Mae eich ffeiliau wedi cael eu hamgryptio - beth i'w wneud?

Un o'r malware mwyaf problemus heddiw yw trojan neu feirws sy'n amgryptio ffeiliau ar ddisg defnyddiwr. Gellir dadgryptio rhai o'r ffeiliau hyn, a rhai - nid ydynt eto. Mae'r llawlyfr yn cynnwys algorithmau posibl ar gyfer gweithredoedd yn y ddwy sefyllfa, ffyrdd o bennu'r math penodol o amgryptio ar wasanaethau No More Ransom ac ID Ransomware, yn ogystal â throsolwg byr o'r feddalwedd amgryptio gwrth-firws (ransomware).

Mae sawl addasiad o firysau neu ryngwelediad o'r fath Trojans (ac mae rhai newydd yn ymddangos yn gyson), ond hanfod cyffredinol y gwaith yw, ar ôl gosod ffeiliau dogfennau, delweddau a ffeiliau eraill a allai fod yn bwysig, eu bod wedi'u hamgryptio gydag estyniad a dileu'r ffeiliau gwreiddiol. yna rydych yn derbyn neges yn y ffeil readme.txt yn nodi bod eich holl ffeiliau wedi cael eu hamgryptio, ac er mwyn eu dadgryptio mae angen i chi anfon swm penodol at yr ymosodwr. Nodyn: Ffenestri 10 Mae diweddariad Creawdwr Cwympo bellach wedi ei ddiogelu rhag firysau amgryptio.

Beth os caiff yr holl ddata pwysig ei amgryptio

I ddechrau, rhywfaint o wybodaeth gyffredinol am amgryptio ffeiliau pwysig ar eich cyfrifiadur. Os yw'r data pwysig ar eich cyfrifiadur wedi'i amgryptio, yna ni ddylech chi fynd i banig yn gyntaf.

Os cewch chi gyfle o'r fath, copïwch ffeil sampl gyda chais testun gan yr ymosodwr i'w ddadgriptio, yn ogystal ag enghraifft o'r ffeil wedi'i hamgryptio, i'r gyriant allanol (gyriant fflach) o'r ddisg gyfrifiadurol lle ymddangosodd y feirws-amgryptor (ransomware). Diffoddwch y cyfrifiadur fel na all y firws barhau i amgryptio'r data, a pherfformio gweddill y gweithredoedd ar gyfrifiadur arall.

Y cam nesaf yw darganfod pa fath o feirws y mae eich data wedi'i amgryptio arno gan ddefnyddio'r ffeiliau sydd wedi'u hamgryptio sydd ar gael: i rai ohonynt mae descramblers (bydd rhai ohonynt yn tynnu sylw at hyn, rhai wedi'u nodi'n agosach at ddiwedd yr erthygl), i rai - hyd yn hyn. Ond hyd yn oed yn yr achos hwn, gallwch anfon enghreifftiau o ffeiliau wedi'u hamgryptio at labordai gwrth-firws (Kaspersky, Dr. Web) i'w hastudio.

Sut yn union i ddarganfod? Gallwch wneud hyn trwy ddefnyddio Google, dod o hyd i drafodaethau neu fath o gryptograffydd trwy estyniad ffeil. Hefyd dechreuodd ymddangos gwasanaethau i benderfynu ar y math o ransomware.

Dim More Ransom

Mae No More Ransom yn adnodd sy'n datblygu'n weithredol ac a gefnogir gan ddatblygwyr offer diogelwch ac sydd ar gael yn fersiwn Rwsia, gyda'r nod o frwydro yn erbyn firysau gan cryptograffwyr (Trojans-extortionists).

Gyda lwc, ni all No More Ransom helpu i ddadgryptio eich dogfennau, cronfeydd data, lluniau a gwybodaeth arall, lawrlwytho'r rhaglenni angenrheidiol ar gyfer dadgriptio, a hefyd gael gwybodaeth a fydd yn helpu i osgoi bygythiadau o'r fath yn y dyfodol.

Ar No More Ransom, gallwch geisio dadgryptio'ch ffeiliau a phenderfynu ar y math o feirws amgryptio fel a ganlyn:

  1. Cliciwch "Ie" ar brif dudalen y gwasanaeth // www.nomoreransom.org/ru/index.html
  2. Bydd y dudalen Crypto Sheriff yn agor, lle gallwch lawrlwytho enghreifftiau o ffeiliau wedi'u hamgryptio heb fod yn fwy nag 1 Mb o ran maint (argymhellaf lwytho unrhyw ddata cyfrinachol i fyny), a hefyd nodi cyfeiriadau e-bost neu safleoedd y mae twyllwyr yn gofyn am bridwerth (neu lawrlwytho'r ffeil readme.txt o gofyniad).
  3. Cliciwch ar y botwm "Gwirio" ac arhoswch i gwblhau'r siec a'i chanlyniad.

Yn ogystal, mae gan y wefan adrannau defnyddiol:

  • Dadgryptwyr - bron pob cyfleustodau presennol ar gyfer dadgryptio ffeiliau wedi'u hamgryptio â feirws.
  • Atal haint - gwybodaeth wedi'i hanelu'n bennaf at ddefnyddwyr newydd, a all helpu i osgoi haint yn y dyfodol.
  • Cwestiynau ac Atebion - gwybodaeth i'r rhai sydd am ddeall yn well waith firysau a gweithrediadau amgryptio mewn achosion pan fyddwch chi'n wynebu'r ffaith bod y ffeiliau ar eich cyfrifiadur wedi'u hamgryptio.

Heddiw, mae'n debyg mai No More Ransom yw'r adnodd mwyaf perthnasol a defnyddiol sy'n gysylltiedig â dadgryptio ffeiliau ar gyfer defnyddiwr o Rwsia, rwy'n argymell.

Id ransomware

Mae gwasanaeth arall o'r fath yn //id-ransomware.malwarehunterteam.com/ (er nad wyf yn gwybod pa mor dda y mae'n gweithio ar gyfer amrywiadau o'r feirws yn Rwsia, ond mae'n werth ceisio rhoi enghraifft i'r defnyddiwr o ffeil wedi'i hamgryptio a ffeil destun gyda chais pridwerth).

Ar ôl penderfynu ar y math o cryptographer, os byddwch yn llwyddo, ceisiwch ddod o hyd i gyfleustodau i ddadgryptio'r opsiwn hwn ar gyfer ymholiadau fel: Decryptor Type_Chiler. Mae cyfleustodau o'r fath yn rhad ac am ddim ac yn cael eu cynhyrchu gan ddatblygwyr gwrth-firws, er enghraifft, gellir dod o hyd i nifer o gyfleustodau o'r fath ar wefan Kaspersky //support.kaspersky.ru/viruses/utility (mae cyfleustodau eraill yn nes at ddiwedd yr erthygl). Ac, fel y soniwyd eisoes, mae croeso i chi gysylltu â datblygwyr rhaglenni gwrth-firws ar eu fforymau neu eu gwasanaeth cefnogi post.

Yn anffodus, nid yw hyn oll bob amser yn helpu ac nid oes bob amser yn gweithio decrypters ffeiliau. Yn yr achos hwn, mae'r senarios yn wahanol: mae llawer yn talu tresbaswyr, gan eu hannog i barhau â'r gweithgaredd hwn. Mae rhai defnyddwyr yn cael eu helpu gan raglen i adfer data ar gyfrifiadur (oherwydd bod firws, trwy wneud ffeil wedi'i amgryptio, yn dileu ffeil reolaidd, bwysig y gellir ei hadfer yn ddamcaniaethol).

Mae ffeiliau ar y cyfrifiadur wedi'u hamgryptio yn xtbl

Mae un o'r amrywiadau diweddaraf o'r firws ransomware yn amgryptio ffeiliau, gan amnewid ffeiliau gyda'r estyniad .xtbl ac enw sy'n cynnwys cyfres o gymeriadau ar hap.

Ar yr un pryd, caiff ffeil testun readme.txt ei gosod ar y cyfrifiadur sydd â'r cynnwys canlynol: "Cafodd eich ffeiliau eu hamgryptio. Er mwyn eu dadgryptio, mae angen i chi anfon y cod i'r cyfeiriad e-bost [email protected], [email protected] neu [email protected]. byddwch yn derbyn yr holl gyfarwyddiadau angenrheidiol.Bydd ymdrechion i ddadgryptio'r ffeiliau eich hun yn arwain at golli gwybodaeth na ellir ei hadfer "(gall cyfeiriad post a thestun fod yn wahanol).

Yn anffodus, ar hyn o bryd nid oes modd dadgryptio .xtbl (cyn gynted ag y bydd yn ymddangos, caiff y cyfarwyddyd ei ddiweddaru). Mae rhai defnyddwyr a oedd â gwybodaeth wirioneddol bwysig ar eu cyfrifiadur yn adrodd ar fforymau gwrth-firws y gwnaethon nhw eu hanfon 5000 o rubles neu swm gofynnol arall i awduron y feirws ac wedi derbyn descramble, ond mae hyn yn beryglus iawn: efallai na fyddwch chi'n derbyn unrhyw beth.

Beth petai'r ffeiliau'n cael eu hamgryptio yn .xtbl? Mae fy argymhellion fel a ganlyn (ond maent yn wahanol i'r rhai ar lawer o safleoedd thematig eraill, lle, er enghraifft, maent yn argymell eich bod yn diffodd y cyfrifiadur o'r cyflenwad pŵer ar unwaith neu beidio â thynnu'r firws. Yn fy marn i, mae hyn yn ddiangen, ac o dan rai amgylchiadau gall fod hyd yn oed yn waeth pa mor benderfynol ydych chi.):

  1. Os gallwch, torrwch y broses amgryptio ar draws drwy dynnu'r tasgau cyfatebol yn y rheolwr tasgau, gan ddatgysylltu'ch cyfrifiadur o'r Rhyngrwyd (gall hyn fod yn amod angenrheidiol ar gyfer amgryptio)
  2. Cofiwch neu ysgrifennwch y cod y mae angen i'r ymosodwyr ei anfon i gyfeiriad e-bost (nid mewn ffeil testun ar y cyfrifiadur rhag ofn, fel na fydd yn cael ei amgryptio).
  3. Gan ddefnyddio Malwarebytes Antimalware, fersiwn treial o Kaspersky Internet Security neu Dr.Web Cure It i gael gwared ar y firws sy'n amgryptio ffeiliau (mae'r holl offer uchod yn gwneud gwaith da gyda hyn). Rwyf yn eich cynghori i gymryd eu tro gan ddefnyddio'r cynnyrch cyntaf a'r ail o'r rhestr (er, os oes gennych chi gyffur gwrth-firws, mae gosod yr ail "ar ben" yn annymunol, gan y gall arwain at broblemau yng ngweithrediad y cyfrifiadur.)
  4. Arhoswch i'r cwmni gwrth-firws ymddangos. Ar flaen y gad mae Kaspersky Lab.
  5. Gallwch hefyd anfon enghraifft o ffeil wedi'i hamgryptio a'r cod gofynnol at [email protected], os oes gennych gopi o'r un ffeil ar ffurf heb ei hamgryptio, anfonwch hi hefyd. Mewn theori, gall hyn gyflymu ymddangosiad y decoder.

Beth i'w wneud:

  • Ail-enwi'r ffeiliau wedi'u hamgryptio, newid yr estyniad a'u dileu os ydynt yn bwysig i chi.

Mae'n debyg mai'r cyfan y gallaf ei ddweud am y ffeiliau wedi'u hamgryptio gyda'r estyniad .xtbl ar hyn o bryd.

Mae ffeiliau wedi'u hamgryptio better_call_saul

Y firws amgryptio diweddaraf yw Gwell Call Saul (Trojan-Ransom.Win32.Shade), sy'n gosod yr estyniad .better_call_saul ar gyfer ffeiliau wedi'u hamgryptio. Nid yw sut i ddadgryptio ffeiliau o'r fath yn glir eto. Derbyniodd y defnyddwyr hynny a gysylltodd â Kaspersky Lab a Dr.Web wybodaeth na ellir gwneud hyn ar hyn o bryd (ond ceisiwch anfon beth bynnag - mwy o samplau o ffeiliau wedi'u hamgryptio gan ddatblygwyr = yn fwy tebygol o ddod o hyd i ffordd).

Os yw'n ymddangos eich bod wedi dod o hyd i ffordd o ddadgryptio (ee, cafodd ei bostio rywle, ond ni ddilynais i), rhannwch y wybodaeth yn y sylwadau.

Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni

Mae'r Trojan canlynol sy'n amgryptio ffeiliau a gosodiadau o'r rhestr hon:

  • .gloi
  • .crypto
  • .k
  • .AES256 (nid y trojan hwn o reidrwydd, mae eraill yn gosod yr un estyniad).
  • .codercsu @ gmail_com
  • .enc
  • .oshit
  • Ac eraill.

I ddadgryptio ffeiliau ar ôl gweithredu'r firysau hyn, mae gan wefan Kaspersky gyfleustodau am ddim, RakhniDecryptor, sydd ar gael ar y dudalen swyddogol //support.kaspersky.com/viruses/disinfection/10556.

Mae yna hefyd gyfarwyddyd manwl ar sut i ddefnyddio'r cyfleustodau hyn, gan ddangos sut i adfer ffeiliau wedi'u hamgryptio, y byddwn yn rhagosod yr achos yn eu herbyn "Dileu ffeiliau wedi'u hamgryptio ar ôl dadgriptio llwyddiannus" (er fy mod yn credu y bydd popeth yn iawn gyda'r opsiwn gosod).

Os oes gennych chi drwydded gwrth-firws Dr.Web, gallwch ddefnyddio'r dadgriptio am ddim gan y cwmni hwn yn //support.drweb.com/new/free_unlocker/

Mwy o amrywiadau o firws amgryptio

Yn fwy anaml, ond mae yna hefyd y Trojans canlynol, gan amgryptio ffeiliau ac angen arian i'w dadgriptio. Nid cyfleustodau yn unig ar gyfer dychwelyd eich ffeiliau yw'r dolenni a ddarperir, ond hefyd disgrifiad o'r arwyddion a fydd yn helpu i benderfynu bod gennych y firws penodol hwn. Er yn gyffredinol, y ffordd orau: gyda chymorth Kaspersky Anti-Virus, sganio'r system, darganfyddwch enw'r Trojan yn ôl dosbarthiad y cwmni hwn, ac yna chwiliwch am y cyfleustodau yn ôl yr enw hwnnw.

  • Trojan-Ransom.Win32.Rector yn ddefnyddioldeb RectorDecryptor rhad ac am ddim ar gyfer dadgriptio a chanllaw defnydd ar gael yma: //support.kaspersky.com/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist yn Trojan tebyg sy'n dangos ffenestr yn gofyn i chi anfon SMS â thâl neu gyswllt drwy e-bost i gael cyfarwyddiadau ar ddadgodio. Mae cyfarwyddiadau ar gyfer adfer ffeiliau wedi'u hamgryptio a'r cyfleustodau XoristDecryptor ar gyfer hyn ar dudalen //support.kaspersky.com/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 cyfleustodau
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 ac eraill sydd â'r un enw (wrth chwilio trwy Dr.Web gwrth-firws neu'r cyfleustod Cure It) a rhifau gwahanol - ceisiwch chwilio'r Rhyngrwyd gan enw'r Trojan. Ar gyfer rhai ohonynt mae cyfleustodau dadgriptio Dr.Web, hefyd, os na allech chi ddod o hyd i'r cyfleustodau, ond mae yna drwydded Dr.Web, gallwch ddefnyddio'r dudalen swyddogol //support.drweb.com/new/free_unlocker/
  • CryptoLocker - i ddadgryptio ffeiliau ar ôl rhedeg CryptoLocker, gallwch ddefnyddio'r wefan //decryptcryptolocker.com - ar ôl anfon y ffeil sampl, byddwch yn derbyn allwedd a chyfleustodau i adennill eich ffeiliau.
  • Ar y safle//bitbucket.org/jadacyrus/ransomwareremovalkit/lawrlwythiadau ar gael Pecyn Symud Ransomware - archif fawr gyda gwybodaeth am wahanol fathau o grycograffwyr a chyfleustodau dadgriptio (yn Saesneg)

Wel, o'r newyddion diweddaraf - datblygodd Kaspersky Lab, ynghyd â swyddogion gorfodi'r gyfraith o'r Iseldiroedd, Ransomware Decryptor (//noransom.kaspersky.com) i ddadgryptio ffeiliau ar ôl CoinVault, fodd bynnag, ni ddaethpwyd o hyd i'r caethiwed hwn eto yn ein lledredau.

Amgryptwyr gwrth-firws neu ransomware

Gyda thwf Ransomware, dechreuodd llawer o wneuthurwyr offer gwrth-firws a gwrth-faleis ryddhau eu datrysiadau i atal amgryptio ar y cyfrifiadur, yn eu plith mae:
  • Malwarebytes Anti-ransomware
  • BitDefender Anti-Ransomware
  • WinAntiRansom
Mae'r ddau gyntaf yn dal i fod mewn beta, ond yn rhad ac am ddim (maent ond yn cefnogi'r diffiniad o set gyfyngedig o firysau o'r math hwn - TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom - cynnyrch â thâl sy'n addo atal amgryptio gyda bron unrhyw sampl o ransomware, gan ddarparu amddiffyniad ar gyfer lleol a gyriannau rhwydwaith.

Ond: nid yw'r rhaglenni hyn wedi'u cynllunio i ddadgryptio, ond dim ond er mwyn atal amgryptio ffeiliau pwysig ar eich cyfrifiadur. Ac yn gyffredinol, ymddengys i mi y dylai'r swyddogaethau hyn gael eu gweithredu mewn cynhyrchion gwrth-firws, neu fel arall ceir sefyllfa ryfedd: mae angen i'r defnyddiwr gadw gwrth-firws ar y cyfrifiadur, modd i frwydro yn erbyn AdWare a Malware, ac yn awr hefyd cyfleustodau Gwrth-ransomware, rhag ofn y bydd Gwrth- manteisio.

Gyda llaw, os yn sydyn mae'n ymddangos bod gennych rywbeth i'w ychwanegu (oherwydd gan nad oes gennyf amser i fonitro'r hyn sy'n digwydd gyda'r dulliau dadgriptio), adroddwch am sylwadau, bydd y wybodaeth hon yn ddefnyddiol i ddefnyddwyr eraill sydd wedi dod ar draws problem.