Mae'ch ffeiliau wedi'u hamgryptio - beth i'w wneud?

Pin
Send
Share
Send

Un o'r meddalwedd maleisus mwyaf problemus heddiw yw trojan neu firws sy'n amgryptio ffeiliau ar ddisg defnyddiwr. Gellir dadgryptio rhai o'r ffeiliau hyn, ac nid yw rhai eto. Mae'r llawlyfr yn cynnwys algorithmau posibl ar gyfer gweithredoedd yn y ddwy sefyllfa, ffyrdd o bennu math penodol o amgryptio ar wasanaethau No More Ransom ac ID Ransomware, yn ogystal â throsolwg byr o raglenni ar gyfer amddiffyn rhag firysau ransomware.

Mae yna sawl addasiad i firysau neu ransomware Trojans o'r fath (ac mae rhai newydd yn ymddangos yn gyson), ond mae hanfod gyffredinol y gwaith yn berwi i'r ffaith bod ffeiliau, delweddau a ffeiliau eraill a allai fod yn bwysig wedi'u hamgryptio ar eich cyfrifiadur gyda newid yn estyniad a dileu'r ffeiliau gwreiddiol, ar ôl hynny rydych chi'n derbyn neges yn y ffeil readme.txt bod eich holl ffeiliau wedi'u hamgryptio, ac i'w dadgryptio mae angen i chi anfon swm penodol at yr ymosodwr. Nodyn: Mae gan Ddiweddariad Crëwyr Fall Windows 10 amddiffyniad adeiledig yn erbyn firysau ransomware.

Beth i'w wneud os yw'r holl ddata pwysig wedi'i amgryptio

Ar gyfer cychwynwyr, rhywfaint o wybodaeth gyffredinol i'r rhai sydd wedi amgryptio ffeiliau pwysig ar eu cyfrifiadur. Os yw data pwysig ar eich cyfrifiadur wedi'i amgryptio, yna yn gyntaf oll, peidiwch â chynhyrfu.

Os cewch gyfle o'r fath, o ddisg y cyfrifiadur yr ymddangosodd y firws ransomware arno, copïwch rywle i yriant allanol (gyriant fflach USB) enghraifft o ffeil gyda chais testun ymosodwr am ddadgryptio, ynghyd â rhywfaint o gopi o'r ffeil wedi'i hamgryptio, ac yna, cyfleoedd, diffoddwch y cyfrifiadur fel na allai'r firws barhau i amgryptio data, a chyflawni'r gweithredoedd sy'n weddill ar gyfrifiadur arall.

Y cam nesaf yw defnyddio'r ffeiliau amgryptiedig presennol i ddarganfod yn union pa fath o firws a amgryptiodd eich data: ar gyfer rhai ohonynt mae datgodwyr (rhai y byddaf yn eu nodi yma, mae rhai wedi'u rhestru ger diwedd yr erthygl), i rai - ddim eto. Ond hyd yn oed yn yr achos hwn, gallwch anfon enghreifftiau o ffeiliau wedi'u hamgryptio i labordai gwrth firws (Kaspersky, Dr. Web) i'w harchwilio.

Sut yn union i ddarganfod? Gallwch wneud hyn gan ddefnyddio Google, ar ôl dod o hyd i drafodaethau neu'r math o cryptor trwy estyniad ffeil. Dechreuodd gwasanaethau hefyd ymddangos i benderfynu ar y math o ransomware.

Dim mwy o bridwerth

Mae No More Ransom yn adnodd sy'n datblygu'n weithredol gyda chefnogaeth datblygwyr diogelwch ac sydd ar gael yn y fersiwn Rwsiaidd, gyda'r nod o frwydro yn erbyn firysau â ransomware (ransomware Trojans).

Os bydd yn llwyddiannus, gall No More Ransom helpu i ddadgryptio'ch dogfennau, cronfeydd data, ffotograffau a gwybodaeth arall, lawrlwytho'r rhaglenni dadgryptio angenrheidiol, a hefyd gael gwybodaeth a fydd yn helpu i osgoi bygythiadau o'r fath yn y dyfodol.

Ar No More Ransom, gallwch geisio dadgryptio'ch ffeiliau a phenderfynu ar y math o firws amgryptio fel a ganlyn:

  1. Cliciwch "Ydw" ar brif dudalen y gwasanaeth //www.nomoreransom.org/cy/index.html
  2. Mae tudalen Crypto Sheriff yn agor, lle gallwch chi lawrlwytho enghreifftiau o ffeiliau wedi'u hamgryptio o ddim mwy nag 1 MB o faint (rwy'n argymell eu lawrlwytho heb ddata cyfrinachol), yn ogystal â nodi'r cyfeiriadau e-bost neu'r gwefannau y mae sgamwyr yn gofyn am bridwerth (neu lawrlwythwch y ffeil readme.txt o gofyniad).
  3. Cliciwch y botwm "Gwirio" ac aros i'r siec gwblhau a'i ganlyniad.

Hefyd, mae adrannau defnyddiol ar gael ar y wefan:

  • Mae decryptors bron i gyd yn gyfleustodau sy'n bodoli ar hyn o bryd ar gyfer dadgryptio ffeiliau sydd wedi'u hamgryptio gan firysau.
  • Atal haint - gwybodaeth wedi'i hanelu'n bennaf at ddefnyddwyr newydd, a all helpu i osgoi haint yn y dyfodol.
  • Cwestiynau ac atebion - gwybodaeth i'r rhai sydd am ddeall gwaith firysau a gweithredoedd ransomware yn well mewn achosion pan fyddwch chi'n wynebu'r ffaith bod y ffeiliau ar y cyfrifiadur wedi'u hamgryptio.

Heddiw, mae'n debyg mai No More Ransom yw'r adnodd mwyaf perthnasol a defnyddiol sy'n gysylltiedig â dadgryptio ffeiliau ar gyfer defnyddiwr sy'n siarad Rwsia, rwy'n ei argymell.

ID Ransomware

Gwasanaeth arall o’r fath yw //id-ransomware.malwarehunterteam.com/ (er nad wyf yn gwybod pa mor dda y mae’n gweithio ar gyfer fersiynau iaith Rwsia o’r firws, ond mae’n werth rhoi cynnig arni, gan fwydo’r gwasanaeth enghraifft o ffeil wedi’i hamgryptio a ffeil testun gyda chais pridwerth).

Ar ôl pennu'r math o amgryptiwr, os gwnaethoch chi lwyddo, ceisiwch ddod o hyd i gyfleustodau ar gyfer dadgryptio'r opsiwn hwn yn seiliedig ar ymholiadau fel: Decryptor encryption_type. Mae cyfleustodau o'r fath yn rhad ac am ddim ac yn cael eu cyhoeddi gan ddatblygwyr gwrthfeirws, er enghraifft, gellir dod o hyd i sawl cyfleustodau o'r fath ar wefan Kaspersky //support.kaspersky.ru/viruses/utility (mae cyfleustodau eraill yn agosach at ddiwedd yr erthygl). Ac, fel y soniwyd eisoes, peidiwch ag oedi cyn cysylltu â'r datblygwyr gwrth firws ar eu fforymau neu i'r gwasanaeth cymorth trwy'r post.

Yn anffodus, nid yw hyn i gyd bob amser yn helpu ac nid oes datgodyddion ffeiliau bob amser yn gweithio. Yn yr achos hwn, mae'r senarios yn wahanol: mae llawer yn talu'r ymosodwyr, gan eu hannog i barhau â'r gweithgaredd hwn. Mae rhaglenni ar gyfer adfer data ar gyfrifiadur yn helpu rhai defnyddwyr (gan fod firws, trwy wneud ffeil wedi'i hamgryptio, yn dileu ffeil bwysig gyffredin, y gellir ei hadfer yn ddamcaniaethol).

Mae ffeiliau ar y cyfrifiadur wedi'u hamgryptio yn xtbl

Mae un o'r amrywiadau diweddaraf o'r firws ransomware yn amgryptio ffeiliau, gan ddisodli'r ffeiliau gyda'r estyniad .xtbl ac enw sy'n cynnwys set o nodau ar hap.

Ar yr un pryd, rhoddir ffeil testun readme.txt ar y cyfrifiadur gyda'r cynnwys canlynol: "Mae'ch ffeiliau wedi'u hamgryptio. Er mwyn eu dadgryptio, mae angen i chi anfon y cod i'r cyfeiriad e-bost [email protected], [email protected] neu [email protected]. Nesaf. byddwch yn derbyn yr holl gyfarwyddiadau angenrheidiol. Bydd ymdrechion i ddadgryptio'r ffeiliau eich hun yn arwain at golli gwybodaeth yn anadferadwy "(gall cyfeiriad post a thestun amrywio).

Yn anffodus, ar hyn o bryd nid oes unrhyw ffordd i ddadgryptio .xtbl (cyn gynted ag y bydd yn ymddangos, bydd y cyfarwyddyd yn cael ei ddiweddaru). Mae rhai defnyddwyr a oedd â gwybodaeth wirioneddol bwysig ar eu cyfrifiaduron yn adrodd ar fforymau gwrth-firws eu bod wedi anfon 5,000 rubles neu swm gofynnol arall at awduron y firws ac wedi derbyn datgodiwr, ond mae hyn yn beryglus iawn: efallai na chewch unrhyw beth.

Beth pe bai ffeiliau wedi'u hamgryptio yn .xtbl? Mae fy argymhellion fel a ganlyn (ond maent yn wahanol i'r rhai ar lawer o wefannau thematig eraill, lle, er enghraifft, maent yn argymell diffodd y cyfrifiadur o'r cyflenwad pŵer ar unwaith neu beidio â chael gwared ar y firws. Yn fy marn i, mae hyn yn ddiangen, ac o dan rai amgylchiadau gall fod hyd yn oed niweidiol, fodd bynnag, chi sy'n penderfynu.):

  1. Os gallwch chi, torri ar draws y broses amgryptio trwy gael gwared ar y tasgau cyfatebol yn y rheolwr tasgau, datgysylltu'r cyfrifiadur o'r Rhyngrwyd (gall hyn fod yn amod angenrheidiol ar gyfer amgryptio)
  2. Cofiwch neu ysgrifennwch y cod y mae'n ofynnol i'r ymosodwyr ei anfon i'r cyfeiriad e-bost (dim ond nid mewn ffeil testun ar y cyfrifiadur, rhag ofn na fydd hefyd yn cael ei amgryptio).
  3. Gan ddefnyddio Malwarebytes Antimalware, fersiwn prawf o Kaspersky Internet Security neu Dr.Web Cure It, tynnwch y ffeiliau amgryptio firws (gall yr holl offer rhestredig wneud hyn yn dda). Rwy'n eich cynghori i gymryd eu tro gan ddefnyddio'r cynhyrchion cyntaf a'r ail o'r rhestr (fodd bynnag, os oes gennych wrthfeirws wedi'i osod, mae gosod yr ail “oddi uchod” yn annymunol, oherwydd gall arwain at broblemau yn y cyfrifiadur.)
  4. Disgwylwch i ddadgryptiwr gan gwmni gwrth firws ymddangos. Ar y blaen yma mae Kaspersky Lab.
  5. Gallwch hefyd anfon enghraifft o ffeil wedi'i hamgryptio a'r cod gofynnol i [email protected]os oes gennych gopi o'r un ffeil ar ffurf heb ei amgryptio, anfonwch hi hefyd. Mewn theori, gall hyn gyflymu ymddangosiad datgodiwr.

Beth na ddylid ei wneud:

  • Ail-enwi ffeiliau wedi'u hamgryptio, newid yr estyniad a'u dileu os ydyn nhw'n bwysig i chi.

Mae'n debyg mai dyna'r cyfan y gallaf ei ddweud am ffeiliau wedi'u hamgryptio gyda'r estyniad .xtbl ar yr adeg hon.

Ffeiliau wedi'u hamgryptio gwell_call_saul

Y firws ransomware diweddaraf yw Better Call Saul (Trojan-Ransom.Win32.Shade), sy'n gosod yr estyniad .better_call_saul ar gyfer ffeiliau wedi'u hamgryptio. Mae sut i ddadgryptio ffeiliau o'r fath yn dal yn aneglur. Derbyniodd y defnyddwyr hynny a gysylltodd â Kaspersky Lab a Dr.Web wybodaeth na ellir gwneud hyn eto (ond ceisiwch ei hanfon o hyd - mwy o samplau o ffeiliau wedi'u hamgryptio gan ddatblygwyr = yn fwy tebygol o ddod o hyd i ffordd).

Os yw'n ymddangos eich bod wedi dod o hyd i ddull dadgryptio (hynny yw, cafodd ei bostio yn rhywle, ond wnes i ddim ei ddilyn), rhannwch wybodaeth yn y sylwadau.

Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni

Y trojan canlynol sy'n amgryptio ffeiliau ac yn gosod estyniadau o'r rhestr hon:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (nid y trojan hwn o reidrwydd, mae eraill yn gosod yr un estyniad).
  • .codercsu @ gmail_com
  • .enc
  • .oshit
  • Ac eraill.

I ddadgryptio ffeiliau ar ôl gweithredu'r firysau hyn, mae gan wefan Kaspersky RakhniDecryptor cyfleustodau am ddim, ar gael ar y dudalen swyddogol //support.kaspersky.ru/viruses/disinfection/10556.

Mae yna hefyd gyfarwyddyd manwl ar ddefnyddio’r cyfleustodau hwn, yn dangos sut i adfer ffeiliau wedi’u hamgryptio, y byddwn i rhag ofn yn cael gwared ar yr opsiwn “Dileu ffeiliau wedi’u hamgryptio ar ôl eu dadgryptio’n llwyddiannus” (er fy mod yn credu y bydd popeth yn iawn gyda’r opsiwn sydd wedi’i osod).

Os oes gennych drwydded gwrthfeirws Dr.Web, gallwch ddefnyddio'r dadgryptio am ddim gan y cwmni hwn yn //support.drweb.com/new/free_unlocker/

Mwy o amrywiadau o'r firws ransomware

Yn llai cyffredin, ond hefyd mae'r trojans canlynol sy'n amgryptio ffeiliau ac angen arian i'w dadgryptio. Mae'r dolenni hyn yn cynnwys nid yn unig cyfleustodau ar gyfer dychwelyd eich ffeiliau, ond hefyd ddisgrifiad o arwyddion a fydd yn helpu i benderfynu bod gennych y firws penodol hwn. Er yn gyffredinol, y ffordd orau: gan ddefnyddio Kaspersky Anti-Virus, sganiwch y system, darganfyddwch enw'r pren Troea yn ôl dosbarthiad y cwmni hwn, ac yna edrychwch am gyfleustodau o'r enw hwn.

  • Trojan-Ransom.Win32.Rector - canllaw cyfleustodau a defnydd dadgryptio RectorDecryptor am ddim ar gael yma: //support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist - trojan tebyg sy'n arddangos ffenestr yn gofyn ichi anfon SMS taledig neu gyswllt trwy e-bost i dderbyn cyfarwyddiadau dadgryptio. Mae cyfarwyddiadau ar gyfer adfer ffeiliau wedi'u hamgryptio a chyfleustodau XoristDecryptor ar gyfer hyn ar gael yn //support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - cyfleustodau RannohDecryptor //support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 ac eraill sydd â'r un enw (wrth chwilio trwy gwrthfeirws Dr.Web neu gyfleustodau Cure It) a gyda rhifau gwahanol - ceisiwch chwilio'r Rhyngrwyd am enw'r trojan. Ar gyfer rhai ohonynt mae cyfleustodau dadgryptio Dr.Web, hefyd, os na allech ddod o hyd i'r cyfleustodau, ond mae trwydded Dr.Web, gallwch ddefnyddio'r dudalen swyddogol //support.drweb.com/new/free_unlocker/
  • CryptoLocker - i ddadgryptio ffeiliau ar ôl i CryptoLocker weithio, gallwch ddefnyddio'r wefan //decryptcryptolocker.com - ar ôl anfon y ffeil sampl, byddwch yn derbyn allwedd a chyfleustodau ar gyfer adfer eich ffeiliau.
  • Ar y safle//bitbucket.org/jadacyrus/ransomwareremovalkit/yn lawrlwytho mynediad i Ransomware Removal Kit - archif fawr gyda gwybodaeth am wahanol fathau o amgryptwyr a chyfleustodau dadgryptio (yn Saesneg)

Wel, o'r newyddion diweddaraf - datblygodd Kaspersky Lab, ynghyd â swyddogion gorfodaeth cyfraith o'r Iseldiroedd, Ransomware Decryptor (//noransom.kaspersky.com) i ddadgryptio ffeiliau ar ôl CoinVault, ond nid yw'r ransomware hwn yn ymddangos yn ein lledredau eto.

Amddiffyn firws Ransomware neu ransomware

Wrth i Ransomware ledu, dechreuodd llawer o weithgynhyrchwyr offer gwrthfeirws a gwrth-ddrwgwedd ryddhau eu datrysiadau eu hunain i atal amgryptwyr rhag gweithio ar y cyfrifiadur, ac ymhlith y rhain mae:
  • Gwrth-Ransomware Malwarebytes
  • Gwrth-Ransomware BitDefender
  • WinAntiRansom
Mae'r ddau gyntaf yn dal i fod mewn fersiynau beta, ond am ddim (ar yr un pryd maent yn cefnogi'r diffiniad o ddim ond set gyfyngedig o firysau o'r math hwn - TeslaCrypt, CTBLocker, Locky, CryptoLocker. Mae WinAntiRansom yn gynnyrch taledig sy'n addo atal amgryptio gan bron unrhyw samplau ransomware, gan ddarparu amddiffyniad lleol a gyriannau rhwydwaith.

Ond: nid yw'r rhaglenni hyn wedi'u bwriadu ar gyfer dadgryptio, ond dim ond i atal amgryptio ffeiliau pwysig ar y cyfrifiadur. Beth bynnag, mae'n ymddangos i mi y dylid gweithredu'r swyddogaethau hyn mewn cynhyrchion gwrth-firws, fel arall mae'n sefyllfa ryfedd: mae angen i'r defnyddiwr gael gwrth-firws, offeryn i frwydro yn erbyn AdWare a Malware, a nawr hefyd y cyfleustodau Gwrth-ransomware, a rhag ofn y bydd Gwrth- ecsbloetio.

Gyda llaw, os bydd yn troi allan yn sydyn bod gennych rywbeth i'w ychwanegu (oherwydd ni allaf gadw golwg ar yr hyn sy'n digwydd gyda'r dulliau dadgryptio), adroddwch yn y sylwadau, bydd y wybodaeth hon yn ddefnyddiol i ddefnyddwyr eraill sydd wedi dod ar draws problem.

Pin
Send
Share
Send

Swyddi Poblogaidd

https://eifeg.com 2024