Moja ya programu zisizo za hatari zaidi leo ni trojan au virusi ambavyo vinaficha faili kwenye diski ya mtumiaji. Baadhi ya faili hizi zinaweza kufutwa, na baadhi - bado. Mwongozo una maelekezo ya uwezekano wa vitendo katika hali zote mbili, njia za kuamua aina maalum ya encryption kwenye huduma za No Redemption na ID Ransomware, pamoja na maelezo mafupi ya programu ya kupinga virusi (ransomware).
Kuna marekebisho kadhaa ya virusi kama vile Trojans (na mpya zinaonekana mara kwa mara), lakini kiini cha jumla cha kazi ni kwamba baada ya kufunga faili za hati, picha na faili nyingine ambazo zinaweza kuwa muhimu, zimefichwa na ugani na kufuta faili za awali. basi unapokea ujumbe katika faili ya readme.txt kusema kuwa faili zako zote zimefichwa, na kuzifafanua unahitaji kutuma kiasi fulani kwa mshambulizi. Kumbuka: Mwisho wa Waumbaji wa Windows 10 sasa umejitetea kwenye virusi vya encryption.
Je! Ikiwa data zote muhimu zinafichwa
Kwa mwanzo, maelezo ya jumla kwa encrypting files muhimu kwenye kompyuta yako. Ikiwa data muhimu kwenye kompyuta yako imetambulishwa, basi kwanza kabisa usipaswi hofu.
Ikiwa una fursa hiyo, nakala nakala ya sampuli na ombi la maandishi kutoka kwa mshambuliaji wa decryption, pamoja na mfano wa faili iliyofichwa, kwenye gari la nje (flash drive) kutoka kwenye disk ya kompyuta ambayo virusi-encryptor (ransomware) ilionekana. Zima kompyuta ili virusi haiwezi kuendelea kuficha data, na kufanya vitendo vilivyobaki kwenye kompyuta nyingine.
Hatua inayofuata ni kujua ni aina gani ya virusi data yako iliyofichwa kwa kutumia faili zilizopo zilizofichwa: kwa baadhi yao kuna wanaojitokeza (baadhi nitakuonyesha hapa, baadhi yameonyeshwa karibu na mwisho wa makala), kwa baadhi - sio bado. Lakini hata katika kesi hii, unaweza kutuma mifano ya faili zilizofichwa kwa maabara ya kupambana na virusi (Kaspersky, Dk. Web) kwa ajili ya kujifunza.
Jinsi gani hasa kujua? Unaweza kufanya hivyo kwa kutumia Google, kupata majadiliano au aina ya cryptographer na ugani faili. Pia alianza kuonekana huduma ili kuamua aina ya ransomware.
Hakuna Ransom
Kutolewa tena ni rasilimali inayoendelea kikamilifu inayoungwa mkono na waendelezaji wa zana za usalama na inapatikana katika toleo la Kirusi, ambalo lina lengo la kupambana na virusi na wajumbe wa kiroho (Trojans-extortionists).
Kwa bahati, Ransom hakuna zaidi inaweza kusaidia decrypt hati yako, database, picha na habari nyingine, kushusha programu muhimu kwa decryption, na pia kupata habari ambayo itasaidia kuepuka vitisho vile siku zijazo.
Kutoa Upungufu zaidi, unaweza kujaribu kufuta faili zako na kuamua aina ya virusi vya encryption kama ifuatavyo:
- Bonyeza "Ndiyo" kwenye ukurasa kuu wa huduma //www.nomoreransom.org/ru/index.html
- Ukurasa wa Crypto Sheriff utafungua, ambapo unaweza kupakua mifano ya faili zilizofichwa sio zaidi ya 1 Mb kwa ukubwa (Ninapendekeza kupakia data hakuna siri), na pia kutaja anwani za barua pepe au tovuti ambayo wadanganyifu wanaomba fidia (au kupakua faili ya readme.txt kutoka mahitaji).
- Bonyeza kitufe cha "Angalia" na usubiri hundi na matokeo yake ya kukamilika.
Zaidi ya hayo, tovuti ina sehemu muhimu:
- Decryptors - karibu wote huduma zilizopo sasa kwa decrypting files virusi-encrypted.
- Kuzuia maambukizi - habari inayolenga hasa kwa watumiaji wa novice, ambayo inaweza kusaidia kuepuka maambukizi katika siku zijazo.
- Maswali na Majibu - habari kwa wale wanaotaka kuelewa vizuri kazi ya virusi na vitendo vya encryption katika kesi wakati unakabiliwa na ukweli kwamba faili kwenye kompyuta yako zimefichwa.
Leo, Hakuna tena Ransom ni rasilimali inayofaa zaidi na yenye manufaa inayohusishwa na kufuta faili kwa mtumiaji wa Kirusi, mimi hupendekeza.
Id ransomware
Huduma nyingine kama //id-ransomware.malwarehunterteam.com/ (ingawa sijui jinsi inavyofanya kazi kwa vidonge vya lugha ya Kirusi, lakini ni muhimu kujaribu kwa kulisha huduma mfano wa faili iliyofichwa na faili ya maandishi kwa ombi la fidia).
Baada ya kuamua aina ya kielelezo cha kielelezo, ukifanikiwa, jaribu kutafuta huduma ili kufuta chaguo hili kwa maswali kama: Decryptor Type_Chiler. Huduma hizo ni za bure na zinazalishwa na watengenezaji wa antivirus, kwa mfano, huduma nyingi zinaweza kupatikana kwenye tovuti ya Kaspersky //support.kaspersky.ru/viruses/utility (huduma zingine ziko karibu na mwisho wa makala). Na, kama ilivyoelezwa tayari, usisite kuwasiliana na watengenezaji wa programu za antivirus kwenye vikao vyao au huduma ya barua pepe.
Kwa bahati mbaya, haya yote hayana msaada daima na hawana daima kufanya kazi za faili za faili. Katika hali hii, matukio haya ni tofauti: wengi wanaowalipa, wanawahimiza kuendelea na shughuli hii. Watumiaji wengine husaidiwa na mpango wa kurejesha data kwenye kompyuta (kwa sababu virusi, kwa kufanya faili iliyofichwa, inafuta faili ya kawaida, muhimu ambayo inaweza kinadharia kurejeshwa).
Faili kwenye kompyuta ni encrypted katika xtbl
Mojawapo ya aina za hivi karibuni za virusi vya ransomware zinaficha faili, kuzibadilisha na mafaili na ugani wa .xtbl na jina linalojumuisha kuweka safu ya wahusika.
Wakati huo huo, faili ya maandishi readme.txt imewekwa kwenye kompyuta na takribani maudhui yafuatayo: "Faili zako zilifichwa. Ili kuzifafanua, unahitaji kutuma msimbo kwa anwani ya barua pepe [email protected], [email protected] au [email protected]. utapokea maelekezo yote muhimu. Jitihada za kufuta faili zako mwenyewe zitasababisha upotevu wa habari usiowezekana "(anwani ya barua na maandishi yanaweza kutofautiana).
Kwa bahati mbaya, kwa sasa hakuna njia ya kufuta .xtbl (mara tu inaonekana, maelekezo yatasasishwa). Watumiaji wengine ambao walikuwa na taarifa muhimu sana kwenye kompyuta zao huripoti kwenye vikao vya kupambana na virusi ambavyo walituma rubles 5000 au kiasi kingine kinachohitajika kwa waandishi wa virusi na kupokea kushuka, lakini hii ni hatari sana: huwezi kupata kitu chochote.
Nini ikiwa files zilifichwa katika .xtbl? Mapendekezo yangu ni kama ifuatavyo (lakini hutofautiana na wale kwenye maeneo mengine mengi ya kimazingira, ambapo, kwa mfano, wanashauri kwamba uzima kompyuta kutoka kwa nguvu mara moja au usiondoe virusi.Kwa maoni yangu, hii si lazima, na kwa hali fulani inaweza hata kuwa madhara, hata hivyo unaamua.):
- Ikiwa unaweza, kuepuka mchakato wa encryption kwa kuondoa kazi zinazohusiana katika meneja wa kazi, kukataza kompyuta yako kutoka kwenye mtandao (hii inaweza kuwa hali muhimu kwa encryption)
- Kumbuka au kuandika kanuni ambazo washambuliaji wanahitaji kutuma kwa anwani ya barua pepe (sio kwenye faili ya maandishi kwenye kompyuta, tu ikiwa ni hivyo, ili pia haifai kuwa sajili).
- Kutumia Malwarebytes Antimalware, toleo la majaribio la Kaspersky Internet Security au Dr.Web Cure It kuondoa virusi ambazo zinaficha files (zana zote hapo juu zinafanya kazi nzuri na hili). Ninakushauri kugeuka kwa kutumia bidhaa ya kwanza na ya pili kutoka kwenye orodha (ingawa, ikiwa una antivirus imewekwa, kufunga moja ya pili "juu" haipaswi, kwa sababu inaweza kusababisha matatizo katika uendeshaji wa kompyuta.)
- Subiri kampuni ya kupambana na virusi kuonekana. Katika mbele hapa ni Kaspersky Lab.
- Unaweza pia kutuma mfano wa faili iliyofichwa na msimbo unaohitajika [email protected], ikiwa una nakala ya faili moja kwa fomu isiyojulikana, tuma tena. Kwa nadharia, hii inaweza kuharakisha kuonekana kwa decoder.
Nini si kufanya:
- Rejesha faili zilizofichwa, ubadili ugani na uwafute ikiwa ni muhimu kwako.
Huenda hii yote niweza kusema kuhusu faili zilizofichwa na ugani wa .xtbl kwa hatua hii kwa wakati.
Faili zinafichwa bora_call_saul
Virusi vya hivi karibuni vya encryption ni Bora Call Saul (Trojan-Ransom.Win32.Shade), ambayo huweka ugani wa .better_call_saul kwa faili zilizofichwa. Jinsi ya kufuta faili hizo hazija wazi. Watumiaji hao ambao waliwasiliana na Kaspersky Lab na Dr.Web walipokea habari kwamba hii haiwezi kufanywa kwa wakati (lakini jaribu kutuma hata hivyo - sampuli zaidi za faili zilizofichwa kutoka kwa watengenezaji = zaidi uwezekano wa kutafuta njia).
Ikiwa inageuka kuwa umepata njia ya kufuta (kwa mfano, imewekwa mahali fulani, lakini sikufuata), tafadhali ushiriki maelezo katika maoni.
Trojan-Ransom.Win32.Aura na Trojan-Ransom.Win32.Rakhni
Trojan zifuatazo ambazo zimefungua faili na kuziongeza upanuzi kutoka kwenye orodha hii:
- imefungwa
- .chuma
- .kraken
- .AES256 (sio lazima trojan hii, kuna wengine kuanzisha ugani sawa).
- .codercsu @ gmail_com
- .a
- .oshit
- Na wengine.
Ili kufuta faili baada ya uendeshaji wa virusi hivi, tovuti ya Kaspersky ina huduma ya bure, RakhniDecryptor, inapatikana kwenye ukurasa rasmi //support.kaspersky.com/viruses/disinfection/10556.
Pia kuna maagizo ya kina kuhusu jinsi ya kutumia utumiaji huu, kuonyesha jinsi ya kuokoa faili zilizofichwa, ambazo ningependa tu kuondoa kipengee "Futa faili zilizofichwa baada ya kufuta mafanikio" (ingawa nadhani kila kitu kitafaa na chaguo iliyowekwa).
Ikiwa una leseni ya kupambana na virusi vya DrWeb, unaweza kutumia uhuru bure kutoka kampuni hii katika //support.drweb.com/new/free_unlocker/
Vipengele vingi vya virusi vya encryption
Zaidi mara chache, lakini pia kuna Trojans zifuatazo, kuandika faili na kuhitaji pesa kwa ajili ya kufuta. Viungo vinavyotolewa havio tu huduma za kurudi kwa mafaili yako, bali pia maelezo ya ishara ambayo itasaidia kuamua kuwa una virusi fulani. Ingawa kwa ujumla, njia bora zaidi: kwa msaada wa Kaspersky Anti-Virus, soma mfumo, tafuta jina la Trojan kulingana na uainishaji wa kampuni hii, na kisha utafute kazi kwa jina hilo.
- Trojan-Ransom.Win32.Rector ni shirika la bure la RectorDecryptor kwa uamuzi na matumizi ya mwongozo inapatikana hapa: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist ni Trojan kama hiyo inayoonyesha dirisha kuuliza wewe kutuma SMS kulipwa au kuwasiliana kupitia e-mail kwa maagizo juu ya kuamua. Maagizo ya kurejesha faili zilizofichwa na shirika la XoristDecryptor kwa hili ni kwenye ukurasa //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 matumizi
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 na wengine kwa jina moja (wakati wa kutafuta kupitia DrWeb kupambana na virusi au Cure It utility) na namba tofauti - jaribu kutafuta mtandao kwa jina la Trojan. Kwa baadhi yao kuna huduma za uchapishaji wa DkWeb, pia, ikiwa huwezi kupata huduma, lakini kuna leseni ya DrWeb, unaweza kutumia ukurasa rasmi //support.drweb.com/new/free_unlocker/
- CryptoLocker - kufuta faili baada ya kuendesha CryptoLocker, unaweza kutumia tovuti //decryptcryptolocker.com - baada ya kutuma faili ya sampuli, utapokea ufunguo na huduma ili kurejesha faili zako.
- Kwenye tovuti//bitbucket.org/jadacyrus/ransomwareremovalkit/downloads inapatikana Ransomware Removal Kit - archive kubwa na habari juu ya aina tofauti ya cryptographers na huduma decryption (kwa Kiingereza)
Kwa kweli, kutokana na habari za hivi karibuni - Kaspersky Lab, pamoja na maafisa wa utekelezaji wa sheria kutoka Uholanzi, waliendeleza Decryptor ya Ransomware (//noransom.kaspersky.com) ili kufuta faili baada ya CoinVault, hata hivyo, mshambuliaji huyu bado hajaonekana katika latitudes yetu.
Anti-virusi vya encryptors au ransomware
Kwa kuenea kwa Mfuko wa Wanyama, wazalishaji wengi wa zana za kupambana na virusi na kupambana na zisizo walianza kufungua ufumbuzi wao ili kuzuia encryption kwenye kompyuta, kati yao ni:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Lakini: programu hizi hazijapangwa kufuta, lakini ni kuzuia ufichi wa faili muhimu kwenye kompyuta yako. Na kwa ujumla, inaonekana kwangu kwamba kazi hizi zinapaswa kutekelezwa katika bidhaa za kupambana na virusi, vinginevyo hali ya ajabu inapatikana: mtumiaji anahitaji kuweka antivirus kwenye kompyuta, njia ya kupambana na AdWare na Malware, na sasa pia shirika la Anti-ransomware, pamoja na tu kama kesi Anti- kutumia.
Kwa njia, ikiwa ghafla inageuka kuwa una kitu cha kuongeza (kwa sababu kama siwezi kuwa na muda wa kufuatilia kinachotokea kwa njia za decryption), ripoti katika maoni, habari hii itawafaa kwa watumiaji wengine ambao wamekutana na tatizo.
