Skedari i virusit ransomware është i bashkangjitur. Asnjë shans shpëtimi: çfarë është një virus ransomware dhe si të merreni me të

Hakerat e Ransomware janë shumë të ngjashëm me shantazhuesit e rregullt. Si në botën reale ashtu edhe në mjedisin kibernetik, ekziston një objekt i vetëm ose grupor i sulmit. Ai ose është vjedhur ose është bërë i paarritshëm. Më tej, autorët përdorin mjete të caktuara komunikimi me viktimat për të përcjellë kërkesat e tyre. Mashtruesit e kompjuterave zakonisht zgjedhin vetëm disa formate për një shënim shpërblesëje, por kopjet e tij mund të gjenden pothuajse në çdo vend memorie në një sistem të infektuar. Në rastin e familjes spyware të njohur si Troldesh ose Shade, mashtruesit marrin një qasje të ndryshme kur kontaktojnë një viktimë.

Le të hedhim një vështrim më të afërt në këtë lloj virusi të kriptimit, i cili synon një audiencë që flet rusisht. Shumica e infeksioneve të ngjashme zbulojnë paraqitjen e tastierës në kompjuterin e sulmuar dhe nëse njëra nga gjuhët është rusisht, ndërhyrja ndalon. Megjithatë, ransomware XTBL i shthurur: për fat të keq për përdoruesit, sulmi vendoset pavarësisht vendndodhjes së tyre gjeografike dhe preferencës gjuhësore. Një mishërim i qartë i kësaj shkathtësie është një paralajmërim që shfaqet si sfond i desktopit, si dhe një skedar TXT me udhëzime për pagesën e shpërblimit.

Virusi XTBL zakonisht përhapet përmes spamit. Mesazhet të kujtojnë letra të markave të njohura, ose thjesht bien në sy, pasi subjekti i mesazhit përdor shprehje të tilla si "Urgjente!" ose "Dokumentet e rëndësishme financiare". Mashtrimi i phishing do të funksionojë kur marrësi i një emaili të tillë. mesazhi do të shkarkojë një skedar ZIP që përmban kodin JavaScript ose një objekt Docm me një makro potencialisht të cenueshëm.

Pas ekzekutimit të algoritmit bazë në kompjuterin e komprometuar, Trojan ransomware vazhdon të kërkojë të dhëna që mund të jenë me vlerë për përdoruesin. Për këtë qëllim, virusi skanon memorien lokale dhe të jashtme, duke krahasuar njëkohësisht çdo skedar me një grup formatesh të zgjedhura bazuar në shtrirjen e objektit. Të gjithë skedarët .jpg, .wav, .doc, .xls, si dhe shumë objekte të tjera, janë të koduara duke përdorur algoritmin e kriptove të bllokut simetrik AES-256.

Ekzistojnë dy aspekte të këtij efekti të dëmshëm. Para së gjithash, përdoruesi humbet aksesin në të dhëna të rëndësishme. Përveç kësaj, emrat e skedarëve janë të koduar thellë, duke rezultuar në një grup të pakuptimtë karakteresh heksadecimal si dalje. Gjithçka që bashkon emrat e skedarëve të prekur është shtesa xtbl e shtuar në to, d.m.th. emri i kërcënimit kibernetik. Emrat e skedarëve të koduar ndonjëherë kanë një format të veçantë. Në disa versione të Troldesh, emrat e objekteve të koduar mund të mbeten të pandryshuar dhe një kod unik shtohet në fund: [email i mbrojtur], [email i mbrojtur], ose [email i mbrojtur]

Natyrisht, sulmuesit, pasi kanë prezantuar adresat e emailit. mail direkt në emrat e skedarëve, tregoni viktimave se si të komunikojnë. Email-i është renditur gjithashtu diku tjetër, përkatësisht në shënimin e shpërblimit që gjendet në skedarin "Readme.txt". Dokumentet e tilla të Notepad do të shfaqen në Desktop, si dhe në të gjitha dosjet me të dhëna të koduara. Mesazhi kryesor është:

“Të gjithë skedarët janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin: [Shiferi juaj unik] në adresën e emailit [email i mbrojtur] ose [email i mbrojtur] Më pas, do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për të deshifruar vetë nuk do të çojnë në asgjë, përveç humbjes së pakthyeshme të informacionit.”

Adresa e emailit mund të ndryshojë në varësi të grupit të ransomware që përhap virusin.

Sa i përket rrugës përpara, në terma të përgjithshëm, mashtruesit përgjigjen duke rekomanduar një shpërblim, që mund të jetë 3 bitcoin, ose ndonjë shumë tjetër në atë gamë. Ju lutemi vini re se askush nuk mund të garantojë që hakerët do ta mbajnë premtimin e tyre edhe pasi të marrin paratë. Për të rivendosur aksesin në skedarët .xtbl, përdoruesit e prekur këshillohen që fillimisht të provojnë të gjitha metodat alternative të disponueshme. Në disa raste, të dhënat mund të rregullohen duke përdorur shërbimin e kopjimit në hije të vëllimit (Volume Shadow Copy), i ofruar direkt në sistemin operativ Windows, si dhe deshifruesit dhe programet e rikuperimit të të dhënave nga shitësit e softuerëve të palëve të treta.

Hiq ransomware XTBL me pastrues automatik

Një metodë jashtëzakonisht efektive për t'u marrë me malware në përgjithësi dhe ransomware në veçanti. Përdorimi i një kompleksi mbrojtës të provuar garanton tërësinë e zbulimit të çdo përbërësi të virusit, heqjen e tyre të plotë me një klik. Ju lutemi vini re se ne po flasim për dy procese të ndryshme: çinstalimin e infeksionit dhe rivendosjen e skedarëve në kompjuterin tuaj. Sidoqoftë, kërcënimi sigurisht që duhet të hiqet, pasi ka informacione për prezantimin e Trojanëve të tjerë kompjuterikë me ndihmën e tij.

  1. . Pas nisjes së softuerit, klikoni butonin Filloni skanimin e kompjuterit(Filloni skanimin).
  2. Softueri i instaluar do të sigurojë një raport mbi kërcënimet e zbuluara gjatë skanimit. Për të hequr të gjitha kërcënimet e gjetura, zgjidhni opsionin Rregulloni Kërcënimet(Hiqni kërcenimet). Malware në fjalë do të hiqet plotësisht.

Rikthe aksesin te skedarët e koduar me shtesën .xtbl

Siç u përmend, ransomware XTBL bllokon skedarët me një algoritëm të fortë kriptimi, në mënyrë që të dhënat e koduara të mos mund të restaurohen me një valë të një shkopi magjik - nëse nuk merrni parasysh pagesën e një shpërblimi të padëgjuar. Por disa metoda mund të bëhen vërtet shpëtimtare që do t'ju ndihmojnë të rikuperoni të dhëna të rëndësishme. Më poshtë mund të njiheni me to.

Dekriptor - program automatik për rikuperimin e skedarëve

Dihet një rrethanë shumë e pazakontë. Ky infeksion fshin skedarët origjinalë në formë të pakriptuar. Procesi i zhvatjes së enkriptimit synon kështu kopjet e tyre. Kjo bën të mundur për mjetet softuerike të tilla si rikuperimi i objekteve të fshira, edhe nëse besueshmëria e heqjes së tyre është e garantuar. Rekomandohet shumë që të drejtoheni në procedurën e rikuperimit të skedarëve, efektiviteti i së cilës është konfirmuar më shumë se një herë.

Kopje në hije të vëllimit

Qasja bazohet në një procedurë rezervë skedari të bazuar në Windows që përsëritet në çdo pikë rikuperimi. Një kusht i rëndësishëm për funksionimin e kësaj metode: funksioni "Rivendosja e sistemit" duhet të aktivizohet përpara infeksionit. Megjithatë, çdo ndryshim i bërë në skedar pas pikës së rivendosjes nuk do të pasqyrohet në versionin e rivendosur të skedarit.

Rezervimi

Kjo është më e mira nga të gjitha metodat pa blerje. Nëse procedura për rezervimin e të dhënave në një server të jashtëm është përdorur përpara se ransomware të sulmonte kompjuterin tuaj, për të rivendosur skedarët e koduar, thjesht duhet të futni ndërfaqen e duhur, të zgjidhni skedarët e nevojshëm dhe të filloni mekanizmin e rikuperimit të të dhënave nga rezervimi. Përpara se të kryeni operacionin, duhet të siguroheni që ransomware është hequr plotësisht.

Kontrolloni për praninë e mundshme të komponentëve të mbetur të virusit ransomware XTBL

Pastrimi manual është i mbushur me rrezikun e mungesës së pjesëve të ransomware që mund të shmangin heqjen në formën e objekteve të fshehura të sistemit operativ ose regjistrimeve të regjistrit. Për të eliminuar rrezikun e ruajtjes së pjesshme të elementeve individuale me qëllim të keq, skanoni kompjuterin tuaj duke përdorur një kompleks të besueshëm universal anti-virus.

është një program me qëllim të keq që kur aktivizohet, kodon të gjithë skedarët personalë, si dokumentet, fotot, etj. Numri i programeve të tilla është shumë i madh dhe po rritet çdo ditë. Kohët e fundit, kemi hasur në dhjetëra opsione ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, etj. Qëllimi i këtij ransomware është të detyrojë përdoruesit të blejnë, shpesh për një shumë të madhe parash, programin dhe çelësin e nevojshëm për të deshifruar skedarët e tyre.

Sigurisht, ju mund të rikuperoni skedarët e koduar thjesht duke ndjekur udhëzimet që krijuesit e virusit lënë në kompjuterin e infektuar. Por më shpesh kostoja e deshifrimit është shumë e rëndësishme, duhet të dini gjithashtu se disa viruse të kriptimit kodojnë skedarët në atë mënyrë që është thjesht e pamundur t'i deshifroni ato më vonë. Dhe sigurisht, është thjesht e pakëndshme të paguani për restaurimin e skedarëve tuaj.

Më poshtë do të flasim më në detaje rreth viruseve ransomware, si depërtojnë në kompjuterin e viktimës, si dhe si të hiqni virusin ransomware dhe të rivendosni skedarët e koduar prej tij.

Si një virus ransomware hyn në një kompjuter

Një virus ransomware zakonisht shpërndahet me email. Letra përmban dokumente të infektuara. Këto email dërgohen në një bazë të dhënash të madhe adresash emaili. Autorët e këtij virusi përdorin tituj dhe përmbajtje mashtruese të emaileve, duke u përpjekur të mashtrojnë përdoruesin që të hapë dokumentin e bashkangjitur emailit. Disa letra informojnë për nevojën për të paguar faturën, të tjera ofrojnë për të parë listën e fundit të çmimeve, të tjera hapin një foto qesharake, etj. Në çdo rast, rezultati i hapjes së skedarit të bashkangjitur do të jetë infektimi i kompjuterit me një virus ransomware.

Çfarë është një virus ransomware

Një virus ransomware është një program keqdashës që infekton versionet moderne të familjes së sistemeve operative Windows, si Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Këto viruse përpiqen të përdorin mënyrat më të forta të mundshme të kriptimit, si RSA -2048 me gjatësinë e çelësit është 2048 bit, gjë që praktikisht përjashton mundësinë e zgjedhjes së një çelësi për vetë-deshifrimin e skedarëve.

Ndërsa infekton një kompjuter, virusi ransomware përdor drejtorinë e sistemit %APPDATA% për të ruajtur skedarët e vet. Për t'u nisur automatikisht kur kompjuteri është i ndezur, ransomware krijon një hyrje në regjistrin e Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Menjëherë pas nisjes, virusi skanon të gjitha disqet e disponueshme, përfshirë rrjetin dhe ruajtjen e resë kompjuterike, për të përcaktuar se cilët skedarë do të kodohen. Virusi ransomware përdor zgjerimin e emrit të skedarit si një mënyrë për të përcaktuar grupin e skedarëve që do të kodohen. Pothuajse të gjitha llojet e skedarëve janë të koduar, duke përfshirë ato të zakonshme si:

0, .1, .1, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdta , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portofol, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg, .wpl, .wps, .wp, .wri .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Menjëherë pasi skedari është i koduar, ai merr një shtesë të re, e cila shpesh mund të përdoret për të identifikuar emrin ose llojin e enkriptuesit. Disa lloje të këtyre malware mund të ndryshojnë gjithashtu emrat e skedarëve të koduar. Virusi më pas krijon një dokument teksti me emra si HELP_YOUR_FILES, README, i cili përmban udhëzime për deshifrimin e skedarëve të koduar.

Gjatë funksionimit të tij, ransomware përpiqet të bllokojë mundësinë e rikuperimit të skedarëve duke përdorur sistemin SVC (kopje në hije të skedarëve). Për ta bërë këtë, virusi në modalitetin e komandës thërret programin për administrimin e kopjeve hije të skedarëve me një çelës që fillon procedurën për heqjen e plotë të tyre. Kështu, është pothuajse gjithmonë e pamundur të rikuperoni skedarët duke përdorur kopjet e tyre në hije.

Virusi ransomware përdor në mënyrë aktive taktika të frikësimit duke i dhënë viktimës një lidhje me një përshkrim të algoritmit të enkriptimit dhe duke shfaqur një mesazh kërcënues në desktop. Ai përpiqet në këtë mënyrë të detyrojë përdoruesin e kompjuterit të infektuar të dërgojë ID-në e kompjuterit në adresën e e-mail të autorit të virusit pa hezitim, në mënyrë që të përpiqet të kthejë skedarët e tij. Përgjigja ndaj një mesazhi të tillë është më shpesh shuma e shpërblimit dhe adresa e portofolit elektronik.

A është kompjuteri im i infektuar me një virus ransomware?

Është mjaft e lehtë të përcaktohet nëse një kompjuter është i infektuar me një virus ransomware apo jo. Kushtojini vëmendje shtesave të skedarëve tuaj personal si dokumente, foto, muzikë, etj. Nëse shtesa ka ndryshuar ose skedarët tuaj personal janë zhdukur, duke lënë pas shumë skedarë me emra të panjohur, atëherë kompjuteri është i infektuar. Përveç kësaj, një shenjë e infeksionit është prania e një skedari me emrin HELP_YOUR_FILES ose README në drejtoritë tuaja. Ky skedar do të përmbajë udhëzime për deshifrimin e skedarëve.

Nëse dyshoni se keni hapur një letër të infektuar me një virus ransomware, por ende nuk ka simptoma të infeksionit, atëherë mos e fikni ose rinisni kompjuterin tuaj. Ndiqni hapat e përshkruar në këtë manual, seksion. Edhe një herë, është shumë e rëndësishme të mos fikni kompjuterin, në disa lloje ransomware, procesi i enkriptimit të skedarëve aktivizohet herën e parë që kompjuteri ndizet pas infektimit!

Si të deshifroni skedarët e koduar nga një virus ransomware?

Nëse kjo fatkeqësi ka ndodhur, atëherë nuk ka nevojë për panik! Por duhet të dini se në shumicën e rasteve nuk ka deshifrues falas. Arsyeja për këtë janë algoritmet e forta të kriptimit të përdorura nga këto malware. Kjo do të thotë se është pothuajse e pamundur të deshifrosh skedarët pa një çelës privat. Përdorimi i metodës së përzgjedhjes së çelësit nuk është gjithashtu një opsion, për shkak të gjatësisë së madhe të çelësit. Prandaj, për fat të keq, vetëm duke u paguar autorëve të virusit të gjithë shumën e kërkuar është mënyra e vetme për të provuar të merrni çelësin e deshifrimit.

Sigurisht, nuk ka absolutisht asnjë garanci që pas pagesës, autorët e virusit do të kontaktojnë dhe do të japin çelësin e nevojshëm për të deshifruar skedarët tuaj. Për më tepër, duhet të kuptoni se duke paguar para zhvilluesve të viruseve, ju vetë po i shtyni ata të krijojnë viruse të reja.

Si të hiqni virusin ransomware?

Përpara se të vazhdoni me këtë, duhet të dini se kur filloni të hiqni virusin dhe përpiqeni të rivendosni vetë skedarët, ju bllokoni aftësinë për të deshifruar skedarët duke u paguar autorëve të virusit shumën që ata kërkuan.

Kaspersky Virus Removal Tool dhe Malwarebytes Anti-malware mund të zbulojnë lloje të ndryshme të viruseve aktive ransomware dhe do t'i heqin lehtësisht nga kompjuteri juaj, POR ata nuk mund të rikuperojnë skedarë të koduar.

5.1. Hiq ransomware me Kaspersky Virus Removal Tool

Si parazgjedhje, programi është konfiguruar të rikuperojë të gjitha llojet e skedarëve, por për të përshpejtuar punën, rekomandohet të lini vetëm llojet e skedarëve që duhet të rikuperoni. Kur të keni përfunduar zgjedhjen tuaj, shtypni butonin OK.

Në fund të dritares QPhotoRec, gjeni butonin Browse dhe klikoni atë. Duhet të zgjidhni një direktori ku do të ruhen skedarët e rikuperuar. Këshillohet të përdorni një disk që nuk përmban skedarë të koduar që kërkojnë rikuperim (mund të përdorni një USB flash drive ose një disk të jashtëm).

Për të filluar procedurën për kërkimin dhe rivendosjen e kopjeve origjinale të skedarëve të koduar, klikoni butonin Kërko. Ky proces kërkon shumë kohë, prandaj jini të durueshëm.

Kur kërkimi ka përfunduar, klikoni butonin Quit. Tani hapni dosjen që keni zgjedhur për të ruajtur skedarët e rikuperuar.

Dosja do të përmbajë direktori të quajtura recup_dir.1, recup_dir.2, recup_dir.3 e kështu me radhë. Sa më shumë skedarë të gjejë programi, aq më shumë drejtori do të ketë. Për të gjetur skedarët që ju nevojiten, kontrolloni të gjitha drejtoritë një nga një. Për ta bërë më të lehtë gjetjen e skedarit që ju nevojitet midis një numri të madh të atyre të rikuperuar, përdorni sistemin e integruar të kërkimit të Windows (sipas përmbajtjes së skedarit), dhe gjithashtu mos harroni për funksionin e renditjes së skedarëve në drejtori. Ju mund të zgjidhni datën kur skedari është modifikuar si një parametër renditjeje, pasi QPhotoRec përpiqet të rivendosë këtë veçori kur rivendos një skedar.

Si të parandaloni që një kompjuter të infektohet nga një virus ransomware?

Shumica e programeve moderne antivirus tashmë kanë një sistem mbrojtjeje të integruar kundër depërtimit dhe aktivizimit të viruseve ransomware. Prandaj, nëse kompjuteri juaj nuk ka një program antivirus, atëherë sigurohuni që ta instaloni atë. Mund të mësoni se si ta zgjidhni duke lexuar këtë.

Për më tepër, ekzistojnë programe të specializuara mbrojtëse. Për shembull, ky është CryptoPrevent, më shumë detaje.

Disa fjalë të fundit

Duke ndjekur këtë udhëzim, kompjuteri juaj do të pastrohet nga virusi ransomware. Nëse keni pyetje ose keni nevojë për ndihmë, ju lutemi na kontaktoni.

Përshëndetje të gjithëve, sot do t'ju tregoj se si të deshifroni skedarët pas një virusi në Windows. Një nga malware-ët më problematikë sot është një trojan ose virus që kodon skedarët në diskun e një përdoruesi. Disa nga këto skedarë mund të deshifrohen, dhe disa - ende jo. Në artikull do të përshkruaj algoritmet e mundshme të veprimeve në të dyja situatat.

Ka disa modifikime të këtij virusi, por thelbi i përgjithshëm i punës është që pas instalimit në kompjuterin tuaj, dokumenti, imazhi dhe skedarët e tjerë potencialisht të rëndësishëm kodohen me një ndryshim në shtrirje, pas së cilës ju merrni një mesazh që thotë se të gjitha skedarët tuaj janë të koduar dhe për t'i deshifruar ato, duhet t'i dërgoni një sasi të caktuar sulmuesit.

Skedarët në kompjuter janë të koduar në xtbl

Një nga variantet më të fundit të virusit ransomware kodon skedarët, duke i zëvendësuar ato me skedarë me shtesën .xtbl dhe një emër që përbëhet nga një grup karakteresh të rastësishëm.

Në të njëjtën kohë, në kompjuter vendoset një skedar teksti readme.txt me përmbajtjen e mëposhtme: “Skedarët tuaj janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin në adresën e emailit [email i mbrojtur], [email i mbrojtur] ose [email i mbrojtur] Më pas, do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për të deshifruar skedarët vetë do të çojnë në humbje të pakthyeshme të informacionit "(adresa e emailit dhe teksti mund të ndryshojnë).

Për fat të keq, aktualisht nuk ka asnjë mënyrë për të deshifruar .xtbl (sapo të shfaqet, udhëzimet do të përditësohen). Disa përdorues që kishin informacion vërtet të rëndësishëm në kompjuterin e tyre, raportojnë në forumet antivirus se u dërguan autorëve të virusit 5000 rubla ose shumë të tjera të kërkuara dhe morën një deshifrues, por kjo është shumë e rrezikshme: mund të mos merrni asgjë.

Po sikur skedarët të ishin të koduar në .xtbl? Rekomandimet e mia janë si më poshtë (por ato ndryshojnë nga ato në shumë site të tjera tematike, ku, për shembull, rekomandojnë fikjen e menjëhershme të kompjuterit nga rrjeti ose mos heqjen e virusit. Për mendimin tim, kjo është e panevojshme dhe në disa rrethana madje mund të jetë e dëmshme, por varet nga ju.):

  1. Nëse e dini se si, ndërprisni procesin e kriptimit duke hequr detyrat e duhura në menaxherin e detyrave, duke shkëputur kompjuterin nga Interneti (ky mund të jetë një kusht i domosdoshëm për kriptim)
  2. Mbani mend ose shkruani kodin që sulmuesit kërkojnë të dërgohet në adresën e emailit (por jo në një skedar teksti në kompjuter, për çdo rast, në mënyrë që as ai të mos jetë i koduar).
  3. Përdorni Malwarebytes Antimalware, një version provë të Kaspersky Internet Security, ose Dr.Web Cure It për të hequr një virus që kodon skedarët (të gjitha këto mjete bëjnë një punë të mirë për këtë). Unë ju këshilloj të përdorni produktin e parë dhe të dytë nga lista me radhë (megjithatë, nëse keni të instaluar një antivirus, instalimi i të dytit "nga lart" është i padëshirueshëm, pasi mund të çojë në probleme me kompjuterin tuaj.)
  4. Prisni që të shfaqet një dekriptues nga ndonjë kompani antivirus. Në ballë këtu është Kaspersky Lab.
  5. Ju gjithashtu mund të dërgoni një shembull të një skedari të koduar dhe kodin e kërkuar [email i mbrojtur], nëse keni një kopje të pakriptuar të të njëjtit skedar, ju lutemi dërgoni edhe atë. Në teori, kjo mund të përshpejtojë shfaqjen e dekoderit.

Çfarë nuk duhet bërë:

  • Riemërtoni skedarët e koduar, ndryshoni shtesën dhe fshijini nëse janë të rëndësishëm për ju.

Kjo, ndoshta, është gjithçka që mund të them për skedarët e enkriptuar me shtesën .xtbl në këtë moment kohor.

Trojan-Ransom.Win32.Aura dhe Trojan-Ransom.Win32.Rakhni

Trojani i mëposhtëm kodon skedarët dhe instalon shtesa nga kjo listë:

  • .i bllokuar
  • .kripto
  • .kraken
  • .AES256 (jo domosdoshmërisht ky trojan, ka të tjerë që instalojnë të njëjtën shtesë).
  • [email i mbrojtur] _com
  • .oshit
  • Dhe të tjerët.

Për të deshifruar skedarët pas funksionimit të këtyre viruseve, faqja e internetit e Kaspersky ka një mjet falas RakhniDecryptor të disponueshëm në faqen zyrtare http://support.kaspersky.ru/viruses/disinfection/10556.

Ekziston gjithashtu një udhëzim i detajuar se si të përdorni këtë mjet, duke treguar se si të rikuperoni skedarët e koduar, nga të cilët, për çdo rast, do të hiqja artikullin "Fshi skedarët e koduar pas deshifrimit të suksesshëm" (megjithëse, mendoj se gjithçka do të jetë mirë me opsioni i instaluar).

Nëse keni një licencë për antivirusin Dr.Web, mund të përdorni dekriptimin falas nga kjo kompani në http://support.drweb.com/new/free_unlocker/

Më shumë variante të virusit ransomware

Më pak të zakonshme, por ka edhe trojanët e mëposhtëm që enkriptojnë skedarët dhe kërkojnë para për deshifrimin. Lidhjet e ofruara përmbajnë jo vetëm mjete për kthimin e skedarëve tuaj, por edhe një përshkrim të shenjave që do të ndihmojnë në përcaktimin se keni këtë virus të veçantë. Edhe pse në përgjithësi, mënyra më e mirë është të skanoni sistemin duke përdorur Kaspersky Anti-Virus, të zbuloni emrin e Trojanit sipas klasifikimit të kësaj kompanie dhe më pas të kërkoni mjetin me këtë emër.

  • Trojan-Ransom.Win32.Rector - mjeti falas i deshifrimit dhe udhëzuesi i përdorimit RectorDecryptor i disponueshëm këtu: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist është një trojan i ngjashëm që shfaqet në një dritare duke ju kërkuar të dërgoni një SMS me pagesë ose të kontaktoni një email për udhëzime deshifrimi. Udhëzimet për rikuperimin e skedarëve të koduar dhe programin XoristDecryptor për këtë mund të gjenden në http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - programi RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 dhe të tjerë me të njëjtin emër (kur kërkoni përmes antivirusit Dr.Web ose programit Cure It) dhe numrave të ndryshëm - provoni të kërkoni në Internet për emrin Trojan. Për disa prej tyre ka mjete deshifrimi nga Dr.Web, gjithashtu, nëse nuk e gjeni dot programin, por ekziston një licencë Dr.Web, mund të përdorni faqen zyrtare http://support.drweb.com/new/ free_zhbllokues/
  • CryptoLocker - për të deshifruar skedarët pasi të funksionojë CryptoLocker, mund të përdorni sitin http://decryptolocker.com - pasi të dërgoni një skedar mostër, do të merrni një çelës dhe një mjet për të rikuperuar skedarët tuaj.

Epo, nga lajmet më të fundit - Kaspersky Lab, së bashku me oficerët e zbatimit të ligjit nga Holanda, zhvilluan Dekriptuesin e Ransomware (http://noransom.kaspersky.com) për të deshifruar skedarët pas CoinVault, por ky ransomware nuk është gjetur ende në gjerësinë tonë.

Nga rruga, nëse papritmas rezulton se keni diçka për të shtuar (sepse mund të mos kem kohë të monitoroj se çfarë po ndodh me metodat e deshifrimit), më tregoni në komente, ky informacion do të jetë i dobishëm për përdoruesit e tjerë që kanë hasi në një problem.

Në mënyrë tipike, malware punon për të fituar kontrollin mbi një kompjuter, për ta përfshirë atë në një rrjet zombie ose për të vjedhur të dhëna personale. Një përdorues i pavëmendshëm mund të mos vërejë për një kohë të gjatë që sistemi është i infektuar. Por ransomware, në veçanti xtbl, funksionon në një mënyrë krejtësisht të ndryshme. Ata i bëjnë skedarët e përdoruesve të papërdorshëm duke i enkriptuar me algoritmin më kompleks dhe duke kërkuar një shumë të madhe nga pronari për mundësinë e rikuperimit të informacionit.

Shkaku i problemit: virusi xtbl

Virusi ransomware xtbl mori emrin e tij nga fakti se dokumentet e përdoruesit të koduara prej tij marrin shtesën .xtbl. Në mënyrë tipike, koduesit lënë një çelës në trupin e skedarit në mënyrë që programi universal i deshifrimit të mund të rivendosë informacionin në formën e tij origjinale. Sidoqoftë, virusi është krijuar për qëllime të tjera, kështu që në vend të një çelësi, në ekran shfaqet një ofertë për të paguar një shumë të caktuar duke përdorur detaje anonime.

Si funksionon virusi xtbl

Virusi hyn në kompjuter përmes mesazheve të postës elektronike me bashkëngjitje të infektuara, të cilat janë skedarë aplikacioni të zyrës. Pasi përdoruesi të ketë hapur përmbajtjen e mesazhit, malware fillon të kërkojë foto, çelësa, video, dokumente etj., dhe më pas duke përdorur algoritmin kompleks origjinal (kriptimi hibrid) i kthen ato në depo xtbl.

Virusi përdor dosjet e sistemit për të ruajtur skedarët e tij.

Virusi shtohet në listën e fillimit. Për ta bërë këtë, ai shton shënime në regjistrin e Windows nën seksionet:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Kompjuteri i infektuar funksionon në mënyrë të qëndrueshme, sistemi nuk "dështon", por një aplikacion i vogël (ose dy) me një emër të pakuptueshëm është vazhdimisht në RAM. Dhe dosjet me skedarët e punës së përdoruesit marrin një pamje të çuditshme.

Mesazhi i mëposhtëm shfaqet në desktop në vend të ekranit me spërkatje:

Skedarët tuaj janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin në adresën e emailit: [email i mbrojtur](kodi vijon). Më pas do të merrni udhëzime të mëtejshme. Përpjekjet e pavarura për të deshifruar skedarët do të çojnë në shkatërrimin e tyre të plotë.

I njëjti tekst gjendet në skedarin Si të deshifroni skedarët tuaj.txt të gjeneruar. Adresa e emailit, kodi, shuma e kërkuar mund të ndryshojnë.

Shumë shpesh, disa mashtrues fitojnë para nga të tjerët - numri i portofolit elektronik të zhvatësve futet në trupin e virusit, i cili nuk ka asnjë mënyrë për të deshifruar skedarët. Pra, një përdorues sylesh që dërgon para nuk merr asgjë në këmbim.

Pse nuk duhet të paguani zhvatësit

Është e pamundur të pranosh të bashkëpunosh me zhvatësit jo vetëm për shkak të parimeve morale. Kjo është gjithashtu e paarsyeshme nga pikëpamja praktike.

  • Mashtrim. Nuk është e sigurt që sulmuesit do të jenë në gjendje të deshifrojnë skedarët tuaj. Një nga fotografitë e supozuara të deshifruara të kthyera tek ju nuk shërben as si provë - mund të jetë thjesht origjinali i vjedhur përpara kriptimit. Paratë e paguara do të shkojnë të kota.
  • Mundësia e përsëritjes. Duke konfirmuar gatishmërinë tuaj për të paguar, do të bëheni pre më e dëshirueshme për një sulm të dytë. Ndoshta herën tjetër skedarët tuaj do të kenë një shtrirje të ndryshme dhe një mesazh tjetër do të shfaqet në ekranin me spërkatje, por paratë do të shkojnë për të njëjtët njerëz.
  • Konfidencialiteti. Ndërsa skedarët, megjithëse të koduar, janë në kompjuterin tuaj. Duke negociuar me "vilakë të ndershëm", do të detyroheni t'u dërgoni atyre të gjitha informacionet tuaja personale. Algoritmi nuk parashikon marrjen e çelësit dhe deshifrimin e pavarur, vetëm dërgimin e skedarëve në dekoder.
  • Infeksion kompjuterik. Kompjuteri juaj është ende i infektuar, kështu që deshifrimi i skedarëve nuk është një zgjidhje e plotë për problemin.

    • Si të mbroni sistemin tuaj nga një virus

    Rregullat universale kundër malware dhe minimizimit të dëmeve do të ndihmojnë edhe në këtë rast.

  • Kujdes nga lidhjet e rastësishme. Nuk ka nevojë të hapni emailet e marra nga dërgues të panjohur, duke përfshirë reklamat dhe ofertat e bonusit. Në raste ekstreme, ju mund t'i lexoni ato duke ruajtur së pari shtojcën në disk dhe duke e kontrolluar atë me një antivirus.
  • Shijoni mbrojtjen. Programet antivirus shtohen vazhdimisht në bibliotekat e kodeve me qëllim të keq, kështu që versioni aktual i mbrojtësit nuk do të lejojë shumicën e viruseve në kompjuterin tuaj.
  • Shpërndani aksesin. Virusi do të shkaktojë shumë më tepër dëme nëse hyn përmes llogarisë së administratorit. Është më mirë të punosh në emër të përdoruesit, duke ngushtuar në mënyrë dramatike mundësinë e infeksionit.
  • Krijoni kopje rezervë. Informacioni i rëndësishëm duhet të rezervohet rregullisht në media të jashtme të ruajtura veçmas nga kompjuteri. Gjithashtu, mos harroni për krijimin e pikave rezervë të rivendosjes së Windows.

    • A është e mundur të rikuperoni informacionin e koduar

    Lajmi i mirë është se rikuperimi i të dhënave është i mundur. Lajmi i keq: nuk mund ta bëni vetë. Arsyeja për këtë është veçoria e algoritmit të kriptimit, zgjedhja e çelësit për të cilin kërkon shumë më tepër burime dhe njohuri të grumbulluara sesa përdoruesi mesatar. Për fat të mirë, zhvilluesit e antiviruseve e konsiderojnë si një çështje nderi të merren me çdo malware, kështu që edhe nëse nuk mund të përballen me ransomware-in tuaj për momentin, ata patjetër do të gjejnë një zgjidhje brenda një ose dy muajsh. Do të duhet të jetë i durueshëm.

    Për shkak të nevojës për të kontaktuar specialistë, algoritmi për të punuar me një kompjuter të infektuar po ndryshon. Rregulli i përgjithshëm: sa më pak ndryshime, aq më mirë. Antiviruset përcaktojnë metodën e trajtimit sipas "tipareve gjenerike" të një programi me qëllim të keq, kështu që skedarët e infektuar janë një burim informacioni të rëndësishëm për ta. Ju duhet t'i hiqni ato vetëm pasi të zgjidhni problemin kryesor.

    Rregulli i dytë: ndaloni virusin me çdo kusht. Ndoshta ai ende nuk i ka prishur të gjitha informacionet, dhe gjurmët e enkriptuesit kanë mbetur në RAM, me të cilin mund ta identifikoni atë. Prandaj, duhet të fikni menjëherë kompjuterin nga rrjeti dhe të fikni laptopin duke shtypur gjatë butonin e rrjetit. Këtë herë, procedura standarde e mbylljes "të butë", e cila bën të mundur daljen e këndshme të të gjitha proceseve, nuk do të funksionojë, pasi njëri prej tyre është duke koduar informacionin tuaj.

    Rivendosja e skedarëve të koduar

    Nëse e keni fikur kompjuterin

    Nëse keni arritur të fikni kompjuterin para përfundimit të procesit të kriptimit, atëherë nuk keni nevojë ta ndizni vetë. Çojini "të sëmurët" menjëherë tek specialistët, kodimi i ndërprerë rrit ndjeshëm shanset për të ruajtur skedarët personalë. Këtu mund të kontrolloni gjithashtu me siguri median tuaj të ruajtjes dhe të krijoni kopje rezervë. Me një probabilitet të lartë, vetë virusi do të njihet, kështu që trajtimi për të do të jetë i suksesshëm.

    Nëse kriptimi ka përfunduar

    Fatkeqësisht, mundësia për të ndërprerë me sukses procesin e kriptimit është shumë e vogël. Zakonisht virusi ka kohë për të koduar skedarët dhe për të hequr gjurmët e panevojshme nga kompjuteri. Dhe tani keni dy probleme: Windows është ende i infektuar dhe skedarët personalë janë shndërruar në një grup karakteresh. Për të zgjidhur problemin e dytë, duhet të përdorni ndihmën e prodhuesve të programeve antivirus.

    Dr Ueb

    Dr.Web Lab ofron shërbimet e tij të deshifrimit falas vetëm për pronarët e licencave tregtare. Me fjalë të tjera, nëse nuk jeni ende klienti i tyre, por dëshironi të rikuperoni skedarët tuaj, do t'ju duhet të blini programin. Nisur nga situata aktuale, ky është investimi i duhur.

    Hapi tjetër është të shkoni në faqen e internetit të prodhuesit dhe të plotësoni formularin e hyrjes.

    Nëse midis skedarëve të koduar ka nga ata, kopjet e të cilëve ruhen në media të jashtme, transferimi i tyre do të lehtësojë shumë punën e dekoderëve.

    Kaspersky

    Kaspersky Lab ka zhvilluar mjetin e vet të deshifrimit të quajtur RectorDecryptor, i cili mund të shkarkohet në një kompjuter nga faqja zyrtare e kompanisë.

    Çdo version i sistemit operativ, duke përfshirë Windows 7, ka programin e vet. Pasi ta shkarkoni, shtypni butonin në ekran "Filloni skanimin".

    Puna e shërbimeve mund të vonohet për ca kohë nëse virusi është relativisht i ri. Në këtë rast, kompania zakonisht dërgon një njoftim. Ndonjëherë deshifrimi mund të zgjasë disa muaj.

    Shërbime të tjera

    Ka gjithnjë e më shumë shërbime me funksione të ngjashme, gjë që tregon kërkesën për shërbime deshifrimi. Algoritmi i veprimeve është i njëjtë: shkojmë në sit (për shembull, https://decryptolocker.com/), regjistrohemi dhe dërgojmë skedarin e koduar.

    Programet e dekoderit

    Ka shumë oferta të "dekoduesve universalë" (natyrisht, me pagesë) në rrjet, por dobia e tyre është e dyshimtë. Sigurisht, nëse vetë prodhuesit e virusit shkruajnë një dekriptues, ai do të funksionojë me sukses, por i njëjti program do të jetë i padobishëm për një aplikacion tjetër me qëllim të keq. Përveç kësaj, specialistët që merren rregullisht me viruse zakonisht kanë një paketë të plotë të shërbimeve të nevojshme, kështu që ata kanë një probabilitet të lartë për të pasur të gjitha programet e punës. Blerja e një dekoderi të tillë ka të ngjarë të jetë humbje parash.

    Si të deshifroni skedarët duke përdorur Kaspersky Lab - video

    Vetë-rikuperimi i informacionit

    Nëse për ndonjë arsye nuk mund të kontaktoni specialistë të palëve të treta, mund të përpiqeni të rikuperoni informacionin vetë. Ne do të bëjmë një rezervë që në rast dështimi, skedarët mund të humbasin përgjithmonë.

    Rikuperimi i skedarëve të fshirë

    Pas kriptimit, virusi fshin skedarët origjinalë. Sidoqoftë, Windows 7 ruan të gjitha informacionet e fshira për ca kohë në formën e të ashtuquajturës kopje hije.

    eksplorues i hijeve

    ShadowExplorer është një mjet i krijuar për të rivendosur skedarët nga kopjet e tyre në hije.

  • Për ta instaluar, shkoni në faqen e internetit të zhvilluesit dhe shkarkoni arkivin, pas shpaketimit të të cilit moduli i ekzekutueshëm do të ruhet në dosjen ShadowExplorerPortable me të njëjtin emër. Një shkurtore e nisjes së shpejtë do të shfaqet në desktop.
  • Për më tepër, të gjitha veprimet janë intuitive. Drejtoni programin dhe në dritaren e sipërme majtas zgjidhni diskun ku janë ruajtur të dhënat dhe datën kur është krijuar kopja hije. Ju duhet data më e fundit.
  • Tani gjeni seksionin që përmban skedarët e punës dhe kliko me të djathtën mbi të. Në menynë e kontekstit që hapet, zgjidhni "Eksport", më pas specifikoni shtegun për të ruajtur skedarët e rikuperuar. Programi do të gjejë të gjitha kopjet ekzistuese hije në këtë dosje dhe do t'i eksportojë ato sipas synimit.

    • PhotoRec

    Programi falas PhotoRec funksionon në të njëjtin parim, por në modalitetin e grupit.

  • Shkarkoni arkivin nga faqja e zhvilluesit dhe nxirreni atë në disk. Ekzekutuesi quhet QPhotoRec_Win.
  • Kur të hapet, aplikacioni do të shfaqë një listë të të gjitha pajisjeve të disponueshme të diskut në një kuti dialogu. Zgjidhni atë ku janë ruajtur skedarët e koduar dhe specifikoni shtegun për të ruajtur kopjet e rivendosura.

    Për ruajtje, është më mirë të përdorni media të jashtme, siç është një USB flash drive, pasi çdo shkrim në disk është i rrezikshëm duke fshirë kopjet hije.

  • Pasi të keni zgjedhur drejtoritë e dëshiruara, shtypni butonin e kornizës së formateve të skedarit.
  • Menyja rënëse është një listë e llojeve të skedarëve që aplikacioni mund të rikuperojë. Si parazgjedhje, ka një shenjë kontrolli pranë secilit, megjithatë, për të përshpejtuar punën, mund të hiqni "zogjtë" shtesë, duke lënë vetëm ato që korrespondojnë me llojet e skedarëve që rikuperohen. Kur të përfundoni përzgjedhjen, shtypni butonin OK në ekran.
  • Pasi të përfundojë përzgjedhja, butoni "Kërko" në ekran bëhet i disponueshëm. Klikoni atë. Procedura e rikuperimit është një proces që kërkon shumë kohë, prandaj jini të durueshëm.
  • Pasi të prisni që procesi të përfundojë, shtypni butonin Quit në ekran dhe dilni nga programi.
  • Skedarët e restauruar ndodhen në drejtorinë e specifikuar më parë dhe ndahen në dosje me emra të njëjtë recup_dir.1, recup_dir.2, recup_dir.3 e kështu me radhë. Kaloni secilën me radhë dhe kthejini ato në emrat e tyre origjinalë.

    • Heqja e virusit

    Meqenëse virusi u fut në kompjuter, programet e instaluara të sigurisë nuk e përballuan detyrën e tyre. Mund të përpiqeni të merrni ndihmë nga jashtë.

    E rëndësishme! Heqja e virusit shëron kompjuterin, por nuk rikthen skedarët e koduar. Përveç kësaj, instalimi i softuerit të ri mund të korruptojë ose fshijë disa nga kopjet hije të skedarëve që nevojiten për t'i rikthyer ato. Prandaj, është më mirë të instaloni aplikacione në disqe të tjerë.

    Mjeti për heqjen e virusit Kaspersky

    Një program falas nga një zhvillues i njohur i softuerit antivirus, i cili mund të shkarkohet nga faqja e internetit e Kaspersky Lab. Pas nisjes së Kaspersky Virus Removal Tool, ai menjëherë ju kërkon të filloni skanimin.

    Pas shtypjes së butonit të madh në ekran "Start scan", programi fillon skanimin e kompjuterit.

    Mbetet të presim përfundimin e skanimit dhe të heqim të ftuarit e paftuar të gjetur.

    Malwarebytes Anti-malware

    Një tjetër zhvillues i softuerit antivirus që ofron një version falas të skanerit. Algoritmi i veprimeve është i njëjtë:

  • Shkarkoni skedarin e instalimit për Malwarebytes Anti-malware nga faqja zyrtare e prodhuesit, më pas ekzekutoni instaluesin duke iu përgjigjur pyetjeve dhe duke klikuar butonin "Tjetër".
  • Dritarja kryesore do t'ju kërkojë të përditësoni menjëherë programin (një procedurë e dobishme për përditësimin e bazave të të dhënave të viruseve). Pas kësaj, filloni kontrollin duke klikuar në butonin e duhur.
  • Malwarebytes Anti-malware skanon sistemin hap pas hapi, duke shfaqur rezultate të ndërmjetme në ekran.
  • Viruset e gjetura, duke përfshirë ransomware, shfaqen në dritaren përfundimtare. Largohuni prej tyre duke shtypur butonin "Fshi të zgjedhurit" në ekran.

    Për të hequr saktë disa aplikacione me qëllim të keq, Malwarebytes Anti-malware do t'ju kërkojë të rindizni sistemin, ju duhet të pranoni këtë. Pas rifillimit të Windows, antivirusi do të vazhdojë të pastrohet.

    • Çfarë nuk duhet bërë

    Virusi XTBL, si viruset e tjerë ransomware, dëmton si sistemin ashtu edhe informacionin e përdoruesit. Prandaj, për të zvogëluar dëmtimin e mundshëm, duhen marrë disa masa paraprake:

    1. Mos prisni që enkriptimi të përfundojë. Nëse enkriptimi i skedarit ka filluar para syve tuaj, nuk duhet të prisni se si do të përfundojë, ose të përpiqeni ta ndërprisni procesin në mënyrë programore. Fikni menjëherë kompjuterin dhe telefononi specialistët.
    2. Mos u përpiqni ta hiqni vetë virusin nëse mund t'u besoni profesionistëve.
    3. Mos e riinstaloni sistemin deri në fund të trajtimit. Virusi do të infektojë në mënyrë të sigurt edhe sistemin e ri.
    4. Mos riemërtoni skedarët e enkriptuar. Kjo vetëm do të komplikojë punën e dekoderit.
    5. Mos u përpiqni të lexoni skedarë të infektuar në një kompjuter tjetër derisa virusi të hiqet. Kjo mund të çojë në përhapjen e infeksionit.
    6. Mos paguani zhvatësit. Kjo është e padobishme dhe inkurajon krijuesit e viruseve dhe mashtruesit.
    7. Mos harroni për parandalimin. Instalimi i një antivirusi, kopje rezervë të rregullt, krijimi i pikave të rikuperimit do të zvogëlojë ndjeshëm dëmtimet e mundshme nga malware.

    Trajtimi i një kompjuteri të infektuar me një virus ransomware është një procedurë e gjatë dhe jo gjithmonë e suksesshme. Prandaj, është kaq e rëndësishme të merren masa paraprake kur merrni informacion nga rrjeti dhe punoni me media të jashtme të paverifikuara.

    Nëse sistemi është i infektuar me malware nga Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, Familjet e Trojan-Ransom.Win32.CryptXXX, të gjithë skedarët në kompjuter do të kodohen si më poshtë:

    • Kur Trojan-Ransom.Win32.Rannoh është i infektuar, emrat dhe shtesat do të ndryshojnë sipas modelit të kyçur-<оригинальное_имя>.<4 произвольных буквы>.
    • Kur Trojan-Ransom.Win32.Cryakl është i infektuar, një shenjë (CRYPTENDBLACKDC) shtohet në fund të përmbajtjes së skedarëve.
    • Kur Trojan-Ransom.Win32.AutoIt është i infektuar, zgjerimi ndryshon sipas modelit<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
      Për shembull, [email i mbrojtur] _.RZWDTDIC.
    • Kur Trojan-Ransom.Win32.CryptXXX është i infektuar, zgjerimi ndryshon sipas shablloneve<оригинальное_имя>.kripta,<оригинальное_имя>.crypz dhe<оригинальное_имя>.cryp1.

    Shërbimi RannohDecryptor është projektuar për të deshifruar skedarët pas infektimit me Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Crybolain , Trojan- Ransom.Win32.Cryakl ose Trojan-Ransom.Win32.CryptXXX versionet 1, 2 dhe 3.

    Si të kuroni sistemin

    Për të kuruar një sistem të infektuar:

    1. Shkarkoni skedarin RannohDecryptor.zip.
    2. Ekzekutoni skedarin RannohDecryptor.exe në makinën e infektuar.
    3. Në dritaren kryesore, klikoni Filloni verifikimin.
    1. Specifikoni rrugën drejt skedarit të koduar dhe të pakriptuar.
      Nëse skedari është i koduar me Trojan-Ransom.Win32.CryptXXX, specifikoni skedarët më të mëdhenj. Deshifrimi do të jetë i disponueshëm vetëm për skedarë me madhësi të barabartë ose më të vogël.
    2. Prisni deri në fund të kërkimit dhe deshifrimit të skedarëve të koduar.
    3. Rinisni kompjuterin tuaj nëse kërkohet.
    4. pasi u mbyll-<оригинальное_имя>.<4 произвольных буквы>Për të fshirë një kopje të skedarëve të enkriptuar të llojit të suksesshëm të deshifrimit, zgjidhni .

    Nëse skedari është i koduar nga Trojan-Ransom.Win32.Cryakl, programi do ta ruajë skedarin në vendndodhjen e tij të vjetër me shtesën .decryptedKLR.original_extension. Nëse keni zgjedhur Fshini skedarët e koduar pas deshifrimit të suksesshëm, skedari i deshifruar do të ruhet nga programi me emrin origjinal.

    1. Si parazgjedhje, programi nxjerr raportin e funksionimit në rrënjën e diskut të sistemit (disku në të cilin është instaluar OS).

      Emri i raportit është si më poshtë: UtilityName.Version_Date_Time_log.txt

      Për shembull, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    Në një sistem të infektuar me Trojan-Ransom.Win32.CryptXXX, programi skanon një numër të kufizuar formatesh skedarësh. Kur një përdorues zgjedh një skedar të prekur nga CryptXXX v2, rikuperimi i çelësit mund të zgjasë shumë. Në këtë rast, programi shfaq një paralajmërim.



    Po ngarkohet...
    Top