Den virus krypterer filer og omdøbt. Sådan dekryptere filer krypteret virus

For nylig har der været en bølge af aktivitet på den nye generation af ondsindede computerprogrammer. De optrådte i lang tid (6 - 8 år siden), men tempoet i gennemførelsen toppede nu. Det er i stigende grad konfronteret med det faktum, at virussen filen er krypteret.

Vi ved allerede, at dette ikke bare er en primitiv ondsindet software, for eksempel, at blokere computeren (forårsager blå skærm), og alvorlige programmer med henblik på skader, som regel, de regnskabsmæssige data. De kryptere alle filer, der er inden for rækkevidde, herunder data 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Særlige farer anses virus

Det ligger i det faktum, at dette gælder RSA-nøgle, som er bundet til en bestemt brugers computer, som en konsekvens, er den universelle dekoder (decryptor) mangler. Vira, der er aktive i en af computerne, kan ikke arbejde i en anden.

Faren er også i det faktum, at mere end et år på internettet placeret klar programmer-byggere (Builder), gør det muligt at udvikle en sådan virus, selv kulhatskeram (personer, der anser sig for hackere, men ikke at lære programmering).

I øjeblikket er der mere kraftfuld modifikation.

implementeringsmetode Malware database

Nyhedsbrev virus produceret målbevidst, som regel den regnskabsmæssige afdeling af virksomheden. For det første indsamler e-mails personaleafdelinger, tegner afdelinger af sådanne databaser, f.eks hh.ru. Næste udsender breve. De indeholder ofte en anmodning med hensyn til vedtagelsen af en bestemt position. En sådan et brev vedhæftet fil med et resumé, inden for hvilken den faktiske dokument med en implanteret OLE-objekt (pdf-fil med en virus).

I situationer, hvor regnskabsmedarbejdere straks lanceret dokumentet, efter genstart følgende sker: en virus og omdøbt den krypterede fil, og derefter selvdestruktion.

Denne form for brev er normalt tilstrækkelig skrevet og sendt til nespamerskogo kasse (navn matcher underskrift). Stillingsopslag er altid anmodes på baggrund af profilering af virksomhedens aktiviteter, hvilket er grunden til den mistanke ikke opstår.

Ingen licens "Kaspersky" (antivirussoftware) eller "Virus Total" (online-serviceeftersyn vedhæftede filer for virus) kan ikke beskytte din computer i dette tilfælde. Lejlighedsvis, at nogle antivirusprogrammer scanner problem, at den vedhæftede fil er Gen: Variant.Zusy.71505.

Hvordan man undgår at blive smittet med virussen?

Det er nødvendigt at kontrollere hver modtaget fil. Der lægges særlig vægt vordovsky dokumenter, der er indlejret pdf.

Varianter af "inficerede" meddelelser

En masse af dem. De mest almindelige varianter af virussen krypterer filer er vist nedenfor. I alle tilfælde følgende dokumenter kommer på e-mail:

1. Anmeldelsen om starten på evalueringsprocessen anvendes til en bestemt virksomhed sagsanlæg (brevet tjener til at kontrollere de data, ved at klikke på linket).
2. Brev fra SAC for inddrivelse af gæld.
3. Meddelelse fra Sberbank til en stigning i eksisterende gæld.
4. Indkaldelse til fastsættelse trafik krænkelser.
5. Et brev fra en samling agentur med den maksimalt mulige forsinkelse af betalingen.

Indkaldelse til kryptering

Det vises efter infektion i rodmappen på drev C. Undertiden alle mapper med en beskadiget teksttype placeret ChTO_DELAT.txt filer, CONTACT.txt. Der er brugeren informeret om, hvordan man kryptere sine filer, der er udført af pålidelige kryptografiske algoritmer. Og det advarede om uhensigtsmæssig brug af tredjeparts-værktøjer, da det kan forårsage skade på de endelige filer, hvilket igen vil føre til det umulige i efterfølgende dekryptering.

Meddelelsen anbefales at lade computeren i uændret stand. Den angiver opbevaring leveres af en nøgle (generelt er det 2 dage). Spelt ud af den nøjagtige dato, hvorefter enhver form for behandling vil blive ignoreret.

Ved afslutningen af den givne e-mail. Det fastslås også, at brugeren skal indtaste dit id, og at enhver af følgende handlinger kan resultere i fjernelsen af nøglen, nemlig:

• fornærmelser;
• oplysninger om anmodningen uden yderligere betaling;
• trussel.

Sådan dekryptere filer krypteret virus?

Denne form for kryptering er meget kraftfuld: filen er tildelt en forlængelse som perfekt, nochance osv Crack er simpelthen umuligt, men du kan prøve at tilslutte en cryptanalyst og lede efter et smuthul (i nogle situationer at hjælpe Dr. WEB) ..

Der er en måde at genoprette krypterede filer virus, men det er ikke egnet til alle vira, også nødt til at fjerne den oprindelige exe med dette ondsindede program, hvilket er nok vanskeligt at gennemføre selvdestruktion efter.

Venligst hensyn til virus indførelse af en særlig kode - en lille kontrol, fordi filen på dette tidspunkt allerede har en dekoder (kode, så at sige, er angriberen ikke behøver at). Essensen af denne metode - post i virus trængt (i stedet for sammenligning input selve koden) tomme hold. Resultatet - et skadeligt program i sig selv kører dekryptering af filer og dermed genskaber dem helt.

I hvert virus har sin egen særlige kryptering funktion, hvilket er grunden til en tredjepart eksekverbare (filformat exe) ikke vil dekryptere, eller du kan prøve at vælge den ovennævnte funktion, der forpligter alle handlinger, der udføres på WinAPI.

Den virus krypterer filer: hvad man skal gøre?

For at gennemføre proceduren dekryptering er påkrævet:

1. Lave sikkerhedskopier (backup af eksisterende filer). I slutningen af dekryptere alle det fjerner sig selv.
2. På computeren (ofret), skal du køre dette ondsindede program, derefter vente, indeholder et krav med hensyn til indførelsen af koden, når vinduet vises.
3. Dernæst skal du starte fra den vedhæftede arkivfil Patcher.exe.
4. Det næste skridt er at indføre en række virus proces, så er det nødvendigt at trykke på "virk-".
5. Vil «lappet» budskab, hvilket betyder at gnide instruktioner sammenligning.
6. Dette efterfølges af introduktionen af koden i boksen skrive nogen af de tegn, og derefter klikke på "OK".
7. Den virus begynder processen med at dekryptere filen, hvorefter han fjerner sig selv.

Hvordan at undgå tab af data under hensyntagen til malware?

Det er værd at vide, at i en situation, hvor virussen krypterer filer til processen med dekryptering tage tid. Det vigtige punkt til fordel er, at den ovenfor nævnte malware der er en fejl, der giver mulighed for at spare nogle filer, hvis hurtigt koble computeren (trække stikket ud af stikkontakten, skal du slukke for strømskinne, fjerne batteriet i tilfælde af en bærbar computer), så snart et stort antal tidligere angivne udvidelse filer .

Endnu engang skal det understreges, at det vigtigste - er til stadighed at skabe en sikkerhedskopi, men ikke i en anden mappe, ikke på flytbare medier, der er indsat i computeren, da ændringen af virus og vil nå disse steder. Det er værd at holde sikkerhedskopier på en anden computer, en harddisk, som ikke er permanent fastgjort til computeren, og i skyen.

Bør behandles med mistænksomhed til alle dokumenter, der kommer med posten fra ukendte mennesker (i oversigtsform, faktura, beslutning fra SAC eller afgiften og andre.). De bør ikke køre på din computer (til dette formål netbook, ikke indeholder vigtige data kan identificeres).

*.paycrypt@gmail.com ondsindet program: Retsmidler

.. I en situation, hvor den ovennævnte krypteret virus CBF-filer, doc, jpg, etc., er der kun tre scenarier:

1. Den nemmeste måde at slippe af med det - fjerne alle inficerede filer (det er acceptabelt, hvis data ikke er meget vigtigt).
2. Se lab antivirusprogram, for eksempel, Dr. WEB. E-mail-udviklere flere inficerede filer med den nødvendige nøgle til at dekryptere, som ligger på computeren som KEY.PRIVATE.
3. Den dyreste måde. Han antager betalingen af det ønskede beløb til hackere dekryptere inficerede filer. Typisk er omkostningerne ved denne service er mellem 200 - 500 dollars .. Dette er acceptabelt i en situation, hvor virussen krypterer filer af en stor virksomhed, hvor en væsentlig informationsstrøm sker på daglig basis, og dette ondsindede program kan på få sekunder forårsage enorm skade. I forbindelse med denne betaling - den hurtigste udgave af genopretning af inficerede filer.

Nogle gange er det effektivt og en ekstra mulighed. I det tilfælde, hvor virussen krypterer filer (paycrypt @ gmail_com eller anden skadelig software) kan hjælpe systemet ruller tilbage et par dage siden.

Program til at dekryptere RectorDecryptor

Hvis virus krypterer filer jpg, doc, CBF og så videre. N., Kan hjælpe et særligt program. Til dette har vi først nødt til at gå til start og deaktivere alle, men antivirus. Dernæst skal du genstarte computeren. Se alle filer, fremhæve mistænkelige. I feltet under navnet "Team" udtalte placeringen af en specifik fil (bør være opmærksomme på programmer, der ikke har en signatur: producenten - ingen data).

Alle mistænkelige filer, der skal slettes, så det er nødvendigt at rense cacher browsere midlertidig mappe (CCleaner program er velegnet til dette formål).

For at starte dekryptering, skal du downloade den ovennævnte program. Derefter køre den og klikke på "Start Scan" med angivelse ændrede filer og deres udvidelse. I moderne versioner af programmet kan kun angive sig selv den inficerede fil og klik på "Åbn". Efter dette, vil filerne blive dekrypteret.

Efterfølgende scanner værktøjet automatisk alle edb-data, herunder filer, der er gemt på den tilsluttede netværksdrev, og dekrypterer dem. Denne gendannelsesprocessen kan tage flere timer (afhængigt af arbejdsbyrden og hastigheden af computeren).

Som et resultat, vil alle de ødelagte filer blive dekodet i samme mappe, hvor de oprindeligt blev installeret. Ved udgangen vil det kun nødt til at fjerne alle eksisterende filer med mistænkelige udvidelse, som du kan sætte ned et hak i forespørgslen "Slet krypterede filer efter vellykket afkodning" ved at trykke en pre-knappen "Rediger indstillinger scan". Men det er bedre ikke at sætte, som i tilfældet med en mislykket dekryptering af filer, de kan gå på pension, og derefter nødt til at gendanne dem først.

Så hvis virus krypterer filer doc, CBF, jpg t. E., Bør ikke haste til betaling koden. Måske har han ikke brug for det.

Nuancer fjernelse af krypterede filer

Når du forsøger at fjerne alle de beskadigede filer ved hjælp af en standard søgning og efterfølgende fjernelse kan begynde at hænge og bremse din computer. Derfor, for denne procedure bør du bruge en speciel kommando linje. Efter lanceringen er det nødvendigt at indtaste følgende: del «:. \ * » / f / r.

Vær sikker på at du vil slette disse filer som "Læs-menya.txt", som i den samme kommando linje skal angive: del ": \ * » / f / r..

Således kan det bemærkes, at hvis virus ændret navnet og kryptere filer, du skal ikke bare bruge penge på køb af cyberkriminelle centrale nødvendigt først at forsøge at forstå problemet på egen hånd. Det er bedre at investere i køb af et særligt program til at dekryptere de ødelagte filer.

Endelig er det værd at minde om, at i denne artikel er spørgsmålet om, hvordan man dekryptere filer krypteret virus.