jpg, stb, már csak három forgatókönyv:

1. A legegyszerűbb módja annak, hogy megszabadulni ez - távolítsa el az összes fertőzött fájlt (ez elfogadható, ha az adatok nem nagyon fontos).
2. Részletek labor víruskereső program, például Dr. WEB. E-mail fejlesztők több fertőzött fájlokat a szükséges kulcs dekódolni, található a számítógépet KEY.PRIVATE.
3. A legdrágább módja. Azt feltételezi, hogy a fizetés a kért összeget a hackerek visszafejteni fertőzött fájlokat. Jellemzően a költsége ez a szolgáltatás között 200-500 dollár .. Ez elfogadható abban az esetben, ha a vírus titkosítja a fájlokat egy nagy cég, ahol egy jelentős információáramlás zajlik naponta, és ez a rosszindulatú program másodpercben okoz óriási károkat. Ezzel kapcsolatban fizetés - a leggyorsabb változata a helyreállítási fertőzött fájlokat.

Néha hatásos, és egy további lehetőség. Abban az esetben, ha a vírus titkosítja a fájlokat (paycrypt @ gmail_com vagy egyéb rosszindulatú szoftverek) segítségével a rendszer visszaállítja a néhány nappal ezelőtt.

Program visszafejteni RectorDecryptor

Ha a vírus titkosítja a fájlokat jpg, doc, CBF, és így tovább. N., segíthet egy speciális program. Ehhez először ki kell menni az üzembe helyezés, és tiltsa le az összes, de az antivírus. Ezután újra kell indítani a számítógépet. Az összes fájl kijelöléséhez gyanús. A területen néven „Team” mondta a helyét egy adott fájl (kell figyelni, hogy alkalmazások, amelyek nem rendelkeznek az aláírás: a gyártó - nincs adat).

Minden gyanús fájlokat törölni kell, majd meg kell tisztítani a cache böngészők ideiglenes mappa (CCleaner program alkalmas erre a célra).

Ahhoz, hogy indítsa el a dekódolás, meg kell töltse le a fenti programot. Ezután fuss, és kattintson a „Start Scan”, meghatározva a módosított fájlokat és azok kiterjesztése. A modern változata a program csak adja magát a fertőzött fájlt, és kattintson a „Megnyitás”. Ezután a fájlok kódolva.

Ezt követően a segédprogram automatikusan megkeresi az összes számítógépes adatok, beleértve a tárolt fájlok a csatlakoztatott hálózati meghajtó, és dekódolja őket. Ez a helyreállítási folyamat több óráig is eltarthat (attól függően, hogy a munkaterhelés és a sebesség a számítógép).

Ennek eredményeként, a sérült fájlok kerülnek dekódolásra abban a mappában, ahol eredetileg voltak telepítve. A végén csak akkor kell eltávolítani az összes létező fájlok gyanús kiterjesztés, amely akkor tegye le a kullancs a lekérdezés „Törlés titkosított fájlokat, miután sikeres dekódolás” egy előre programozott gomb „Vizsgálati beállítások módosítása”. Azonban jobb, ha nem tesz, mint abban az esetben, egy sikertelen dekódolása fájlokat mehetnek nyugdíjba, majd vissza kell állítani őket először.

Tehát, ha a vírus titkosítja a fájlokat doc, CBF, jpg t. E., ne rohanjon a fizetési kódot. Talán nem volt rá szüksége.

Árnyalatok eltávolítása titkosított fájlok

Amikor megpróbál, hogy megszüntesse a sérült fájlokat a normál keresési, majd ezt követően indulhat lóg, és lassítják a számítógépet. Ezért ezt az eljárást kell használni egy speciális parancsot. Elindítása után meg kell, hogy adja meg a következőket: del «: \ *. » / f / s.

Ügyeljen, hogy törli ezeket a fájlokat a „Read-menya.txt”, amely ugyanabban a parancssorban meg kell határozni: del „: \ *. » / f / s.

Így meg kell jegyezni, hogy ha a vírus megváltoztatta a nevét és titkosítja a fájlokat, akkor nem csak pénzt költeni a vásárlás kiberbűnözők kulcs először meg kell próbálni megérteni a problémát saját. Sokkal jobb, hogy fektessenek be a vásárlás egy speciális programot, hogy megfejtse a sérült fájlok.

Végül érdemes emlékeztetni arra, hogy ez a cikk azt a kérdést, hogy hogyan visszafejteni fájlok titkosított vírus.