Viruset krypterar filer och bytt namn. Hur dekryptera filer krypterade virus

Nyligen har det skett en våg av aktivitet i den nya generationen av skadliga datorprogram. De verkade under lång tid (6 - 8 år sedan), men takten i genomförandet nådde en topp nu. Det är allt inför det faktum att viruset filen är krypterad.

Vi vet redan att detta inte bara är en primitiv skadlig programvara, till exempel blockera datorn (som orsakar blå skärm), och seriösa program som syftar till skada, som regel, redovisningsdata. De kryptera alla filer som finns inom räckhåll, inklusive uppgifter 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Särskilda risker anses virus

Det ligger i det faktum att detta gäller RSA-nyckel, som är knuten till en viss användares dator, som en följd, är den universella dekoder (decryptor) saknas. Virus som är aktiva i en av datorerna, kanske inte fungerar i en annan.

Faran är också i det faktum att mer än ett år på Internet placerade färdiga program-byggare (Builder), gör det möjligt att utveckla en sådan virus, även kulhatskeram (personer som anser sig hackare, men inte lära sig programmering).

För närvarande finns det mer kraftfull modifiering.

Malware databas genomförandet metoden

Nyhetsbrev virus produceras målmedvetet, som regel, ekonomiavdelningen på företaget. Först samlar den e-post personalavdelningar står avdelningar sådana databaser, till exempel, hh.ru. Nästa skickar ut brev. De innehåller ofta en begäran när det gäller antagandet av en viss position. Sådant brev bifogad fil med en sammanfattning, i vilken själva dokumentet med ett implanterat OLE-objekt (pdf-fil med ett virus).

I situationer där redovisning personal lanserade omedelbart dokumentet efter omstart följande inträffar: ett virus och döptes den krypterade filen och sedan självförstörande.

Denna typ av brev är vanligtvis tillräcklig skriftlig och skickas till nespamerskogo box (namn matchar signatur). Vakans alltid begärs på grundval av profilerings av företagets verksamhet, vilket är anledningen till misstankarna inte uppstår.

Ingen licens "Kaspersky" (antivirusprogram) eller "Virus Total" (tillbehör på nätet service check för virus) kan inte skydda datorn i detta fall. Ibland vissa antivirusprogram skanna fråga som bilagan är Gen: Variant.Zusy.71505.

Hur man undviker att smittas med viruset?

Det är nödvändigt att kontrollera varje mottagen fil. Särskild uppmärksamhet ägnas vordovsky dokument som har inbyggda pdf.

Varianter av "smittade" meddelanden

Många av dem. De vanligaste varianterna av viruset krypterar filer visas nedan. I samtliga fall följande dokument kommer via e-post:

1. Underrättelsen om början av granskningsprocessen tillämpas på ett visst företag rättsliga åtgärder (bokstaven tjänar till att kontrollera uppgifterna genom att klicka på länken).
2. Brev från SAC för återvinning av skulden.
3. Meddelande från Sberbank en ökning av befintlig skuld.
4. Anmälan om fastställande trafikförseelser.
5. Ett brev från en inkassobyrå med största möjliga fördröjningen av betalningen.

Anmälan om filkryptering

Det kommer att visas efter infektion i rotkatalogen på enhet C. Ibland alla kataloger med en skadad texttyp placeras ChTO_DELAT.txt filer, CONTACT.txt. Där användaren informeras om hur man krypterar sina filer som görs av tillförlitliga krypteringsalgoritmer. Och det varnas om olämplig användning av tredjepartsverktyg, eftersom det kan orsaka skador på slut filer, som i sin tur kommer att leda till att det är omöjligt för efterföljande dekryptering.

Meddelandet rekommenderas att lämna datorn i oförändrat skick. Den indikerar lagringen tillhandahålls av en nyckel (i allmänhet det är 2 dagar). Preciseras det exakta datumet, varefter alla typer av behandling kommer att ignoreras.

Vid slutet av den givna e-post. Det sägs också att användaren måste ange ditt ID och att någon av följande åtgärder kan resultera i elimineringen av de viktigaste, nämligen:

• förolämpningar;
• information om begäran utan ytterligare betalning;
• hot.

Hur dekryptera filer krypterade virus?

Denna typ av kryptering är mycket kraftfull: filen tilldelas en förlängning så perfekt, nochance etc. Crack är helt enkelt omöjligt, men du kan försöka ansluta en kryptoanalytiker och leta efter ett kryphål (i vissa situationer för att hjälpa Dr WEB) ..

Det finns ett sätt att återställa krypterade filer virus, men det är inte lämpligt för alla virus, även måste ta bort den ursprungliga exe med detta skadliga program, vilket är tillräckligt svårt att genomföra självförstörande efter.

Vänligen gäller virus införandet av en speciell kod - en liten check, eftersom filen vid denna punkt har redan en avkodare (kod för, så att säga, inte angriparen behöver inte). Kärnan i denna metod - inträde i viruset trängt (i stället för jämförelseingångs själva koden) tomma lag. Resultatet - ett skadligt program själv kör dekryptering av filer och därmed återställer dem helt.

I varje virus har sin egen speciella krypteringsfunktion, vilket är anledningen till en tredje part körbara (filformatet EXE) kommer inte att dekryptera, eller så kan du försöka välja ovanstående funktion, som kräver att alla åtgärder som utförs på WinAPI.

Viruset krypterar filer: vad göra?

För att utföra dekryptering förfarande krävs:

1. Gör säkerhetskopior (backup av befintliga filer). I slutet av dekryptera allt det tar bort sig själv.
2. På datorn (offret), måste du köra denna skadliga program, sedan vänta innehåller ett krav när det gäller införandet av koden när fönstret visas.
3. Därefter måste du börja från den bifogade arkivfil Patcher.exe.
4. Nästa steg är att införa ett antal virusprocessen är det nödvändigt att trycka på "Enter-".
5. Kommer «lappade» budskap, vilket innebär att gnugga jämförelse instruktioner.
6. Detta följs av införandet av koden i rutan skriver någon av karaktärerna, och klicka sedan på "OK".
7. Viruset börjar processen för att dekryptera filen, varefter han eliminerar sig själv.

Hur man undviker dataförlust hänsyn av skadlig kod?

Det är värt att veta att i en situation där viruset krypterar filer för processen dekryptering ta tid. Det viktiga förmån är att den ovan nämnda malware finns det en bugg som gör att du kan spara några filer, om snabbt koppla datorn (dra ut kontakten ur uttaget, stänga av grenuttag, ta ur batteriet i händelse av en bärbar dator), så snart som ett stort antal tidigare angivna förlängnings filer .

Återigen bör understrykas att det viktigaste - är att ständigt skapa en säkerhetskopia, men inte i en annan mapp, inte på flyttbara media som sätts in i datorn, eftersom modifieringen av viruset och kommer att nå dessa platser. Det är värt att hålla säkerhetskopior på en annan dator, en hårddisk, som inte är permanent ansluten till datorn, och i molnet.

Bör behandlas med misstänksamhet på alla dokument som kommer med posten från okända personer (i form av en sammanfattning, faktura, Resolution av SAC eller skatter och andra.). De bör inte köras på datorn (för detta ändamål netbook, inte innehåller viktiga data kan identifieras).

*.paycrypt@gmail.com skadligt program: Rättsmedel

.. I en situation där den ovan nämnda krypterade virus CBF filer, doc, jpg, etc., det finns bara tre scenarier:

1. Det enklaste sättet att bli av med det - ta bort alla infekterade filer (det är acceptabelt, om uppgifterna inte är mycket viktigt).
2. Visa lab antivirusprogram, till exempel, Dr. WEB. E-utvecklare flera infekterade filer med nödvändig nyckel för att dekryptera, som ligger på datorn som KEY.PRIVATE.
3. Den dyraste sättet. Han antar att betala det begärda beloppet för hackare dekryptera infekterade filer. Vanligtvis är kostnaden för denna tjänst mellan 200-500 dollar .. Detta är acceptabelt i en situation där viruset krypterar filer av ett stort företag, där en betydande informationsflöde sker på daglig basis, och detta skadliga program kan på några sekunder orsaka enorm skada. I samband med denna betalning - den snabbaste versionen av återvinning av infekterade filer.

Ibland är det effektivt och ytterligare ett alternativ. I det fall där viruset krypterar filer (paycrypt @ gmail_com eller annan skadlig programvara) kan hjälpa systemet rullar tillbaka några dagar sedan.

Program för att dekryptera RectorDecryptor

Om viruset krypterar filer jpg, doc, CBF och så vidare. N., kan hjälpa ett speciellt program. För detta behöver vi först gå till start och inaktivera alla men antivirus. Sedan behöver du starta om datorn. Visa alla filer markerar misstänkta. I fältet under namnet "Team", säger platsen för en specifik fil (bör vara uppmärksamma på program som inte har en signatur: tillverkaren - inga data).

Alla misstänkta filer som ska tas bort, då det är nödvändigt att rengöra cachar webbläsare temporär mapp (CCleaner program är lämpligt för detta ändamål).

För att starta dekryptering, måste du ladda ner ovanstående program. Kör sedan den och klicka på "Start Scan", som anger ändrade filer och deras förlängning. I moderna versioner av programmet kan endast ange sig den infekterade filen och klicka på "Öppna". Efter det kommer filerna dekrypteras.

Därefter genomsöker verktyget automatiskt all data, inklusive filer som är lagrade på den anslutna nätverksenhet, och dekrypterar dem. Denna återhämtningsprocessen kan ta flera timmar (beroende på arbetsbelastningen och hastigheten på datorn).

Som ett resultat av detta kommer alla skadade filer avkodas i samma mapp där de ursprungligen installerades. I slutändan kommer det bara att ta bort alla befintliga filer med misstänkt förlängning, som du kan lägga ner en bock i frågan "Ta bort krypterade filer efter lyckad avkodning" genom att trycka en pre-knappen "Ändra skanningsinställningar". Men det är bättre att inte sätta, som i fallet med en misslyckad dekryptering av filer som de kan gå i pension, och sedan måste återställa dem först.

Så om viruset krypterar filer doc, CBF, jpg t. E., bör inte rusa till betalningskoden. Han kanske inte behöver det.

Nyanser avlägsnande av krypterade filer

När du försöker eliminera alla skadade filer med en vanlig sökning och efterföljande avlägsnande kan börja hänga och bromsa din dator. Därför, för den här proceduren bör du använda en speciell kommandoraden. Efter starten är det nödvändigt att ange följande: del «:. \ * » / f / s.

Se till att du vill ta bort dessa filer som "Skriv menya.txt", som i kommandot samma linje måste ange: del ": \ * » / f / s..

Således kan det noteras att om viruset ändrade namnet och kryptera filer, ska du inte bara spendera pengar på inköp av cyberbrottslingar viktiga första nödvändigt att försöka förstå problemet på egen hand. Det är bättre att satsa på köp av ett speciellt program för att dekryptera skadade filer.

Slutligen är det värt att påminna om att i den här artikeln frågan om hur man ska dekryptera filer krypterade virus.