Virus này sẽ mã hóa các file và đổi tên. Làm thế nào để giải mã các tập tin virus mã hóa

Gần đây đã có một sự gia tăng hoạt động của các thế hệ mới của các chương trình máy tính độc hại. Họ xuất hiện trong một thời gian dài (6-8 năm trước), nhưng tiến độ thực hiện của họ lên đến đỉnh điểm ngay bây giờ. Người ta ngày càng phải đối mặt với thực tế là các file virus được mã hóa.

Chúng ta đã biết rằng đây không chỉ là một phần mềm nguyên thủy độc hại, ví dụ, ngăn chặn các máy tính (gây ra màn hình xanh), và các chương trình nghiêm túc nhằm thiệt hại, như một quy luật, các số liệu kế toán. Họ mã hóa tất cả các file có trong tầm tay, trong đó có 1C dữ liệu, docx, xlsx, jpg, doc, xls, pdf, zip.

virus nguy hiểm đặc biệt coi

Nó nằm ở thực tế rằng đây áp dụng RSA-key, được gắn vào máy tính của người dùng cụ thể, do đó, các bộ giải mã phổ quát (decryptor) là mất tích. Virus đang hoạt động tại một trong những máy tính, không thể làm việc ở nơi khác.

Sự nguy hiểm cũng là trong thực tế là hơn một năm trên Internet đặt sẵn các chương trình xây dựng (Builder), cho phép phát triển một loại virus như vậy, thậm chí kulhatskeram (cá nhân tự coi mình là hacker, nhưng không phải để học lập trình).

Hiện nay, có sửa đổi mạnh hơn.

phương pháp thực hiện cơ sở dữ liệu phần mềm độc hại

Virus Bản tin sản xuất cố tình, như một quy luật, bộ phận kế toán của công ty. Thứ nhất, nó thu thập các bộ phận e-mail nhân sự, chiếm bộ phận của cơ sở dữ liệu như vậy, ví dụ, hh.ru. Tiếp theo là gửi ra chữ. Họ thường chứa một yêu cầu liên quan đến việc thông qua một vị trí cụ thể. thư như file đính kèm với một bản tóm tắt, trong đó các tài liệu thực tế với một cấy OLE đối tượng (pdf-file với một virus).

Trong tình huống mà nhân viên kế toán ngay lập tức đưa ra tài liệu, sau khi khởi động sau đây xảy ra: một loại virus và đổi tên các tập tin được mã hóa, và sau đó tự hủy.

Đây là loại thư thường đầy đủ bằng văn bản và gửi đến hộp nespamerskogo (tên phù hợp với chữ ký). Vị trí tuyển dụng luôn yêu cầu trên cơ sở hoạt động của công ty, đó là lý do nghi ngờ không phát sinh profiling.

Không có giấy phép "Kaspersky" (phần mềm diệt virus) hay "Virus hoàn toàn" (file đính kèm kiểm tra trực tuyến dịch vụ để kiểm tra virus) không thể bảo vệ máy tính của bạn trong trường hợp này. Đôi khi, một số chương trình chống virus để quét vấn đề mà các tập tin đính kèm là Gen: Variant.Zusy.71505.

Làm thế nào để tránh bị nhiễm virus?

Nó là cần thiết để kiểm tra từng tập tin nhận được. đặc biệt chú văn bản vordovsky đã nhúng pdf.

Biến thể của thông điệp "nhiễm"

Rất nhiều trong số họ. Các biến thể phổ biến nhất của virus mã hóa tập tin được hiển thị dưới đây. Trong mọi trường hợp, các tài liệu sau đến bằng e-mail:

1. Thông báo về sự bắt đầu của quá trình xem xét áp dụng cho một hành động pháp lý công ty cụ thể (chữ dùng để kiểm tra dữ liệu bằng cách nhấp vào liên kết).
2. Thư từ SAC cho việc thu hồi nợ.
3. Thông điệp từ Sberbank cho sự gia tăng nợ hiện có.
4. Thông báo về việc sửa chữa vi phạm giao thông.
5. Một lá thư từ một cơ quan bộ sưu tập với sự chậm trễ tối đa có thể thanh toán.

Thông báo về mã hóa tập tin

Nó sẽ xuất hiện sau khi nhiễm trùng trong thư mục gốc của ổ đĩa C. Đôi khi tất cả các thư mục với một loại văn bản bị hư hỏng đặt file ChTO_DELAT.txt, CONTACT.txt. Ở đó, người dùng sẽ được thông báo về làm thế nào để mã hóa file của nó được thực hiện bởi các thuật toán mã hóa đáng tin cậy. Và nó đã cảnh báo về việc sử dụng phù hợp các công cụ của bên thứ ba, vì điều này có thể gây thiệt hại cho các tập tin cuối cùng, do đó sẽ dẫn đến việc không thể giải mã tiếp theo.

Thông báo được khuyến khích để rời khỏi máy tính trong tình trạng không thay đổi gì. Nó chỉ lưu trữ được cung cấp bởi một phím (thường là 2 ngày). Nêu ra chính xác ngày, sau đó bất kỳ loại điều trị sẽ bị bỏ qua.

Vào cuối e-mail nhất định. Nó cũng khẳng định rằng người dùng phải nhập ID của bạn và rằng bất kỳ hành động sau đây có thể dẫn đến việc loại bỏ các phím, cụ thể là:

• lăng mạ;
• chi tiết về yêu cầu mà không cần thanh toán trong tương lai;
• mối đe dọa.

Làm thế nào để giải mã tập tin được mã hóa virus?

Đây là loại mã hóa là rất mạnh mẽ: các tập tin được gán cho một phần mở rộng như hoàn hảo, nochance, vv Crack chỉ đơn giản là không thể, nhưng bạn có thể thử để kết nối một cryptanalyst và tìm kiếm một lỗ hổng (trong một số tình huống để giúp TS WEB) ..

Có 1 cách để khôi phục lại các tập tin virus mã hóa, nhưng nó không phải là thích hợp cho tất cả các loại virus, cũng cần phải loại bỏ các exe gốc với các chương trình độc hại này, đó là đủ khó thực hiện tự hủy sau.

Xin vui lòng liên quan đến virut của một mã đặc biệt - một kiểm tra nhỏ, bởi vì các tập tin tại thời điểm này đã có một bộ giải mã (mã, có thể nói, những kẻ tấn công không cần). Bản chất của phương pháp này - mục trong virus thâm nhập (tại chỗ của mã đầu vào so sánh bản thân) đội trống. Kết quả - một chương trình độc hại tự chạy giải mã các tập tin và do đó phục hồi chúng hoàn toàn.

Trong mỗi loại virus có tính năng mã hóa đặc biệt của riêng mình, đó là lý do tại sao một tập tin thực thi của bên thứ ba (định dạng exe) sẽ không giải mã, hoặc bạn có thể thử để lựa chọn các chức năng trên, đòi hỏi tất cả các hành động thực hiện trên WinAPI.

virus mã hóa tập tin: phải làm gì?

Để thực hiện các thủ tục giải mã được yêu cầu:

1. Tạo bản sao lưu (sao lưu các tập tin hiện có). Vào cuối giải mã tất cả nó loại bỏ chính nó.
2. Trên máy tính (nạn nhân), bạn phải chạy chương trình độc hại này, sau đó chờ đợi, chứa một yêu cầu liên quan đến sự ra đời của mã khi cửa sổ được hiển thị.
3. Tiếp theo, bạn cần phải bắt đầu từ tập tin lưu trữ gắn Patcher.exe.
4. Bước tiếp theo là để giới thiệu một số quá trình virus, sau đó nó là cần thiết để bấm "Enter-".
5. Sẽ «vá» nhắn, có nghĩa là cọ xát hướng dẫn so sánh.
6. Tiếp theo là sự ra đời của các mã trong hộp gõ bất kỳ ký tự, và sau đó bấm vào nút "OK".
7. Virus này bắt đầu quá trình giải mã tập tin, sau đó ông loại bỏ chính mình.

Làm thế nào để tránh mất dữ liệu xem xét do phần mềm độc hại?

Đó là giá trị để biết rằng trong một tình huống mà virus mã hóa file cho quá trình thời gian giải mã mất. Vấn đề quan trọng trong việc ủng hộ là các phần mềm độc hại nói trên có một lỗi cho phép bạn tiết kiệm một số tác phẩm, nếu nhanh chóng ngắt kết nối máy tính (kéo phích cắm ra khỏi ổ cắm, tắt dải điện, tháo pin ra trong trường hợp của một máy tính xách tay), ngay sau khi một số lượng lớn các tập tin mở rộng quy định trước đây .

Một lần nữa cần phải nhấn mạnh rằng điều chủ yếu - là để liên tục tạo ra một bản sao lưu, nhưng không phải trong một thư mục khác, không phải trên phương tiện di động được đưa vào máy tính, kể từ khi sửa đổi của virus và sẽ đạt những nơi này. Đó là giá trị để giữ các bản sao lưu trên một máy tính khác nhau, một ổ cứng, mà không vĩnh viễn gắn vào máy tính, và trong đám mây.

Cần được điều trị với sự nghi ngờ cho tất cả các tài liệu đi kèm trong mail từ người lạ (dưới dạng tóm tắt, hóa đơn, Nghị quyết của SAC hoặc thuế và những người khác.). Họ không nên chạy trên máy tính của bạn (cho mục đích này các netbook, không chứa dữ liệu quan trọng có thể được xác định).

*.paycrypt@gmail.com chương trình độc hại: Biện pháp khắc phục

.. Trong một tình huống mà các mã hóa loại virus nêu trên file CBF, doc, jpg, vv chỉ có ba kịch bản:

1. Cách đơn giản nhất để thoát khỏi nó - loại bỏ tất cả các file bị nhiễm (nó là chấp nhận được, nếu dữ liệu không phải là rất quan trọng).
2. Xem phòng thí nghiệm chương trình chống virus, ví dụ, Tiến sĩ WEB. phát triển Email vài file bị nhiễm với phím cần thiết để giải mã, nằm trên máy tính như KEY.PRIVATE.
3. Cách đắt nhất. Ông thừa nhận việc thanh toán số tiền yêu cầu cho các tin tặc giải mã file bị nhiễm. Thông thường, chi phí của dịch vụ này là giữa 200-500 USD .. Đây là chấp nhận được trong một tình huống mà virus mã hóa file của một công ty lớn, trong đó có một dòng chảy lớn của thông tin diễn ra trên một cơ sở hàng ngày, và chương trình độc hại này có thể chỉ trong vài giây gây ra thiệt hại to lớn. Liên quan đến thanh toán này - phiên bản nhanh nhất của sự phục hồi các file bị nhiễm.

Đôi khi nó có hiệu quả và một tùy chọn bổ sung. Trong trường hợp virus mã hóa file (paycrypt @ gmail_com hoặc phần mềm độc hại khác) có thể giúp hệ thống cuộn lại một vài ngày trước.

Chương trình để giải mã RectorDecryptor

Nếu virus mã hóa file jpg, doc, CBF và vân vân. N., có thể giúp một chương trình đặc biệt. Đối với điều này trước tiên chúng ta cần phải đi đến khởi động và tắt tất cả nhưng chống virus. Tiếp theo, bạn cần phải khởi động lại máy tính của bạn. Xem tất cả các file, làm nổi bật đáng ngờ. Trong lĩnh vực dưới cái tên "Team" tuyên bố vị trí của một tập tin cụ thể (nên chú ý đến các ứng dụng mà không có một chữ ký: các nhà sản xuất - không có dữ liệu).

Tất cả các tập tin đáng ngờ được xóa, sau đó sự cần thiết phải làm sạch bộ nhớ đệm trình duyệt thư mục tạm thời (CCleaner chương trình phù hợp cho mục đích này).

Để bắt đầu giải mã, bạn phải tải chương trình trên. Sau đó, chạy nó và bấm vào nút "Start Scan", xác định tập tin sửa đổi và mở rộng của họ. Trong các phiên bản hiện đại của chương trình chỉ có thể xác định bản thân các tập tin bị nhiễm và bấm vào nút "Open". Sau đó, các tập tin sẽ được giải mã.

Sau đó, tiện ích sẽ tự động quét tất cả các dữ liệu máy tính, bao gồm các file được lưu trữ trên các kết nối ổ đĩa mạng, và mã hóa chúng. quá trình phục hồi này có thể mất vài giờ (tùy thuộc vào khối lượng công việc và tốc độ của máy tính).

Kết quả là, tất cả các file bị lỗi sẽ được giải mã trong cùng một thư mục, nơi họ đã được cài đặt ban đầu. Cuối cùng nó sẽ chỉ phải gỡ bỏ tất cả các file đang tồn tại với phần mở rộng đáng ngờ, mà bạn có thể đặt xuống một đánh dấu vào truy vấn "Xóa các tập tin được mã hóa sau khi giải mã thành công" bằng cách nhấn một pre-nút "Change quét cài đặt". Tuy nhiên, nó là tốt hơn không đưa, như trong trường hợp của một giải mã thất bại của tập tin mà họ có thể nghỉ hưu, và sau đó phải khôi phục chúng đầu tiên.

Vì vậy, nếu virus mã hóa file doc, CBF, jpg t. E., không nên vội vàng để mã thanh toán. Có lẽ anh không cần nó.

Sắc thái loại bỏ các tập tin được mã hóa

Khi bạn cố gắng để loại bỏ tất cả các tập tin bị hư hỏng bằng cách sử dụng tìm kiếm chuẩn và loại bỏ sau đó có thể bắt đầu treo và làm chậm máy tính của bạn. Do đó, đối với thủ tục này, bạn nên sử dụng một đặc biệt dòng lệnh. Sau khi ra mắt nó là cần thiết để nhập dữ liệu sau: del «: \ *. » / f / s.

Hãy chắc chắn rằng bạn muốn xóa những tập tin này là "Read-menya.txt", mà trong dòng lệnh tương tự phải ghi rõ: del ": \ * » / f / s..

Do đó, nó có thể được lưu ý rằng nếu virus đã thay đổi tên và mã hóa tập tin, bạn không nên chỉ chi tiền cho việc mua tội phạm quan trọng đầu tiên cần thiết để cố gắng tìm hiểu những vấn đề của riêng mình. Nó là tốt hơn để đầu tư vào việc mua một chương trình đặc biệt để giải mã các tập tin bị hỏng.

Cuối cùng nó cũng cần nhớ lại rằng trong bài viết này các câu hỏi liên quan như thế nào để giải mã các tập tin virus mã hóa.