Компютърен вирус рансъмуер. Ransomware вирус

Вълна от нов вирус от ransomware, WannaCry (други имена Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), който криптира документи на компютър и изнудва 300-600 USD за тяхното декодиране, обхвана целия свят. Как да разбера дали компютърът ми е заразен? Какво трябва да се направи, за да не стане жертва? И какво да направите, за да се възстановите?

След като инсталирате актуализациите, компютърът ще трябва да се рестартира.

Как да се възстановя от вируса на ransomware Wana Decrypt0r?

Когато антивирусната програма открие вирус, тя или ще я премахне незабавно, или ще ви помоли да я лекувате или не? Отговорът е да се лекува.

Как да възстановим файлове, криптирани от Wana Decryptor?

В момента не можем да съобщим нищо утешително. Досега не е създаден инструмент за декриптиране на файлове. Засега остава само да изчакаме разработването на декриптора.

Според Брайън Кребс, експерт по компютърна сигурност, престъпниците са получили досега само 26 000 щатски долара, тоест само около 58 души са се съгласили да платят откупа на рансъмуера. Дали са възстановили документите си едновременно, никой не знае.

Как да спрем разпространението на вируса в мрежата?

В случай на WannaCry, решението на проблема може да бъде блокиране на порт 445 на защитната стена (защитна стена), през който се извършва инфекцията.

Сами по себе си вирусите като компютърна заплаха не изненадват никого днес. Но ако по -рано те са повлияли на системата като цяло, причинявайки неизправности в нейното изпълнение, днес, с появата на такова разнообразие като вирус -рансъмуер, действията на проникваща заплаха засягат повече потребителски данни. Това е може би дори по-голяма заплаха от разрушителните за Windows изпълними приложения или аплети за шпионски софтуер.

Какво е вирус от ransomware?

Сам по себе си кодът, написан в самокопиращ се вирус, предполага криптиране на почти всички потребителски данни със специални криптографски алгоритми, без това да засяга системните файлове на операционната система.

Отначало логиката на въздействието на вируса не беше напълно ясна за мнозина. Всичко стана ясно едва когато хакерите, създали такива аплети, започнаха да искат пари за възстановяване на първоначалната файлова структура. В същото време, поради своите особености, самият проникнал ransomware вирус не позволява декриптиране на файлове. За да направите това, имате нужда от специален декриптор, ако желаете, код, парола или алгоритъм, необходим за възстановяване на желаното съдържание.

Принципът на проникване в системата и работата на кода на вируса

По правило е доста трудно да се "вземе" такава мръсотия в интернет. Основният източник на разпространение на „инфекцията“ е електронната поща на ниво програми, инсталирани на конкретен компютърен терминал като Outlook, Thunderbird, Прилепъти т.н. Забележете веднага: това не се отнася за пощенските сървъри в Интернет, тъй като те имат достатъчно висока степен на защита, а достъпът до потребителски данни е възможен само на ниво

Друго нещо е приложение на компютърен терминал. Именно тук полето за действие на вирусите е толкова широко, че е невъзможно да си представим. Вярно е, че също си струва да направите резервация тук: в повечето случаи вирусите са насочени към големи компании, от които можете да „изтръгнете“ пари за предоставяне на код за декриптиране. Това е разбираемо, защото не само на локални компютърни терминали, но и на сървърите на такива компании, не само напълно, но и файлове, така да се каже, в едно копие, които в никакъв случай не подлежат на унищожаване. И след това дешифрирането на файлове след вируса на ransomware става доста проблематично.

Разбира се, дори обикновен потребител може да бъде подложен на такава атака, но в повечето случаи това е малко вероятно, ако следвате най -простите препоръки за отваряне на прикачени файлове с разширения с неизвестен тип. Дори ако имейл клиентът открие прикачен файл с разширение .jpg като стандартно графичен файл, първо трябва да се провери със стандарта, инсталиран в системата.

Ако това не бъде направено, когато го отворите с двойно щракване (стандартен метод), активирането на кода ще започне и ще започне процесът на шифроване, след което същият Breaking_Bad (криптиращ вирус) не само ще бъде невъзможно да бъде изтрит, но файловете няма да могат да бъдат възстановени след отстраняването на заплахата.

Общите последици от проникването на всички вируси от този тип

Както вече споменахме, повечето вируси от този тип влизат в системата по имейл. Е, да речем, че голяма организация получава писмо на определена препоръчана поща със съдържание като „Променихме договора, сканирайте в прикачения файл“ или „Изпратена ви е фактура за изпращането на стоки (има копие) ”. Естествено, нищо неподозиращ служител отваря файла и ...

Всички потребителски файлове на ниво офис документи, мултимедия, специализирани проекти на AutoCAD или всякакви други архивни данни незабавно се криптират и ако компютърният терминал е в локална мрежа, вирусът може да се предава по -нататък, криптиране на данни на други машини (това става забележимо веднага, когато системата "забави" и замрази програми или изпълнявани в момента приложения).

В края на процеса на криптиране самият вирус очевидно изпраща своеобразен доклад, след което компанията може да получи съобщение, че такава и такава заплаха е навлязла в системата и че само такава и такава организация може да я дешифрира . Обикновено това се отнася за вируса [защитен имейл]Следва изискването да се плащат услугите за декриптиране с предложението да се изпратят няколко файла до имейла на клиента, което най -често е фиктивно.

Вреда от излагане на код

Ако някой все още не е разбрал: декриптирането на файлове след вируса на ransomware е доста труден процес. Дори и да не "доведете" до исканията на киберпрестъпниците и да се опитате да включите официални държавни агенции в борбата с компютърните престъпления и тяхното предотвратяване, обикновено нищо добро няма да се получи.

Ако изтриете всички файлове, произведете и дори копирате оригиналните данни от сменяеми носители (разбира се, ако има такова копие), все пак, когато вирусът се активира, всичко ще бъде криптирано отново. Така че не трябва да се ласкаете, особено след като едно и също флаш устройство е поставено в USB порта, потребителят дори няма да забележи как вирусът ще шифрова данните на него. Тогава определено няма да заобиколите проблемите.

Първороден в семейството

Сега нека насочим вниманието си към първия вирус от ransomware. Как да излекувате и декриптирате файлове след излагане на изпълнимия код, приложен в прикачен файл към имейл с оферта за запознанства, по време на появата му, никой не си помисли. Осъзнаването на мащабите на бедствието дойде само с времето.

Този вирус имаше романтичното име „Обичам те“. Нищо неподозиращ потребител отвори прикачен файл в електронно съобщение и получи напълно невъзможни за възпроизвеждане мултимедийни файлове (графики, видео и аудио). Тогава обаче подобни действия изглеждаха по -разрушителни (увреждащи медийните библиотеки на потребителите) и никой не искаше пари за това.

Най -новите модификации

Както можете да видите, еволюцията на технологиите се превърна в доста печеливш бизнес, особено като се има предвид, че много ръководители на големи организации веднага бягат да плащат за декриптиране, като изцяло не мислят, че това може да загуби както пари, така и информация.

Между другото, не гледайте всички тези "леви" публикации в интернет, те казват: "Платих / платих необходимата сума, изпратиха ми код, всичко беше възстановено." Глупости! Всичко това е написано от самите разработчици на вируса с цел привличане на потенциални, извинете ме, "гадни". Но според стандартите на обикновен потребител сумите за плащане са доста сериозни: от стотици до няколко хиляди или десетки хиляди евро или долари.

Сега нека да разгледаме най -новите видове вируси от този тип, които са записани сравнително наскоро. Всички те са практически сходни и принадлежат не само към категорията ransomware, но и към групата на така наречените ransomware. В някои случаи те действат по -правилно (като paycrypt), като изпращане на официални бизнес предложения или съобщения, че някой се грижи за безопасността на потребителя или организацията. Такъв ransomware вирус просто подвежда потребителя със съобщението си. Ако той предприеме и най -малкото действие, за да плати, всичко - „разводът“ ще бъде в пълен размер.

XTBL вирус

Сравнително скорошната може да се припише на класическата версия на рансъмуера. По правило той влиза в системата чрез имейл съобщения, съдържащи прикачени файлове под формата на файлове, от които е стандартно за скрийнсейвъра на Windows. Системата и потребителят смятат, че всичко е наред и активират преглеждането или запазването на прикачения файл.

Уви, това води до тъжни последици: имената на файловете се преобразуват в набор от знаци, а .xtbl се добавя към основното разширение, след което на желания имейл адрес се изпраща съобщение за възможността за декриптиране след плащане на посочения сума (обикновено 5 хиляди рубли).

CBF вирус

Този вид вирус също принадлежи към класиката на жанра. Той се появява в системата след отваряне на прикачени файлове към електронна поща и след това преименува потребителски файлове, като добавя разширение като .nochance или .perfect в края.

За съжаление, не е възможно да се дешифрира този вид вируси от ransomware, за да се анализира съдържанието на кода дори на етапа на появата му в системата, тъй като след като приключи действията си, той се самоунищожава. Дори това, което мнозина смятат за универсален инструмент като RectorDecryptor, не помага. Отново потребителят получава писмо с искане за плащане, за което се дават два дни.

Breaking_Bad вирус

Този тип заплаха работи по същия начин, но преименува файловете стандартно, като добавя .breaking_bad към разширението.

Ситуацията не се ограничава до това. За разлика от предишните вируси, този може да създаде друго разширение - .Heisenberg, така че не винаги е възможно да се намерят всички заразени файлове. Така че Breaking_Bad (ransomware вирус) е доста сериозна заплаха. Между другото, има случаи, когато дори лицензиран пакет на Kaspersky Защита на крайната точка 10 пропуска този вид заплахи.

Вирус [защитен имейл]

Ето още една, може би най -сериозната заплаха, която е насочена най -вече към големи търговски организации. По правило до някой отдел идва писмо, което изглежда съдържа промени в договора за доставка или дори само фактура. Прикаченият файл може да съдържа обикновен .jpg файл (например изображение), но по -често изпълним script.js (аплет на Java).

Как да декриптираме този тип вируси от ransomware? Съдейки по факта, че там се използва някакъв неизвестен алгоритъм RSA-1024, няма как. Както подсказва името, това е 1024-битова система за криптиране. Но ако някой си спомня, днес 256-битовият AES се счита за най-напредналия.

Вирус за шифроване: как да дезинфекцирате и декриптирате файлове с помощта на антивирусен софтуер

Към днешна дата не са намерени решения от този тип за декриптиране на заплахи от този тип. Дори такива майстори в областта на антивирусната защита като Kaspersky, Dr. Web и Eset не могат да намерят ключа за решаване на проблема, когато вирус -рансъмуер го е наследил в системата. Как да дезинфекцирам файловете? В повечето случаи се предлага да се изпрати заявка до официалния уебсайт на разработчика на антивирус (между другото, само ако системата има лицензиран софтуер на този разработчик).

В този случай трябва да прикачите няколко шифровани файла, както и техните "здрави" оригинали, ако има такива. Като цяло, малко хора запазват копия от данни, така че проблемът с тяхното отсъствие само изостря и без това неприятната ситуация.

Възможни начини за ръчно идентифициране и премахване на заплахата

Да, сканирането с конвенционални антивируси открива заплахи и дори ги премахва от системата. Но какво ще кажете за информацията?

Някои хора се опитват да използват програми за декодиране като споменатата вече помощна програма RectorDecryptor (RakhniDecryptor). Нека веднага отбележим: това няма да помогне. А в случая на вируса Breaking_Bad, той може само да навреди. И затова.

Факт е, че хората, които създават такива вируси, се опитват да се защитят и да дадат насоки на другите. Когато използвате помощни програми за декриптиране, вирусът може да реагира по такъв начин, че цялата система да "отлети" и с пълното унищожаване на всички данни, съхранявани на твърди дисковеили в логически дялове. Това е, така да се каже, показателен урок за назидание на всички, които не искат да плащат. Можем да разчитаме само на официалните антивирусни лаборатории.

Кардинални методи

Ако обаче нещата са наистина зле, ще трябва да жертвате информацията. За да се отървете напълно от заплахата, трябва да форматирате целия твърд диск, включително виртуални дялове, и след това да инсталирате отново „операционната система“.

За съжаление няма друг изход. Дори до определена запазена точка за възстановяване няма да помогне. Вирусът може да изчезне, но файловете ще останат криптирани.

Вместо послесловие

В заключение трябва да се отбележи, че ситуацията е следната: вирус от ransomware прониква в системата, извършва мръсните си действия и не се лекува от никакви известни методи... Антивирусната защита не беше готова за този вид заплахи. От само себе си се разбира, че можете да откриете вирус след излагане или да го премахнете. Но шифрованата информация ще остане грозна. Така че човек би искал да се надява, че най -добрите умове на компаниите за антивирусен софтуер все пак ще намерят решение, въпреки че, съдейки по алгоритмите за криптиране, ще бъде много трудно да се направи. Спомнете си например машината за криптиране Enigma, която германският флот имаше по време на Втората световна война. Най -добрите криптографи не могат да решат проблема с алгоритъма за декриптиране на съобщения, докато не се докопат до устройството. Така е и тук.

Преди около седмица или две в мрежата се появи друга работа на съвременните производители на вируси, която криптира всички потребителски файлове. Още веднъж ще разгледам въпроса как да излекувам компютър след ransomware вирус crypted000007и възстановяване на криптирани файлове. В този случай не се появи нищо ново и уникално, просто модификация на предишната версия.

Гарантирано декриптиране на файлове след вируса на ransomware - dr-shifro.ru. Подробностите за работата и схемата на взаимодействие с клиента са по -долу в моята статия или на уебсайта в раздел "Работна процедура".

Описание на вируса на ransomware CRYPTED000007

Рансъмуерният софтуер CRYPTED000007 не се различава коренно от своите предшественици. Той действа практически едно към едно като. Но все пак има няколко нюанса, които го отличават. Ще ви разкажа за всичко по ред.

Той идва, както и неговите колеги, по пощата. Използват се техники за социално инженерство, така че потребителят със сигурност ще се заинтересува от писмото и ще го отвори. В моя случай писмото беше за някакъв съд и за важна информацияпо делото в прикачения файл. След като стартира прикачения файл, потребителят отваря документ на Word с извлечение от Арбитражния съд в Москва.

Паралелно с отварянето на документа започва криптиране на файлове. Информационно съобщение от системата за контрол на потребителските акаунти на Windows започва да се появява постоянно.

Ако сте съгласни с предложението, тогава резервните копия на файлове в сенчестите копия на Windows ще бъдат изтрити и възстановяването на информация ще бъде много трудно. Очевидно в никакъв случай не трябва да се съгласявате с предложението. В този ransomware тези заявки изскачат постоянно, едно по едно и не спират, принуждавайки потребителя да се съгласи и да изтрие архивите. Това е основната разлика от предишните модификации на ransomware. Никога не съм срещал заявки за изтриване на копия в сянка без спиране. Обикновено след 5-10 изречения те спират.

Ще ви дам препоръка за в бъдеще. Много често хората изключват сигналите за контрол на потребителските акаунти. Това не е необходимо. Този механизъмнаистина може да помогне в борбата с вирусите. Вторият очевиден съвет е да не работите постоянно сметкакомпютърен администратор, ако това не е обективно необходимо. В този случай вирусът няма да може да навреди много. Ще имате по -голям шанс да му устоите.

Но дори и да отговаряте отрицателно на исканията за ransomware през цялото време, всичките ви данни вече са криптирани. След като процесът на шифроване приключи, ще видите снимка на работния плот.

В същото време на работния плот ще има много текстови файлове със същото съдържание.

Вашите файлове бяха криптирани. За да декодирате ux, трябва да прочетете кода: 329D54752553ED978F94 | 0 на имейл адреса [защитен имейл]... Отсега нататък ще получавате всички необходими контроли. Опитайте се сами да го дешифрирате, няма да доведе до нищо, в допълнение към неотменимия брой информация. Ако все пак искате да опитате, не забравяйте да архивирате файловете предварително, в противен случай в случай на ux промяна на декриптирането няма да е невъзможно при никакви обстоятелства. Ако не получите съобщение на горния адрес в рамките на 48 часа (само в този случай!), Използвайте формата за контакт. Това може да стане по два начина: 1) Изтеглете ycma и актуализирайте браузъра Tor от връзката: https://www.torproject.org/download/download-easy.html.bg В директорията на Tor Browser въведете adpеc: http: // crypt7 .onion / и натиснете Enter. Страницата с формуляра за обратна връзка се зарежда. 2) Във всеки браузър отидете на един от адресите: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Всички важни файлове на вашия компютър бяха шифровани. За да декриптирате файловете, трябва да изпратите следния код: 329D54752553ED978F94 | 0 на имейл адрес [защитен имейл]... След това ще получите всички необходими инструкции. Всички опити за декриптиране сами ще доведат само до неотменима загуба на вашите данни. Ако все пак искате да опитате да ги декриптирате сами, първо направете резервно копие, защото дешифрирането ще стане невъзможно в случай на промени във файловете. Ако не сте получили отговора от горепосочения имейл за повече от 48 часа (и само в този случай!), Използвайте формата за обратна връзка. Можете да го направите по два начина: 1) Изтеглете Tor Browser от тук: https://www.torproject.org/download/download-easy.html.bg Инсталирайте го и въведете следния адрес в адресната лента: http:/ /cryptsen7fo43rr6.onion/ Натиснете Enter и тогава страницата с формуляр за обратна връзка ще се зареди. 2) Отидете на един от следните адреси във всеки браузър: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Пощенският адрес подлежи на промяна. Попаднах на такива адреси:

• [защитен имейл]
• [защитен имейл]

Адресите се актуализират постоянно, така че могат да бъдат напълно различни.

Веднага щом установите, че файловете са криптирани, незабавно изключете компютъра. Това трябва да се направи, за да се прекъсне процеса на шифроване както на локалния компютър, така и на мрежовите устройства. Вирусът на ransomware може да криптира цялата информация, която може да достигне, включително на мрежови устройства. Но ако има голямо количество информация, това ще отнеме значително време за това. Понякога дори за няколко часа рансъмуерът нямаше време да шифрова всичко на мрежово устройство с капацитет около 100 гигабайта.

След това трябва да помислите внимателно как да действате. Ако по всякакъв начин имате нужда от информация на компютъра си и нямате резервни копия, тогава е по -добре да се свържете с специалистите в този момент. Не е задължително за пари в някои компании. Просто се нуждаете от някой, който е добре запознат информационни системи... Необходимо е да се оцени мащаба на бедствието, да се премахне вирусът, да се събере цялата налична информация за ситуацията, за да се разбере как да се процедира.

Неправилните действия на този етап могат значително да усложнят процеса на декриптиране или възстановяване на файлове. В най -лошия случай те могат да направят това невъзможно. Затова отделете време, бъдете спретнати и последователни.

Как вирусът на рансъмуер CRYPTED000007 криптира файлове

След като вирусът е стартиран и приключи своята дейност, всички полезни файлове ще бъдат криптирани, преименувани от extension.crypted000007... Освен това ще бъде заменено не само разширението на файла, но и името на файла, така че няма да знаете точно какви файлове сте имали, ако не си спомняте себе си. Картината ще бъде нещо подобно.

В такава ситуация ще бъде трудно да се оцени мащаба на трагедията, тъй като няма да можете да си спомните напълно какво сте имали през различни папки... Това беше направено нарочно, за да се обърка човек и да се предизвика плащане за дешифриране на файлове.

И ако сте шифровали и мрежови папкии няма пълни архиви, тогава това може да спре работата на цялата организация. Няма да разберете веднага какво е загубено в крайна сметка, за да започнете възстановяването.

Как да почистите компютъра си и да премахнете CRYPTED000007 ransomware

Вирусът CRYPTED000007 вече е на вашия компютър. Първият и най -много основен въпрос- как да излекувате компютъра си и как да премахнете вирус от него, за да предотвратите по -нататъшно шифроване, ако все още не е завършено. Веднага ви обръщам внимание, че след като сами започнете да извършвате някои действия с компютъра си, шансовете за декриптиране на данните намаляват. Ако по всякакъв начин трябва да възстановите файлове, не докосвайте компютъра, а незабавно се свържете с професионалистите. По -долу ще говоря за тях и ще дам линк към сайта и ще опиша схемата на тяхната работа.

Междувременно ще продължим независимо лечение на компютъра и премахване на вируса. Традиционно рансъмуерът лесно се премахва от компютър, тъй като вирусът изобщо няма задача да остане на компютъра. След пълно шифроване на файловете за него е още по-изгодно да се самоизтрива и изчезва, така че би било по-трудно да се разследва инициатора и да се дешифрират файловете.

Трудно е да се опише ръчното премахване на вируса, въпреки че се опитах да го направя и преди, но виждам, че най -често е безсмислено. Имената на файловете и местоположението на вируса се променят постоянно. Това, което видях, вече не е актуално след седмица -две. Обикновено вирусите се изпращат по пощата на вълни и всеки път има нова модификация, която все още не е открита от антивирусния софтуер. Помагат универсалните инструменти, които проверяват автоматичното стартиране и откриват подозрителна активност в системните папки.

За да премахнете вируса CRYPTED000007, можете да използвате следните програми:

1. Инструмент за премахване на вируси на Kaspersky-помощна програма от Kaspersky http://www.kaspersky.com/antivirus-removal-tool.
2. Dr.Web CureIt! - подобен продукт от друга мрежа http://free.drweb.ru/cureit.
3. Ако първите две помощни програми не помогнат, опитайте MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Най -вероятно един от тези продукти ще изчисти компютъра от рансъмуера CRYPTED000007. Ако изведнъж се случи, че те не помагат, опитайте се да премахнете вируса ръчно. Дадох метода за премахване с помощта на пример и можете да го видите там. Накратко, стъпка по стъпка, тогава трябва да действате така:

1. Разглеждаме списъка с процеси, като преди това добавихме няколко допълнителни колони към диспечера на задачите.
2. Намираме процеса на вируса, отваряме папката, в която седи, и го изтриваме.
3. Изчистваме споменаването на вирусния процес от името на файла в системния регистър.
4. Рестартирайте и се уверете, че вирусът CRYPTED000007 не е в списъка с работещи процеси.

Къде да изтеглите декодера CRYPTED000007

Въпросът за прост и надежден декриптор възниква преди всичко, когато става въпрос за вирус от ransomware. Първото нещо, което препоръчвам, е да използвате услугата https://www.nomoreransom.org. Ами ако имате късмет, те ще имат декриптор за вашата версия на рансъмуера CRYPTED000007. Веднага ще кажа, че нямате много шансове, но опитът не е изтезание. На начална страницащракнете върху Да:

След това изтеглете няколко шифровани файла и натиснете Go! Разбирам:

По време на това писане на сайта нямаше декодер.

Може да имате повече късмет. Можете също така да се запознаете със списъка на декрипторите за изтегляне на отделна страница - https://www.nomoreransom.org/decryption-tools.html. Може би там има нещо полезно. Когато вирусът е много свеж, има малък шанс за това, но с течение на времето може да се появи нещо. Има примери, когато в мрежата се появиха декриптори за някои модификации на шифровачи устройства. И тези примери са на посочената страница.

Къде другаде мога да намеря декодер, не знам. Малко вероятно е той действително да съществува, предвид особеностите на работата на съвременния рансъмуер. Само авторите на вируса могат да имат пълноценен декодер.

Как да декриптирате и възстановите файлове след вируса CRYPTED000007

Какво да направите, когато вирусът CRYPTED000007 криптира вашите файлове? Техническото изпълнение на криптиране не позволява декриптиране на файлове без ключ или декриптор, каквито има само авторът на шифроващия апарат. Може би има друг начин да го получа, но нямам такава информация. Просто трябва да се опитаме да възстановим файловете по удобни методи. Те включват:

• Инструмент сенчести копияпрозорци.
• Изтрит софтуер за възстановяване на данни

Първо, нека проверим дали имаме активирани сенчести копия. Този инструмент работи по подразбиране в Windows 7 и по -нови версии, освен ако не го деактивирате ръчно. За да проверите, отворете свойствата на компютъра и отидете в секцията за защита на системата.

Ако по време на заразяване не сте потвърдили искането на UAC за изтриване на файлове в сенчести копия, тогава някои данни трябва да останат там. Говорих по -подробно за това искане в началото на историята, когато говорих за работата на вируса.

За удобно възстановяване на файлове от сенчести копия предлагам да използвате безплатна програма за това - ShadowExplorer. Изтеглете архива, разопаковайте програмата и я стартирайте.

Ще се отвори последното копие на файловете и коренът на устройството C. В горния ляв ъгъл можете да изберете резервно копие, ако имате повече от един. Проверете различните копия за файловете, които искате. Сравнете по дати, където е най -новата версия. В моя пример по -долу намерих 2 файла на работния плот преди три месеца, когато бяха редактирани за последно.

Успях да възстановя тези файлове. За да направя това, ги избрах, щракнах с десния бутон, избрах Експорт и посочих папката, където да ги възстановя.

Можете да възстановите папки веднага по същия начин. Ако копията в сянка са работили за вас и не сте ги изтрили, имате доста шансове да възстановите всички или почти всички файлове, криптирани от вируса. Може би някои от тях ще бъдат повече Стара версияотколкото бихме искали, но въпреки това е по -добре от нищо.

Ако по някаква причина нямате сенчести копия на файлове, единственият шанс да получите поне нещо от шифрованите файлове е да ги възстановите с помощта на инструменти за възстановяване изтрити файлове... За да направите това, предлагам да използвате безплатната програма Photorec.

Стартирайте програмата и изберете диска, на който ще възстановявате файлове. Стартирането на графичната версия на програмата изпълнява файла qphotorec_win.exe... Необходимо е да изберете папката, в която ще бъдат поставени намерените файлове. По -добре е тази папка да не се намира на същото устройство, където търсим. Свържете USB флаш устройство или външно устройство HDDза това.

Процесът на търсене ще отнеме много време. В края ще видите статистика. Сега можете да отидете в предварително посочената папка и да видите какво е намерено там. Най -вероятно ще има много файлове и повечето от тях или ще бъдат повредени, или ще бъдат някакви системни и безполезни файлове. Но въпреки това в този списък можете да намерите някои полезни файлове. Вече няма гаранции, че ще намерите това, което ще намерите. Изображенията обикновено се възстановяват най -добре.

Ако не сте доволни от резултата, все още има програми за възстановяване на изтрити файлове. По -долу е даден списък с програми, които обикновено използвам, когато трябва да възстановя максималния брой файлове:

• R. спасител
• Възстановяване на файлове Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Тези програми не са безплатни, така че няма да предоставя връзки. При силно желание можете сами да ги намерите в интернет.

Целият процес на възстановяване на файлове е показан подробно във видеото в самия край на статията.

Kaspersky, eset nod32 и други в борбата срещу ransomware Filecoder.ED

Популярните антивируси определят рансъмуера CRYPTED000007 като Filecoder.EDи тогава може да има някакво друго обозначение. Превъртях основните форуми за антивирусни програми и не видях нищо полезно там. За съжаление, както обикновено, антивирусите не бяха готови за нахлуването на нова вълна от ransomware. Ето публикация от форума на Kaspersky.

Антивирусите традиционно позволяват преминаването на нови модификации на троянски коне от ransomware. Въпреки това препоръчвам да ги използвате. Ако имате късмет и получите пощенска програма по пощата си не по време на първата вълна от инфекции, а малко по -късно, има шанс антивирусът да ви помогне. Всички те работят на една крачка зад нападателите. Оказва се нова версия ransomware, антивирусите не реагират на него. Веднага след като се натрупа определена маса материал за изследване на нов вирус, антивирусите пускат актуализация и започват да реагират на нея.

Това, което пречи на антивируса да реагира незабавно на всеки процес на шифроване в системата, не ми е ясно. Може би има някои технически нюанси по тази тема, които не позволяват да се отговори адекватно и да се предотврати шифроването на потребителски файлове. Струва ми се, че можете поне да покажете предупреждение за факта, че някой шифрова вашите файлове, и да предложите да спрете процеса.

Къде да отидете за гарантирано декриптиране

Случайно срещнах една компания, която действително декриптира данни след работата на различни вируси от ransomware, включително CRYPTED000007. Адресът им е http://www.dr-shifro.ru. Плащане само след пълно декриптиране и вашата проверка. Ето пример за това как работи:

1. Специалист на компанията се качва до вашия офис или дом и подписва споразумение с вас, в което определя цената на работата.
2. Стартира декриптора и дешифрира всички файлове.
3. Уверявате се, че всички файлове са отворени, и подписвате сертификата за доставка / приемане на извършената работа.
4. Плащане само при успешен резултат от декриптиране.

Честно казано, не знам как го правят, но не рискувате нищо. Плащане само след демонстрация на операцията на декодера. Моля, напишете рецензия за опита си с тази компания.

Методи за защита срещу вируса CRYPTED000007

Как да се предпазите от работата на ransomware и да направите без материални и морални щети? Има няколко прости и ефективни съвета:

1. Архивиране! Архивиране на всички важни данни. И не просто резервно копие, а резервно копие, до което няма постоянен достъп. В противен случай вирусът може да зарази както вашите документи, така и резервни копия.
2. Лицензиран антивирус. Въпреки че не предоставят 100% гаранция, те увеличават шансовете за избягване на криптиране. Те често не са готови за нови версии на рансъмуера, но след 3-4 дни започват да реагират. Това увеличава шансовете ви да избегнете инфекция, ако не сте попаднали в първата вълна на разпространение на новата модификация на ransomware.
3. Не отваряйте подозрителни прикачени файлове към имейли. Няма какво да се коментира. Целият рансъмуер, който познавам, достига до потребителите по пощата. И всеки път се измислят нови трикове за измама на жертвата.
4. Не отваряйте безсмислено връзки, изпратени до вас от вашите приятели чрез социални мрежиили пратеници. По този начин понякога се разпространяват и вирусите.
5. Включете показването на файлови разширения в Windows. Как да направите това е лесно да се намери в интернет. Това ще ви позволи да забележите разширението на файла на вируса. Най -често ще стане .exe, .vbs, .src... В ежедневната работа с документи почти не попадате на такива разширения на файлове.

Опитах се да допълня това, което вече написах по -рано във всяка статия за вируса на ransomware. Междувременно се сбогувам. Ще се радвам да имам полезни коментари за статията и за вируса на рансъмуер CRYPTED000007 като цяло.

Видео с декриптиране и възстановяване на файлове

Ето пример за предишната модификация на вируса, но видеото е напълно уместно за CRYPTED000007.

Според първите доклади, вирусът на ransomware, активиран във вторник от киберпрестъпници, е бил присвоен на вече добре познатото семейство ransomware Petya, но по-късно се оказа, че това е ново семейство зловреден софтуер със значително различна функционалност. Лаборатория Касперски се кръсти нов вирус ExPetr.

„Анализът, извършен от нашите експерти, показа, че първоначално жертвите не са имали шанс да си върнат досиетата. Изследователи от „Лаборатория Касперски“ анализираха частта от кода на зловредния софтуер, свързана с криптиране на файлове, и установиха, че след като дискът е криптиран, създателите на вируса вече нямат възможност да го дешифрират обратно ”, съобщават от лабораторията.

Според компанията, за декриптиране е необходим уникален идентификатор за конкретна троянска инсталация. В известни по -рано версии на подобен рансъмуер Petya / Mischa / GoldenEye идентификационният номер на инсталацията съдържаше информация, необходима за декриптиране. В случая с ExPetr този идентификатор не присъства. Това означава, че създателите на зловреден софтуер не могат да получат информацията, необходима за декриптиране на файловете. С други думи, жертвите на рансъмуера нямат възможност да възстановят данните си, обяснява Лаборатория Касперски.

Вирусът блокира компютрите и изисква 300 долара в биткойни, съобщи Group-IB за РИА Новости. Атаката започна във вторник около 11:00 часа. Според съобщения в медиите в 18.00 часа в сряда портфейлът на биткойн, който е бил посочен за прехвърляне на средства към изнудвачите, е получил девет превода. Като се вземе предвид комисионната за трансфери, жертвите прехвърлиха около 2,7 хиляди долара на хакерите.

В сравнение с WannaCry, този вирус е признат за по -разрушителен, тъй като се разпространява по няколко метода - с помощта на инструментите за управление на Windows, PsExec и експлоатацията на EternalBlue. В допълнение, рансъмуерът включва безплатна помощна програмаМимикац.

Броят на потребителите, атакувани от новия „нов Petya“ вирус -рансъмуер, е достигнал 2000, съобщи Лаборатория Касперски в сряда, която разследва вълна от компютърни инфекции.

Според антивирусната компания ESET атаката е започнала в Украйна, която е пострадала повече от нея в сравнение с други страни. Според рейтинга на компанията по страни, засегнати от вируса, Италия е на второ място след Украйна, а Израел е на трето. В челната десетка влизат още Сърбия, Унгария, Румъния, Полша, Аржентина, Чехия и Германия. Русия в този списък зае 14 -то място.

Освен това Avast каза кое операционна системастрада най -много от вируса.

Windows 7 е на първо място - 78% от всички заразени компютри. Следва Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).

По този начин WannaCry не научи почти нищо на световната общност - компютрите останаха незащитени, системите не бяха актуализирани, а усилията на Microsoft да пусне кръпки дори за остарели системи бяха просто напразни.