Вирусът шифрова файловете и ги преименува. Как да декриптираме файлове, шифровани с вирус

Наскоро се наблюдава скок в дейността на ново поколение злонамерени компютърни програми. Те се появиха достатъчно дълго (преди 6 - 8 години), но скоростта им бе достигнала своя максимум точно сега. Все по-често можете да видите, че вирусът е шифровал файловете.

Вече е известно, че те не са само примитивен злонамерен софтуер, например, блокиране на компютъра (причинявайки появата на син екран) и сериозни програми, насочени към увреждане, обикновено счетоводни данни. Те криптира всички налични файлове в обсег, включително 1C счетоводни данни, docx, xlsx, jpg, doc, xls, pdf, zip.

Специалната опасност от разглежданите вируси

Състои се в това, че в същото време се използва RSA-ключ, който е прикачен към компютър на конкретен потребител, поради което универсалният декодер (Decryptor) отсъства. Вирусите, активирани на един от компютрите, може да не работят в друг компютър.

Опасността е в това, че повече от една година в интернет поставя готови програми строители (Builder), което позволява да се разработи такъв вирус, дори kulhatskeram (лица, които считат себе си за хакери, но не и да се учат програмиране).

Понастоящем са се появили по-мощни модификации.

Начинът за въвеждане на злонамерен софтуер

Вирусът се изпраща целенасочено, по правило, до счетоводния отдел на компанията. На първо място, се събират електронните писма от отделите за персонала, счетоводните отдели от такива бази данни, като например hh.ru. След това изпращаме писма. Най-често съдържат искане за допускане до определена длъжност. Към такова писмо приложен файл с резюме, в което има реален документ с имплантиран обект OLE (pdf файл с вирус).

В ситуации, в които счетоводителите незабавно стартираха този документ, след рестартиране се появи следното: вирусът преименува и шифрова файловете и след това се самоунищожава.

Такова писмо по правило е правилно написано и изпратено от не-кутия (името отговаря на подписа). Свободното работно място се изисква винаги въз основа на профилиращите дейности на компанията, така че да не възникват съмнения.

Нито лицензираната "Kaspersky" (антивирусна програма), нито "Virus Total" (онлайн услуга за тестване на прикачени файлове за вируси) не могат да защитят компютъра в този случай. Понякога някои антивирусни програми сканират, когато сканират, че Gen: Variant.Zusy.71505 е в прикачения файл.

Как да избегнем инфекция с този вирус?

Трябва да проверите всеки получен файл. Особено внимание се отделя на документите на Вордови, които имат вграден pdf файл.

Варианти на "заразените" писма

Има много от тях. Най-често срещаните опции за това как вирусните шифровани файлове са представени по-долу. Във всички случаи следните документи се изпращат на електронна поща:

1. Уведомление за започване на процес на разглеждане на съдебно дело, подадено срещу определена компания (писмото предлага да се проверят данните, като се кликне върху връзката).
2. Писмо от Върховния арбитражен съд на RF за събирането на дълг.
3. Съобщение от Sberbank относно увеличението на съществуващия дълг.
4. Уведомяване за нарушение на правилата за трафик.
5. Писмо от Агенцията за събиране, в което се посочва максималното възможно отлагане на плащането.

Уведомяване за шифроване на файлове

Той ще се появи след заразяването в основната папка на устройството C. Понякога файловете с типа WHAT_DELET.txt, CONTACT.txt се поставят във всички директории с повреден текст. Там потребителят е информиран за криптирането на файловете си, което се извършва чрез надеждни крипто-устойчиви алгоритми. И също така да го предупреди за несправедливостта на използването на трета страна комунални услуги, тъй като това може да доведе до окончателни щети на файловете, което от своя страна ще доведе до невъзможността за тяхното последващо декодиране.

В уведомлението се препоръчва да оставите компютъра в непроменено състояние. Показва времето за съхранение на предоставения ключ (обикновено 2 дни). Представена е точна дата, след която всеки вид лечение ще бъде пренебрегнато.

Накрая се предоставя електронна поща. В него също така се посочва, че потребителят трябва да посочи идентификационния си номер и че някое от следните действия може да доведе до премахването на ключа, а именно:

• обиди;
• искане за подробности без допълнително заплащане;
• заплаха.

Как мога да дешифрирам файлове, шифровани с вирус?

Този вид криптиране е много мощен: файла се определя на разширение като съвършен, nochance др Crack е просто невъзможно, но можете да опитате да се свържете с cryptanalyst и за вратичка изглеждат (в някои ситуации, за да помогне на д-р WEB) ..

Има един начин за възстановяване на шифровани файлове вирус, но той не е подходящ за всички вируси, също трябва да премахнете оригиналния EXE с тази зловредна програма, която е достатъчно трудно да се приложи самоунищожи след това.

Искането на вируса за въвеждането на специален код е малка проверка, тъй като файлът вече има декодер в този момент (кодът няма да се изисква от престъпниците, така да се каже). Същността на този метод е вписването на празни команди в проникналия вирус (вместо сравнението на входния код). Резултатът е, че самата злонамерена програма започва дешифрирането на файлове и по този начин ги възстановява напълно.

Във всеки вирус има своя собствена специална функция за криптиране, което е и причината фирма трета страна изпълними (EXE формат на файла), няма да разшифровате, или можете да се опитате да се избере по-горе функция, която изисква всички действия, извършени на WinAPI.

Вирусът шифрова файловете: какво да правите?

За да извършите процеса на декриптиране, трябва:

1. направите резервно копие (Backup наличните файлове). В края на декрипцията всичко ще си отиде сама.
2. На компютъра (заразен) е необходимо да стартирате тази злонамерена програма, след което изчакайте прозорецът, съдържащ искане за въвеждане на кода, да се появи.
3. След това трябва да започнете от прикачения архивен файл Patcher.exe.
4. Следващата стъпка е да въведете номера на процеса на вируса, след което трябва да кликнете върху бутона "Enter".
5. Появява се съобщението "patched", което означава, че се сравняват командите за сравнение.
6. След това въведете всички знаци в полето за въвеждане на кода и след това кликнете върху бутона "OK".
7. Вирусът започва процеса на декриптиране на файлове, в края на който се ликвидира.

Как да избегнете загуба на данни поради въпросния злонамерен софтуер?

Заслужава да се знае, че в ситуация, в която вирусът криптира файлове за процеса на дешифриране отнеме време. Важното в полза е, че споменатите по-горе зловреден софтуер е налице грешка, която ви позволява да запишете някои файлове, ако бързо изключете компютъра (издърпайте щепсела от контакта, изключете разклонителя, извадете батерията в случай на лаптоп), веднага след като голям брой предварително определени файлове на разширения ,

Още веднъж трябва да се подчертае, че най-важното е постоянното създаване на резервно копие, но не и на друга папка, а не на сменяем носител, вмъкнат в компютъра, тъй като тази модификация на вируса ще достигне тези места. Струва си да запазите резервни копия на друг компютър, на твърд диск, който не е окончателно свързан към компютъра и към облака.

Необходимо е с подозрение да се третират всички документи, които идват по пощата от неизвестни лица (под формата на автобиография, товарителница, решения на Върховния арбитражен съд на РФ или данъчен орган и т.н.). Не ги пускайте на компютъра си (за тази цел можете да изберете нетбук, който не съдържа важни данни).

Злонамерена програма * .paycrypt @ gmail.com: как да поправите

В ситуация, в която горепосоченият вирус криптира файловете cbf, doc, jpg и др., Има само три варианта за развитие на събития:

1. Най-лесният начин да се отървете от него е да изтриете всички заразени файлове (това е приемливо, освен ако данните са особено важни).
2. Отидете в лабораторията на антивирусната програма, например Dr. WEB. Изпратете на разработчиците няколко заразени файла, заедно с дешифриращия ключ, който е на компютъра като KEY.PRIVATE.
3. Най-скъпият начин. Това включва заплащане на сумата, поискана от хакерите за декриптиране на заразените файлове. Като правило цената на тази услуга е в рамките на 200-500 долара. Това е приемливо в ситуация, в която вирусът шифрова файлове на голяма компания, в която всеки ден преминава значителна част от информацията и тази злонамерена програма може да причини огромни щети в рамките на секунди. В това отношение плащането е най-бързата опция за възстановяване на заразените файлове.

Понякога има и допълнителна опция. В случай, че вирусът криптирани файлове (paycrypt @ gmail_com или друг злонамерен софтуер), може да помогне връщането на системата преди няколко дни.

Програма за декодиране на RectorDecryptor

Ако вирусът криптира jpg, doc, cbf и т.н. файлове, тогава може да ви помогне специална програма. За да направите това, първо трябва да влезете в стартирането и да забраните всичко освен антивирусите. След това трябва да рестартирате компютъра. Преглеждайте всички файлове, маркирайте подозрителни. Полето под името "Команда" показва местоположението на даден файл (вниманието трябва да се обърне на приложения, които нямат подпис: производител - няма данни).

Всички подозрителни файлове трябва да бъдат изтрити, след което ще е необходимо да се почистят кеширите на браузъра, временните папки (CCleaner е подходящ за това).

За да започнете декриптирането, трябва да изтеглите горната програма. След това го стартирайте и кликнете върху бутона "Стартиране на сканирането", като посочите променените файлове и тяхното разширение. В съвременните версии на тази програма можете да посочите само заразения файл и да кликнете върху бутона "Отваряне". След това файловете ще бъдат декриптирани.

След това програмата автоматично проверява всички компютърни данни, включително файловете на прикаченото мрежово устройство, и ги декриптира. Този процес на възстановяване може да отнеме няколко часа (в зависимост от количеството работа и скоростта на компютъра).

В резултат на това всички повредени файлове ще бъдат декриптирани в същата директория, където са били първоначално разположени. В края ще трябва само да се премахнат всички съществуващи файлове с подозрително, което можете да поставите отметка надолу в заявката "Изтриване на криптирани файлове след успешно декодиране" чрез натискане на предварително бутона "Промяна на настройките за сканиране". Все пак е по-добре да не го казвате, защото в случай на неуспешно декриптиране на файловете те могат да бъдат изтрити и впоследствие те първо трябва да бъдат възстановени.

Така че, ако вирусът шифрова файловете doc, cbf, jpg и т.н., не бързайте да плащате кода. Може би няма да е необходимо.

Нуанси за премахване на криптирани файлове

Ако се опитате да премахнете всички повредени файлове чрез стандартно търсене и след това да ги изтриете, компютърът може да виси и да се забави. В тази връзка, за тази процедура е целесъобразно да се използва специален командния ред. След като го стартирате, трябва да въведете следното: del «<диск>: *.<разширение на заразения файл> / f / s.

Трябва да изтриете такива файлове като "Read-me.txt", за които трябва да посочите в същия команден ред: del "<диск>: *.<име на файл> / f / s.

По този начин, може да се отбележи, че ако вирусът променя името и криптиране на файлове, трябва не само харчат пари за закупуване на киберпрестъпници ключови първо място е необходимо да се опитаме да разберем проблема сами. По-добре е да инвестирате в закупуването на специална програма за декриптиране на повредени файлове.

Накрая си струва да се припомни, че в тази статия беше разгледан въпросът как да се декриптират файловете, кодирани с вируса.