Tek faqeshënuesit
KontaktetRreth sajtit

Ransomware për viruset kompjuterike. virus ransomware

Një valë e virusit të ri të enkriptimit WannaCry (emra të tjerë Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) përfshiu botën, i cili kodon dokumentet në një kompjuter dhe zhvat 300-600 USD për dekodimin e tyre. Si të kuptoni nëse një kompjuter është i infektuar? Çfarë duhet bërë për të mos u bërë viktimë? Dhe çfarë mund të bëhet për t'u shëruar?

Pas instalimit të përditësimeve, kompjuteri do të duhet të rindizet.

Si të shëroheni nga virusi i enkriptimit Wana Decrypt0r?

Kur programi antivirus zbulon një virus, a do ta heqë atë menjëherë ose do t'ju kërkojë ta trajtoni apo jo? Përgjigja është shërimi.

Si të rikuperoni skedarët e koduar nga Wana Decryptor?

Nuk kemi asgjë ngushëlluese për të thënë për momentin. Deri më tani, asnjë mjet për deshifrimin e skedarëve nuk është krijuar. Tani për tani, mbetet vetëm të presim që dekriptuesi të zhvillohet.

Sipas Brian Krebs, një ekspert i sigurisë kompjuterike, kriminelët kanë marrë vetëm 26,000 USD deri më tani, që do të thotë se vetëm rreth 58 persona kanë rënë dakord të paguajnë shpërblimin për ransomware. Nëse i kanë restauruar dokumentet në të njëjtën kohë, askush nuk e di.

Si të ndaloni përhapjen e një virusi në rrjet?

Në rastin e WannaCry, zgjidhja e problemit mund të jetë bllokimi i portit 445 në Firewall (firewall), përmes së cilës ndodh infeksioni.

Vetë viruset si një kërcënim kompjuterik nuk befasojnë askënd sot. Por nëse më parë ata ndikuan në sistemin në tërësi, duke shkaktuar dështime në performancën e tij, sot, me ardhjen e një varieteti të tillë si një virus ransomware, veprimet e një kërcënimi depërtues shqetësojnë më shumë të dhëna të përdoruesit. Është ndoshta edhe më shumë një kërcënim sesa aplikacionet e ekzekutueshme të Windows ose aplikacionet spiune shkatërruese.

Çfarë është një virus ransomware?

Në vetvete, kodi i shkruar në një virus vetë-kopjues përfshin kriptimin e pothuajse të gjitha të dhënave të përdoruesit me algoritme speciale kriptografike, gjë që nuk ndikon në skedarët e sistemit të sistemit operativ.

Në fillim, logjika e ndikimit të virusit nuk ishte plotësisht e qartë për shumë njerëz. Gjithçka u bë e qartë vetëm kur hakerat që krijuan aplikacione të tilla filluan të kërkojnë para për të rivendosur strukturën origjinale të skedarit. Në të njëjtën kohë, vetë virusi i ransomware i infiltruar nuk lejon deshifrimin e skedarëve për shkak të veçorive të tij. Për ta bërë këtë, ju nevojitet një deshifrues i veçantë, nëse dëshironi, një kod, një fjalëkalim ose një algoritëm që kërkohet për të rivendosur përmbajtjen që kërkoni.

Parimi i depërtimit në sistem dhe funksionimi i kodit të virusit

Si rregull, është mjaft e vështirë të "marrësh" një pleh të tillë në internet. Burimi kryesor i përhapjes së "infeksionit" është posta elektronike në nivelin e programeve të instaluara në një terminal të caktuar kompjuterik, si Outlook, Thunderbird, Lakuriqin e natës etj. Le të theksojmë menjëherë: kjo nuk vlen për serverët e postës në internet, pasi ata kanë një shkallë mjaft të lartë mbrojtjeje, dhe qasja në të dhënat e përdoruesit është e mundur vetëm në nivel

Një tjetër gjë është një aplikim në një terminal kompjuteri. Këtu, për veprimin e viruseve, fusha është aq e gjerë sa është e pamundur të imagjinohet. Vërtetë, ia vlen gjithashtu të bëni një rezervim këtu: në shumicën e rasteve, viruset synojnë kompani të mëdha nga të cilat mund të "rrëmbeni" para për të siguruar një kod deshifrimi. Kjo është e kuptueshme, sepse jo vetëm në terminalet kompjuterike lokale, por edhe në serverët e firmave të tilla, mund të ruhen jo vetëm plotësisht, por edhe skedarë, si të thuash, në një kopje të vetme, në asnjë rast që nuk i nënshtrohen shkatërrimit. Dhe pastaj deshifrimi i skedarëve pas virusit të kriptimit bëhet mjaft problematik.

Sigurisht, një përdorues i zakonshëm gjithashtu mund t'i nënshtrohet një sulmi të tillë, por në shumicën e rasteve kjo nuk ka gjasa nëse ndiqni rekomandimet më të thjeshta për hapjen e bashkëngjitjeve me shtesa të një lloji të panjohur. Edhe nëse klienti i postës përcakton një bashkëngjitje me një shtesë .jpg si standard skedar grafik, fillimisht duhet të kontrollohet nga standardi i instaluar në sistem.

Nëse kjo nuk është bërë, kur e hapni me një klik të dyfishtë (metoda standarde), do të fillojë aktivizimi i kodit dhe do të fillojë procesi i enkriptimit, pas së cilës i njëjti Breaking_Bad (virusi i enkriptimit) jo vetëm që do të jetë i pamundur të fshihet, por skedarët nuk do të mund të restaurohen pasi të eliminohet kërcënimi.

Pasojat e përgjithshme të depërtimit të të gjithë viruseve të këtij lloji

Siç është përmendur tashmë, shumica e viruseve të këtij lloji hyjnë në sistem përmes postës elektronike. Epo, le të themi, në një organizatë të madhe, një letër arrin në një email specifik të regjistruar me përmbajtje si "Ne kemi ndryshuar kontratën, skanimi është në bashkëngjitje" ose "Ju është dërguar një faturë për dërgesën e mallrave (një kopjoni atje)”. Natyrisht, një punonjës i paditur hap dosjen dhe...

Të gjithë skedarët e përdoruesve në nivelin e dokumenteve të zyrës, multimedias, projekteve të specializuara AutoCAD ose çdo të dhënë tjetër arkivore kodohen në çast, për më tepër, nëse terminali i kompjuterit është në rrjet lokal, virusi mund të transmetohet më tej, duke enkriptuar të dhënat në makineritë e tjera (kjo bëhet e dukshme menjëherë nga "frenimi" i sistemit dhe ngrirja e programeve ose aplikacioneve që funksionojnë aktualisht).

Në fund të procesit të kriptimit, vetë virusi, me sa duket, dërgon një lloj raporti, pas të cilit kompania mund të marrë një mesazh se një kërcënim i tillë ka hyrë në sistem dhe se vetëm ai dhe ai kërcënim mund ta deshifrojë atë. . Zakonisht bëhet fjalë për një virus. [email i mbrojtur] Më pas vjen kërkesa për të paguar shërbimet e deshifrimit me një ofertë për të dërguar disa skedarë në e-mailin e klientit, e cila më së shpeshti është fiktive.

Dëmi nga ndikimi i kodit

Nëse dikush nuk e ka kuptuar ende: deshifrimi i skedarëve pas një virusi ransomware është një proces mjaft i mundimshëm. Edhe nëse nuk "udhëhiqeni" nga kërkesat e ndërhyrësve dhe përpiqeni të përdorni strukturat zyrtare shtetërore për të luftuar krimet kompjuterike dhe për t'i parandaluar ato, zakonisht asgjë e mirë nuk vjen nga kjo.

Nëse fshini të gjithë skedarët, krijoni dhe madje kopjoni të dhënat origjinale nga media e lëvizshme (natyrisht, nëse ka një kopje të tillë), gjithçka do të vazhdojë të kodohet përsëri kur virusi të aktivizohet. Pra, nuk duhet ta mashtroni veten shumë, veçanërisht pasi kur futni të njëjtin flash drive në një port USB, përdoruesi as nuk do të vërejë se si virusi i kodon të dhënat në të. Kjo është kur nuk do të hasni në probleme.

I parëlinduri në familje

Tani le ta kthejmë vëmendjen te virusi i parë ransomware. Si të kuroni dhe deshifroni skedarët pas ekspozimit ndaj kodit të ekzekutueshëm të mbyllur në një bashkëngjitje Email me propozimin e njohjes, në momentin e shfaqjes së saj, askush nuk e kishte menduar ende. Vetëdija për shkallën e fatkeqësisë erdhi vetëm me kalimin e kohës.

Ai virus kishte emrin romantik "Të dua". Një përdorues që nuk dyshon hapi një bashkëngjitje në një mesazh email dhe mori skedarë multimedialë plotësisht të paluajtshëm (grafikë, video dhe audio). Atëherë, megjithatë, veprime të tilla dukeshin më shkatërruese (duke dëmtuar bibliotekat e mediave të përdoruesve), dhe askush nuk kërkoi para për këtë.

Modifikimet me te reja

Siç mund ta shihni, evolucioni i teknologjisë është bërë një biznes mjaft fitimprurës, veçanërisht kur mendoni se shumë drejtues të organizatave të mëdha vrapojnë menjëherë të paguajnë për aktivitetet e deshifrimit, plotësisht të pavetëdijshëm se mund të humbasin para dhe informacion.

Meqë ra fjala, mos i shikoni të gjitha këto postime "të majta" në internet, ata thonë, "Unë pagova / pagova shumën e kërkuar, më dërguan një kod, gjithçka u rivendos". marrëzi! E gjithë kjo është shkruar nga vetë zhvilluesit e virusit për të tërhequr potencialin, më falni, "pinjollë". Por, sipas standardeve të një përdoruesi të zakonshëm, shumat për pagesë janë mjaft serioze: nga qindra në disa mijëra ose dhjetëra mijëra euro ose dollarë.

Tani le të shohim llojet më të fundit të viruseve të këtij lloji që janë regjistruar relativisht kohët e fundit. Të gjithë janë pothuajse të ngjashëm dhe i përkasin jo vetëm kategorisë së ransomware-ve, por edhe grupit të të ashtuquajturve zhvatës. Në disa raste, ata veprojnë në mënyrë më korrekte (si paga-crypt), në dukje duke dërguar propozime ose mesazhe formale biznesi që dikush kujdeset për sigurinë e një përdoruesi ose organizate. Një virus i tillë enkriptimi thjesht mashtron përdoruesin me mesazhin e tij. Nëse ai bën edhe veprimin më të vogël për të paguar, kaq – “divorci” do të jetë i plotë.

Virusi XTBL

I shfaqur relativisht kohët e fundit mund t'i atribuohet versionit klasik të ransomware. Si rregull, ai hyn në sistem përmes mesazheve të postës elektronike që përmbajnë bashkëngjitje në formën e skedarëve me të cilët është standard për mbrojtësin e ekranit të Windows. Sistemi dhe përdoruesi mendojnë se gjithçka është në rregull dhe aktivizojnë shikimin ose ruajtjen e bashkëngjitjes.

Mjerisht, kjo çon në pasoja të trishtueshme: emrat e skedarëve shndërrohen në një grup karakteresh, dhe një tjetër .xtbl shtohet në shtesën kryesore, pas së cilës një mesazh për mundësinë e deshifrimit dërgohet në adresën e dëshiruar të postës pasi të keni paguar të specifikuar shuma (zakonisht 5 mijë rubla).

virusi CBF

Ky lloj virusi gjithashtu i përket klasikëve të zhanrit. Shfaqet në sistem pas hapjes së bashkëngjitjeve të postës elektronike dhe më pas riemërton skedarët e përdoruesve, duke shtuar një shtesë si .nochance ose .perfect në fund.

Fatkeqësisht, deshifrimi i këtij lloji të virusit të enkriptimit për të analizuar përmbajtjen e kodit, edhe në fazën e paraqitjes së tij në sistem, nuk është i mundur, pasi pas përfundimit të veprimeve të tij ai vetëshkatërrohet. Edhe i tillë, siç mendojnë shumë njerëz, një mjet universal si RectorDecryptor nuk ndihmon. Përsëri, përdoruesi merr një letër që kërkon pagesë, e cila jepet dy ditë.

Virusi Breaking_Bad

Ky lloj kërcënimi funksionon në të njëjtën mënyrë, por riemëron skedarët në mënyrën standarde, duke shtuar .breaking_bad në shtesë.

Situata nuk kufizohet me kaq. Ndryshe nga viruset e mëparshëm, ky mund të krijojë edhe një shtesë tjetër - .Heisenberg, kështu që nuk është gjithmonë e mundur të gjenden të gjithë skedarët e infektuar. Pra, Breaking_Bad (virusi i enkriptimit) është një kërcënim mjaft serioz. Nga rruga, ka raste kur edhe paketa e licencuar e Kaspersky Siguria e pikës së fundit 10 anashkalon këtë lloj kërcënimi.

Virus [email i mbrojtur]

Këtu është një tjetër, ndoshta kërcënimi më serioz, i cili i drejtohet kryesisht organizatave të mëdha tregtare. Si rregull, një letër mbërrin në ndonjë departament që përmban ndryshime të supozuara në marrëveshjen e furnizimit, apo edhe vetëm një faturë. Një bashkëngjitje mund të përmbajë një skedar të rregullt .jpg (siç është një imazh), por më shpesh një script.js të ekzekutueshëm (aplet Java).

Si të deshifroni këtë lloj virusi ransomware? Duke gjykuar nga fakti se një algoritëm i panjohur RSA-1024 përdoret atje, në asnjë mënyrë. Bazuar në emrin, mund të supozojmë se ky është një sistem kriptimi 1024-bit. Por, nëse dikush e mban mend, sot AES 256-bit konsiderohet më i avancuari.

Virusi i enkriptimit: si të kuroni dhe deshifroni skedarët duke përdorur softuer antivirus

Deri më sot, nuk janë gjetur zgjidhje për të deshifruar kërcënimet e këtij lloji. Edhe mjeshtra të tillë në fushën e mbrojtjes antivirus si Kaspersky, Dr. Web dhe Eset nuk mund të gjejnë çelësin për zgjidhjen e problemit kur virusi ransomware ka trashëguar sistemin. Si të kuroni skedarët? Në shumicën e rasteve, sugjerohet të dërgoni një kërkesë në faqen zyrtare të zhvilluesit të antivirusit (nga rruga, vetëm nëse sistemi ka softuer të licencuar nga ky zhvillues).

Në këtë rast, duhet të bashkëngjitni disa skedarë të koduar, si dhe origjinalet e tyre "të shëndetshëm", nëse ka. Në përgjithësi, në përgjithësi, pak njerëz mbajnë kopje të të dhënave, kështu që problemi i mungesës së tyre vetëm përkeqëson një situatë tashmë të pakëndshme.

Mënyrat e mundshme për të identifikuar dhe eliminuar kërcënimin me dorë

Po, skanimi i rregullt antivirus zbulon kërcënimet dhe madje i heq ato nga sistemi. Por çfarë duhet bërë me informacionin?

Disa përpiqen të përdorin programe dekriptuese si mjeti RectorDecryptor (RakhniDecryptor) i përmendur tashmë. Vini re menjëherë: kjo nuk do të ndihmojë. Dhe në rastin e virusit Breaking_Bad, ai mund të bëjë vetëm dëm. Dhe kjo është arsyeja pse.

Fakti është se njerëzit që krijojnë viruse të tilla po përpiqen të mbrojnë veten dhe të japin udhëzime për të tjerët. Kur përdorni shërbimet e deshifrimit, virusi mund të reagojë në atë mënyrë që i gjithë sistemi të rrëzohet dhe me shkatërrimin e plotë të të gjitha të dhënave të ruajtura në hard disqet ose në ndarje logjike. Ky është si të thuash një mësim demonstrues për të gjithë ata që nuk duan të paguajnë. Mund të shpresojmë vetëm për laboratorë zyrtarë antivirus.

Metodat kardinale

Megjithatë, nëse gjërat janë vërtet të këqija, do t'ju duhet të sakrifikoni informacionin. Për të hequr qafe plotësisht kërcënimin, duhet të formatoni të gjithë hard diskun, duke përfshirë ndarjet virtuale, dhe më pas të instaloni përsëri "OS".

Fatkeqësisht, nuk ka rrugëdalje tjetër. Edhe deri në një pikë të caktuar restaurimi të ruajtur nuk do të ndihmojë. Virusi mund të zhduket, por skedarët do të mbeten të koduar.

Në vend të një pasthënieje

Si përfundim, vlen të theksohet se situata është si më poshtë: virusi ransomware depërton në sistem, bën punën e tij të pistë dhe nuk trajtohet në asnjë mënyrë. mënyra të njohura. Mjetet e mbrojtjes antivirus nuk ishin gati për këtë lloj kërcënimi. Është e vetëkuptueshme që virusi mund të zbulohet pas ekspozimit ose të hiqet. Por informacioni i koduar do të mbetet në një formë të shëmtuar. Kështu që dëshiroj të shpresoj që mendjet më të mira të kompanive të programeve antivirus do të gjejnë akoma një zgjidhje, megjithëse, duke gjykuar nga algoritmet e kriptimit, do të jetë shumë e vështirë për ta bërë këtë. Kujtoni të paktën makinën e shifrimit Enigma, të cilën flota gjermane e kishte gjatë Luftës së Dytë Botërore. Kriptografët më të mirë nuk mund ta zgjidhnin problemin e algoritmit për deshifrimin e mesazheve derisa të vinin në dorë pajisjen. Kështu janë gjërat këtu.

Rreth një ose dy javë më parë, një punë tjetër nga prodhuesit modernë të viruseve u shfaq në rrjet, e cila kodon të gjithë skedarët e përdoruesve. Edhe një herë, unë do të shqyrtoj pyetjen se si të kuroni një kompjuter pas një virusi ransomware i kriptuar000007 dhe rikuperoni skedarët e koduar. Në këtë rast, asgjë e re dhe unike nuk është shfaqur, vetëm një modifikim i versionit të mëparshëm.

Deshifrimi i garantuar i skedarëve pas një virusi ransomware - dr-shifro.ru. Detajet e punës dhe skema e ndërveprimit me klientin janë më poshtë në artikullin tim ose në faqen e internetit në seksionin "Procedura e punës".

Përshkrimi i virusit ransomware CRYPTED000007

Kriptori CRYPTED000007 nuk ndryshon thelbësisht nga paraardhësit e tij. Ajo funksionon pothuajse një me një si. Por megjithatë ka disa nuanca që e dallojnë atë. Unë do t'ju tregoj për gjithçka në rregull.

Ai vjen, si homologët e tij, me postë. Teknikat e inxhinierisë sociale përdoren për ta bërë përdoruesin të interesohet për letrën dhe ta hapë atë. Në rastin tim, letra ishte për një lloj gjykate dhe rreth informacion i rendesishem për rastin në bashkëngjitje. Pas nisjes së bashkëngjitjes, përdoruesi hap një dokument Word me një ekstrakt nga Gjykata e Arbitrazhit të Moskës.

Paralelisht me hapjen e dokumentit, fillon enkriptimi i skedarit. Fillon të shfaqet vazhdimisht një mesazh informues nga sistemi i kontrollit të llogarisë së përdoruesit të Windows.

Nëse jeni dakord me propozimin, atëherë bëni kopje rezervë të skedarëve në hije kopje të Windows do të fshihet dhe rikuperimi i informacionit do të jetë shumë i vështirë. Natyrisht, është e pamundur të pajtohesh me propozimin në çdo rast. Në këtë ransomware, këto kërkesa shfaqen vazhdimisht, një nga një dhe nuk ndalen, duke e detyruar përdoruesin të pranojë dhe të fshijë kopjet rezervë. Ky është ndryshimi kryesor nga modifikimet e mëparshme të ransomware. Nuk kam parë kurrë që kërkesat për fshirje të kopjeve në hije të shkojnë pa ndërprerje. Zakonisht pas 5-10 fjalish ndalonin.

Unë do t'ju jap një rekomandim për të ardhmen. Shumë shpesh, njerëzit çaktivizojnë paralajmërimet nga sistemi i kontrollit të llogarisë së përdoruesit. Ju nuk keni nevojë ta bëni këtë. Ky mekanizëm mund të ndihmojë vërtet në luftën kundër viruseve. Këshilla e dytë e qartë është të mos punoni vazhdimisht llogari administratori i kompjuterit, nëse kjo nuk është objektivisht e nevojshme. Në këtë rast, virusi nuk do të ketë mundësi të bëjë shumë dëm. Ju do të keni më shumë gjasa t'i rezistoni atij.

Por edhe nëse i jeni përgjigjur negativisht kërkesave për ransomware gjatë gjithë kohës, të gjitha të dhënat tuaja tashmë janë të koduara. Pasi të përfundojë procesi i kriptimit, do të shihni një foto në desktopin tuaj.

Në të njëjtën kohë, do të ketë shumë skedarët e tekstit me të njëjtën përmbajtje.

Skedarët tuaj janë të koduar. Për të deshifruar ux, duhet të korrigjoni kodin: 329D54752553ED978F94|0 në adresën e emailit [email i mbrojtur]. Më pas do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për ta deshifruar vetë nuk do të çojnë në asgjë, përveç numrit të pakthyeshëm të informacionit. Nëse ende dëshironi të provoni, atëherë bëni kopje rezervë të skedarëve paraprakisht, përndryshe, në rastet e ndryshimeve ux, deshifrimi nuk do të jetë i mundur në asnjë rrethanë. Nëse nuk keni marrë një përgjigje në adresën e mësipërme brenda 48 orëve (dhe vetëm në këtë rast!), ju lutemi përdorni formularin e komenteve. Kjo mund të bëhet në dy mënyra: 1) Shkarkoni dhe instaloni Tor Browser nga lidhja: https://www.torproject.org/download/download-easy.html.en Fusni adresën në adresën e shfletuesit Tor: http:/ /cryptsen7fo43rr6 .onion/ dhe shtypni Enter. Faqja me formularin e kontaktit është ngarkuar. 2) Në çdo shfletues, shkoni në një nga adresat: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Të gjithë skedarët e rëndësishëm në kompjuterin tuaj u koduan. Për të deshifruar skedarët duhet të dërgoni kodin e mëposhtëm: 329D54752553ED978F94|0 në adresën e emailit [email i mbrojtur]. Më pas do të merrni të gjitha udhëzimet e nevojshme. Të gjitha përpjekjet për deshifrim nga ju do të rezultojnë vetëm në humbje të pakthyeshme të të dhënave tuaja. Nëse ende dëshironi të provoni t'i deshifroni ato vetë, ju lutemi bëni një kopje rezervë në fillim sepse deshifrimi do të bëhet i pamundur në rast të ndonjë ndryshimi brenda skedarëve. Nëse nuk e keni marrë përgjigjen nga emaili i lartpërmendur për më shumë se 48 orë (dhe vetëm në këtë rast!), përdorni formularin e komenteve. Ju mund ta bëni atë në dy mënyra: 1) Shkarkoni shfletuesin Tor nga këtu: https://www.torproject.org/download/download-easy.html.en Instaloni atë dhe shkruani adresën e mëposhtme në shiritin e adresave: http:/ /cryptsen7fo43rr6.onion/ Shtypni Enter dhe më pas faqja me formularin e komenteve do të ngarkohet. 2) Shkoni në një nga adresat e mëposhtme në çdo shfletues: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa postare mund të ndryshojë. Kam parë adresa të tjera si kjo:

Adresat përditësohen vazhdimisht, kështu që ato mund të jenë krejtësisht të ndryshme.

Sapo të zbuloni se skedarët janë të koduar, fikni menjëherë kompjuterin. Kjo duhet të bëhet për të ndërprerë procesin e kriptimit sipas kompjuter lokal, dhe në disqet e rrjetit. Një virus ransomware mund të enkriptojë të gjithë informacionin që mund të arrijë, duke përfshirë disqet e rrjetit. Por nëse ka një sasi të madhe informacioni, atëherë atij do t'i duhet një kohë e konsiderueshme. Ndonjëherë, edhe brenda disa orësh, ransomware nuk kishte kohë të kodonte gjithçka në një makinë rrjeti me një vëllim prej rreth 100 gigabajt.

Më pas, duhet të mendoni me kujdes se si të veproni. Nëse keni nevojë për informacion në kompjuterin tuaj dhe nuk keni kopje rezervë, atëherë është më mirë të kontaktoni specialistët në këtë moment. Jo domosdoshmërisht për para në disa firma. Ju duhet vetëm një person që e di mirë sistemet e informacionit. Është e nevojshme të vlerësohet shkalla e katastrofës, të largohet virusi, të mblidhet i gjithë informacioni i disponueshëm për situatën në mënyrë që të kuptohet se si të vazhdohet.

Veprimet e pasakta në këtë fazë mund të komplikojnë ndjeshëm procesin e deshifrimit ose rikuperimit të skedarëve. Në rastin më të keq, ata mund ta bëjnë të pamundur. Pra, merrni kohën tuaj, jini të kujdesshëm dhe të qëndrueshëm.

Si i kodon skedarët virusi ransomware CRYPTED000007

Pasi virusi të jetë nisur dhe të përfundojë aktivitetin e tij, të gjithë skedarët e dobishëm do të kodohen, do të riemërohen nga extension.crypted000007. Dhe jo vetëm zgjerimi i skedarit do të zëvendësohet, por edhe emri i skedarit, kështu që nuk do të dini saktësisht se çfarë lloj skedarësh keni pasur nëse nuk mbani mend. Do të ketë diçka si kjo foto.

Në një situatë të tillë, do të jetë e vështirë të vlerësoni shkallën e tragjedisë, pasi nuk do të jeni në gjendje të mbani mend plotësisht atë që keni pasur. dosje të ndryshme. Kjo është bërë me qëllim për të ngatërruar një person dhe për t'i inkurajuar ata të paguajnë për deshifrimin e skedarëve.

Dhe nëse do të ishit të koduar dhe dosjet e rrjetit dhe nuk ka kopje rezervë të plotë, atëherë kjo në përgjithësi mund të ndalojë punën e të gjithë organizatës. Ju nuk do të kuptoni menjëherë se çfarë humbet përfundimisht për të filluar shërimin.

Si ta trajtoni kompjuterin tuaj dhe të hiqni ransomware-in CRYPTED000007

Virusi CRYPTED000007 është tashmë në kompjuterin tuaj. E para dhe më e shumta pyetja kryesore- si të kuroni një kompjuter dhe si të hiqni një virus prej tij për të parandaluar enkriptimin e mëtejshëm nëse ende nuk është përfunduar. Unë tërheq menjëherë vëmendjen tuaj për faktin se pasi ju vetë filloni të kryeni disa veprime me kompjuterin tuaj, shanset për të deshifruar të dhënat zvogëlohen. Nëse keni nevojë të rikuperoni skedarët me çdo kusht, mos e prekni kompjuterin tuaj, por kontaktoni menjëherë profesionistët. Më poshtë do të flas për to dhe do të jap një lidhje me sitin dhe do të përshkruaj skemën e punës së tyre.

Ndërkohë, ne do të vazhdojmë të trajtojmë në mënyrë të pavarur kompjuterin dhe të heqim virusin. Tradicionalisht, ransomware hiqet lehtësisht nga kompjuteri, pasi virusi nuk ka për detyrë të qëndrojë në kompjuter me çdo kusht. Pas kriptimit të plotë të skedarëve, është edhe më fitimprurëse për të që të fshihet dhe të zhduket, në mënyrë që të jetë më e vështirë të hetojë incidentin dhe të deshifrojë skedarët.

Përshkrimi i heqjes manuale të një virusi është i vështirë, megjithëse u përpoqa ta bëja më parë, por shoh që në shumicën e rasteve është e kotë. Emrat e skedarëve dhe shtigjet e vendosjes së viruseve po ndryshojnë vazhdimisht. Ajo që pashë nuk është më e rëndësishme në një ose dy javë. Zakonisht, viruset dërgohen me postë në valë, dhe çdo herë ka një modifikim të ri që ende nuk është zbuluar nga antiviruset. Ndihmojnë mjetet universale që kontrollojnë autorun dhe zbulojnë aktivitete të dyshimta në dosjet e sistemit.

Për të hequr virusin CRYPTED000007, mund të përdorni programet e mëposhtme:

  1. Kaspersky Heqja e virusit Mjet - një mjet nga Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - një produkt i ngjashëm nga një ueb tjetër http://free.drweb.ru/cureit.
  3. Nëse dy shërbimet e para nuk ju ndihmojnë, provoni MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Me shumë mundësi, një nga këto produkte do të pastrojë kompjuterin nga ransomware CRYPTED000007. Nëse papritmas ndodh që ato nuk ndihmojnë, provoni ta hiqni virusin me dorë. Unë dhashë teknikën e heqjes si shembull dhe mund ta shihni atje. Me pak fjalë, ja çfarë duhet të bëni:

  1. Ne shikojmë listën e proceseve, pasi kemi shtuar më parë disa kolona shtesë në menaxherin e detyrave.
  2. Ne gjejmë procesin e virusit, hapim dosjen në të cilën ndodhet dhe e fshijmë.
  3. Ne pastrojmë përmendjen e procesit të virusit me emrin e skedarit në regjistër.
  4. Rinisim dhe sigurohemi që virusi CRYPTED000007 të mos jetë në listën e proceseve që ekzekutohen.

Ku të shkarkoni dekriptuesin CRYPTED000007

Çështja e një dekriptuesi të thjeshtë dhe të besueshëm lind para së gjithash kur bëhet fjalë për një virus ransomware. Gjëja e parë që ju këshilloj është të përdorni shërbimin https://www.nomoreransom.org. Po sikur të jeni me fat, ata do të kenë një deshifrues për versionin tuaj të enkriptorit CRYPTED000007. Do të them menjëherë që nuk keni shumë shanse, por përpjekja nuk është torturë. Në faqja kryesore klikoni Po:

Më pas ngarkoni disa skedarë të koduar dhe klikoni Shko! zbuloni:

Në kohën e shkrimit, dekoderi nuk ishte në vend.

Ndoshta do të keni më shumë fat. Ju gjithashtu mund të shihni listën e deshifruesve për shkarkim në një faqe të veçantë - https://www.nomoreransom.org/decryption-tools.html. Ndoshta ka diçka të dobishme atje. Kur virusi është shumë i freskët, ka pak mundësi për këtë, por me kalimin e kohës, diçka mund të shfaqet. Ka shembuj kur deshifruesit për disa modifikime të ransomware u shfaqën në rrjet. Dhe këta shembuj janë në faqen e specifikuar.

Ku tjetër mund të gjej një dekoder, nuk e di. Nuk ka gjasa që ai të ekzistojë me të vërtetë, duke marrë parasysh veçoritë e punës së ransomware moderne. Vetëm autorët e virusit mund të kenë një dekoder të plotë.

Si të deshifroni dhe rikuperoni skedarët pas virusit CRYPTED000007

Çfarë duhet të bëni kur virusi CRYPTED000007 ka koduar skedarët tuaj? Zbatimi teknik i enkriptimit nuk lejon deshifrimin e skedarëve pa çelës ose dekriptues, të cilin e ka vetëm autori i enkriptuesit. Ndoshta ka ndonjë mënyrë tjetër për ta marrë atë, por unë nuk kam një informacion të tillë. Mund të përpiqemi të rikuperojmë skedarët vetëm duke përdorur metoda të improvizuara. Kjo perfshin:

  • Mjet kopje hije dritaret.
  • Programe për rikuperimin e të dhënave të fshira

Së pari, le të kontrollojmë nëse kemi të aktivizuara kopjet hije. Ky mjet funksionon si parazgjedhje në Windows 7 dhe më lart, përveç nëse e çaktivizoni manualisht. Për të kontrolluar, hapni vetitë e kompjuterit dhe shkoni te seksioni i mbrojtjes së sistemit.

Nëse gjatë infektimit nuk e keni konfirmuar kërkesën UAC për të fshirë skedarët në kopjet hije, atëherë disa të dhëna duhet të mbeten atje. Për këtë kërkesë më hollësisht fola në fillim të tregimit, kur fola për punën e virusit.

Për të rivendosur lehtësisht skedarët nga kopjet në hije, unë sugjeroj të përdorni program falas për këtë - ShadowExplorer. Shkarkoni arkivin, shpaketoni programin dhe ekzekutoni.

Do të hapet kopja e fundit e skedarëve dhe rrënja e diskut C. Në këndin e sipërm majtas, mund të zgjidhni një kopje rezervë nëse keni më shumë se një. Kontrolloni kopje të ndryshme për skedarët e nevojshëm. Krahasoni sipas datave ku është versioni më i fundit. Në shembullin tim më poshtë, gjeta 2 skedarë në desktopin tim që ishin tre muaj të vjetër kur u redaktuan për herë të fundit.

Unë munda t'i rikuperoja këto skedarë. Për ta bërë këtë, i zgjodha ato, klikoja me të djathtën, zgjodha Eksporto dhe tregova dosjen ku t'i rivendosja.

Ju mund të rivendosni dosjet menjëherë në të njëjtën mënyrë. Nëse kopjet hije funksionuan për ju dhe nuk i keni fshirë ato, keni mjaft shanse për të rikuperuar të gjithë ose pothuajse të gjithë skedarët e koduar nga virusi. Ndoshta disa prej tyre do të jenë më shumë version i vjeter se sa do të doja, por megjithatë, është më mirë se asgjë.

Nëse për ndonjë arsye nuk keni kopje hije të skedarëve, e vetmja mundësi për të marrë të paktën disa nga skedarët e koduar është t'i rivendosni ato duke përdorur mjete rikuperimi skedarë të fshirë. Për ta bërë këtë, unë sugjeroj të përdorni programin falas Photorec.

Drejtoni programin dhe zgjidhni diskun në të cilin do të rikuperoni skedarët. Nisja e versionit grafik të programit ekzekuton skedarin qphotorec_win.exe. Duhet të zgjidhni dosjen ku do të vendosen skedarët e gjetur. Është më mirë nëse kjo dosje nuk ndodhet në të njëjtin disk ku po kërkojmë. Lidhni një flash drive ose të jashtëm HDD për këtë.

Procesi i kërkimit do të zgjasë shumë. Në fund do të shihni statistikat. Tani mund të shkoni në dosjen e specifikuar më parë dhe të shihni se çfarë gjendet atje. Me shumë mundësi do të ketë shumë skedarë dhe shumica e tyre ose do të dëmtohen, ose do të jenë një lloj sistemi dhe skedarë të padobishëm. Por megjithatë, në këtë listë do të jetë e mundur të gjeni disa skedarë të dobishëm. Nuk ka garanci këtu, ajo që gjeni është ajo që do të gjeni. Më e mira nga të gjitha, zakonisht, imazhet restaurohen.

Nëse rezultati nuk ju kënaq, atëherë ka ende programe për rikuperimin e skedarëve të fshirë. Më poshtë është një listë e programeve që përdor zakonisht kur më duhet të rikuperoj numrin maksimal të skedarëve:

  • R.kursimtar
  • Rikuperimi i skedarit Starus
  • JPEG Recovery Pro
  • Profesionist për rikuperimin e skedarëve aktiv

Këto programe nuk janë falas, kështu që unë nuk do të jap lidhje. Me një dëshirë të madhe, mund t'i gjeni vetë në internet.

I gjithë procesi i rikuperimit të skedarit tregohet në detaje në videon në fund të artikullit.

Kaspersky, eset nod32 dhe të tjerë në luftën kundër ransomware Filecoder.ED

Antivirusët e njohur përcaktojnë ransomware-in CRYPTED000007 si Filecoder.ED dhe pastaj mund të ketë ndonjë emërtim tjetër. Shkova nëpër forumet e antivirusëve kryesorë dhe nuk pashë asgjë të dobishme atje. Fatkeqësisht, si zakonisht, antiviruset nuk ishin gati për pushtimin e një vale të re ransomware. Këtu është një mesazh nga forumi Kaspersky.

Antiviruset tradicionalisht anashkalojnë modifikimet e reja të trojanëve të ransomware. Megjithatë, unë rekomandoj përdorimin e tyre. Nëse jeni me fat dhe merrni një ransomware në postën tuaj jo në valën e parë të infeksioneve, por pak më vonë, ekziston mundësia që antivirusi t'ju ndihmojë. Të gjithë punojnë një hap prapa sulmuesve. duke dalë një version të ri ransomware, antiviruset nuk i përgjigjen atij. Sapo grumbullohet një masë e caktuar e materialit për kërkime mbi një virus të ri, antiviruset lëshojnë një përditësim dhe fillojnë t'i përgjigjen atij.

Ajo që i pengon antiviruset të përgjigjen menjëherë ndaj çdo procesi të kriptimit në sistem nuk është e qartë për mua. Ndoshta ka ndonjë nuancë teknike në këtë temë që nuk ju lejon të përgjigjeni në mënyrë adekuate dhe të parandaloni kriptimin e skedarëve të përdoruesit. Më duket se do të ishte e mundur të paktën të shfaqej një paralajmërim për faktin se dikush po kodon skedarët tuaj dhe të ofrojë ndalimin e procesit.

Ku të aplikoni për deshifrim të garantuar

Më ka ndodhur të takoj një kompani që me të vërtetë deshifron të dhënat pas punës së viruseve të ndryshme të enkriptimit, duke përfshirë CRYPTED000007. Adresa e tyre është http://www.dr-shifro.ru. Pagesa vetëm pas deshifrimit të plotë dhe verifikimit tuaj. Këtu është një shembull i rrjedhës së punës:

  1. Një specialist i kompanisë shkon deri në zyrën ose shtëpinë tuaj dhe nënshkruan një kontratë me ju, në të cilën ai rregullon koston e punës.
  2. Drejton dekriptuesin dhe deshifron të gjithë skedarët.
  3. Sigurohuni që të hapen të gjitha dosjet dhe nënshkruani aktin e dorëzimit/pranimit të punës së kryer.
  4. Pagesa vetëm pas rezultatit të suksesshëm të deshifrimit.

Të them të drejtën nuk e di si e bëjnë këtë, por nuk rrezikon asgjë. Pagesa vetëm pas demonstrimit të dekoderit. Ju lutemi shkruani një koment për përvojën tuaj me këtë kompani.

Metodat e mbrojtjes kundër virusit CRYPTED000007

Si të mbroheni nga puna e një ransomware dhe të bëni pa dëme materiale dhe morale? Ka disa këshilla të thjeshta dhe efektive:

  1. Rezervimi! Kopje rezervë të gjitha të dhënat e rëndësishme. Dhe jo vetëm një kopje rezervë, por një kopje rezervë në të cilën nuk ka qasje të përhershme. Përndryshe, virusi mund të infektojë si dokumentet ashtu edhe kopjet rezervë.
  2. Antivirus i licencuar. Edhe pse nuk japin një garanci 100%, ato rrisin shanset për të shmangur enkriptimin. Ata shpesh nuk janë gati për versione të reja të ransomware, por pas 3-4 ditësh ata fillojnë të reagojnë. Kjo rrit shanset tuaja për të shmangur infeksionin nëse nuk përfshiheni në valën e parë të postimeve të një modifikimi të ri ransomware.
  3. Mos hapni bashkëngjitjet e dyshimta në postë. Nuk ka asgjë për të komentuar këtu. Të gjithë kriptografët e njohur për mua arritën te përdoruesit përmes postës. Dhe çdo herë shpiken truke të reja për të mashtruar viktimën.
  4. Mos hapni pa mendje lidhjet që ju janë dërguar nga miqtë tuaj nëpërmjet mediat sociale ose të dërguarit. Kështu përhapen ndonjëherë viruset.
  5. Aktivizo dritaret për të shfaqur shtesat e skedarëve. Si ta bëni këtë është e lehtë për t'u gjetur në internet. Kjo do t'ju lejojë të vini re shtesën e skedarit në virus. Më shpesh do të ndodhë .exe, .vbs, .src. Në punën e përditshme me dokumente, nuk ka gjasa të hasni në zgjerime të tilla skedarësh.

Unë u përpoqa të plotësoja atë që kam shkruar më herët në çdo artikull në lidhje me virusin ransomware. Deri atëherë them lamtumirë. Do të jem i lumtur të marr komente të dobishme për artikullin dhe virusin e enkriptimit CRYPTED000007 në përgjithësi.

Video me deshifrim dhe rikuperim të skedarëve

Këtu është një shembull i një modifikimi të mëparshëm të virusit, por videoja është plotësisht e rëndësishme edhe për CRYPTED000007.

Sipas raporteve të para, virusi ransomware i aktivizuar të martën i atribuohej familjes tashmë të njohur të ransomware Petya, por më vonë doli se kjo ishte një familje e re malware me funksionalitet dukshëm të ndryshëm. u pagëzua me emrin "Kaspersky Lab". virus i ri Ekspetr.

“Analiza e kryer nga ekspertët tanë tregoi se viktimat fillimisht nuk kishin mundësi të kthenin dosjet e tyre. Studiuesit e Kaspersky Lab analizuan pjesën e kodit të malware që lidhet me enkriptimin e skedarëve dhe zbuluan se pasi disku të kodohet, krijuesit e virusit nuk kanë asnjë mënyrë për ta deshifruar atë përsëri.

Sipas kompanisë, një identifikues unik për një instalim specifik trojan kërkohet për deshifrim. Në versionet e njohura më parë të ransomware-it të ngjashëm Petya/Mischa/GoldenEye, ID-ja e instalimit përmbante informacionin e nevojshëm për deshifrim. Në rastin e ExPetr, ky identifikues nuk ekziston. Kjo do të thotë që krijuesit e malware nuk mund të marrin informacionin e kërkuar për të deshifruar skedarët. Me fjalë të tjera, viktimat e ransomware nuk janë në gjendje të rikuperojnë të dhënat e tyre, shpjegon Kaspersky Lab.

Virusi bllokon kompjuterët dhe kërkon 300 dollarë në bitcoin, tha Group-IB për RIA Novosti. Sulmi filloi të martën rreth orës 11:00. Sipas raportimeve të mediave, në orën 18.00 të së mërkurës, portofoli i bitcoin, i cili tregohej për transferimin e fondeve te zhvatësit, mori nëntë transferta. Duke marrë parasysh komisionin e transfertave, viktimat u kanë transferuar hakerëve rreth 2.7 mijë dollarë.

Krahasuar me WannaCry, ky virus njihet si më shkatërrues, pasi përhapet në disa mënyra - nga Dritaret Instrumentimi i Menaxhimit, PsExec dhe shfrytëzimi EternalBlue. Përveç kësaj, enkriptuesi është i ngulitur shërbim falas Mimikatz.

Numri i përdoruesve të sulmuar nga ransomware i ri "Petya" ka arritur në 2000, tha të mërkurën Kaspersky Lab, i cili po heton një valë infeksionesh kompjuterike.

Sipas kompanisë antivirus ESET, sulmi filloi në Ukrainë, e cila vuajti prej tij më shumë se vendet e tjera. Sipas vlerësimit të kompanisë sipas vendeve të prekura nga virusi, Italia është në vendin e dytë pas Ukrainës dhe Izraeli është në vendin e tretë. Në dhjetëshen e parë përfshiheshin gjithashtu Serbia, Hungaria, Rumania, Polonia, Argjentina, Republika Çeke dhe Gjermania. Rusia në këtë listë zuri vendin e 14-të.

Përveç kësaj, Avast tha se cilat Sistemet Operative më e goditura nga virusi.

Windows 7 zuri vendin e parë - 78% e të gjithë kompjuterëve të infektuar. Kjo pasohet nga Windows XP (18%), Windows 10 (6%) dhe Windows 8.1 (2%).

Kështu, WannaCry praktikisht nuk i mësoi asgjë komunitetit botëror - kompjuterët mbetën të pambrojtur, sistemet nuk u përditësuan dhe përpjekjet e Microsoft për të lëshuar arna edhe për sistemet e vjetëruara thjesht shkuan dëm.



1 yll2 yje3 yje4 yje5 yje 5,00 / 3
në shtëpi Tp link Ransomware për viruset kompjuterike. virus ransomware
Artikuj të ngjashëm: