RekenaarsLêertipes

Die virus versleutelt lêers en herdoop. Hoe om lêers decrypt geënkripteerde virus

Onlangs is daar 'n oplewing van die aktiwiteit van die nuwe generasie van kwaadwillige rekenaarprogramme is. Hulle verskyn vir 'n lang tyd (6-8 jaar gelede), maar die tempo van die implementering daarvan 'n hoogtepunt bereik nou. Dit word toenemend gekonfronteer met die feit dat die virus lêer word geïnkripteer.

Ons weet reeds dat dit nie net 'n primitiewe kwaadwillige sagteware, byvoorbeeld, sluit van die rekenaar (veroorsaak blou skerm), en ernstige programme wat gemik is op skade, as 'n reël, die rekeningkundige data. Hulle enkripteer al die lêers wat binne bereik, insluitend data 1C, docx, xlsx, jpg, doc, xls, pdf, rits.

Spesiale gevare beskou virusse

Dit lê in die feit dat dit geld RSA-sleutel, wat gekoppel is aan rekenaar 'n spesifieke gebruiker se as gevolg daarvan, is die universele dekodeerder (decryptor) ontbreek. Virusse wat in een van die rekenaars aktief is, kan nie werk in 'n ander.

Die gevaar is ook in die feit dat meer as 'n jaar op die Internet geplaas gereed programme-bouers (Bouwer), sodat so 'n virus, selfs kulhatskeram (individue wat hulself as hackers, maar nie om te leer programmeer) ontwikkel.

Tans is daar meer kragtige verandering.

Malware databasis implementering metode

Nuusbrief virus doelbewus vervaardig, as 'n reël, die rekeningkundige afdeling van die maatskappy. In die eerste plek is dit versamel e-posse personeel departemente, rekeninge departemente van sodanige databasisse, byvoorbeeld, hh.ru. Volgende is die stuur van briewe. Hulle bevat dikwels 'n versoek met betrekking tot die aanvaarding van 'n bepaalde posisie. So 'n brief aangeheg lêer met 'n opsomming, waarbinne die werklike dokument met 'n ingeplant OLE-voorwerp (pdf-lêer met 'n virus).

In situasies waar rekeningkundige personeel onmiddellik die dokument van stapel gestuur, na weer te begin van die volgende plaasvind: 'n virus en herdoop tot die geïnkripteer lêer, en dan self-vernietig.

Hierdie soort brief is gewoonlik voldoende geskryf en gestuur word aan boks nespamerskogo (naam ooreenstem met die handtekening). Vakature is altyd versoek op grond van profilering aktiwiteite van die maatskappy, wat is die rede waarom die vermoedens nie opstaan.

Geen lisensie "Kaspersky" (antivirus sagteware) of "Virus Total" (aanlyn-diens tjek aanhegsels vir virusse) kan jou rekenaar nie beskerm in hierdie geval. Soms, 'n paar anti-virus programme om probleem scan dat die beslaglegging is Gen: Variant.Zusy.71505.

Hoe om te verhoed dat besmet is met die virus?

Dit is nodig om elk 'n lêer te keur. Spesifieke aandag word geskenk vordovsky dokumente wat pdf het ingesluit.

Variante van "besmette" boodskappe

Daar is baie van hulle. Die mees algemene variante van die virus versleutelt lêers word hieronder getoon. In alle gevalle, die volgende dokumente kom per e-pos:

  1. Die kennisgewing oor die begin van die hersieningsproses van toepassing op 'n spesifieke maatskappy regstappe (die brief word die data te kontroleer deur te kliek op die skakel).
  2. Brief van die SAC vir die herstel van skuld.
  3. Boodskap van Sberbank vir 'n toename in die bestaande skuld.
  4. Kennisgewing van die vasstelling van verkeersoortredings.
  5. 'N Brief van 'n versameling agentskap met die maksimum moontlike vertraging van betaling.

Kennisgewing van lêer enkripsie

Dit sal verskyn nadat infeksie in die hoofdmap van station C. Soms al dopgehou met 'n beskadigde tekstipe geplaas ChTO_DELAT.txt lêers, CONTACT.txt. Daar word die gebruiker in kennis gestel oor hoe om sy lêers wat gedoen word deur betroubare kriptografiese algoritmes te enkripteer. En dit het gewaarsku oor die onvanpaste gebruik van derde party instrumente, aangesien dit skade aan die finale lêers, wat op sy beurt sal lei tot die onmoontlikheid van die daaropvolgende dekripsie kan veroorsaak.

Die kennisgewing word aanbeveel om die rekenaar te verlaat in 'n onveranderde vorm. Dit dui op die stoor verskaf deur 'n sleutel (gewoonlik is dit 2 dae). Uitgespel die presiese datum, waarna enige vorm van behandeling sal geïgnoreer word.

Aan die einde van die gegewe e-pos. Dit bepaal ook dat die gebruiker jou ID moet ingaan en dat enige van die volgende handelinge kan lei tot die uitskakeling van die sleutel, naamlik:

  • beledigings;
  • besonderhede van die aansoek sonder verdere betaling;
  • bedreiging.

Hoe om lêers geïnkripteer virus dekripteer?

Hierdie soort van enkripsie is baie sterk: die lêer aan 'n uitbreiding as volmaak, nochance ens Crack is eenvoudig onmoontlik, maar jy kan probeer om 'n cryptanalyst in verbinding bly en kyk vir 'n skuiwergat (in sommige gevalle te help Dr. WEB) ..

Daar is 1 manier om geïnkripteer lêers virus herstel, maar dit is nie geskik vir alle virusse, moet ook die oorspronklike exe verwyder met hierdie kwaadwillige program, wat genoeg is moeilik om na self-vernietig implementeer.

Asseblief betrekking tot virus bekendstelling van 'n spesiale kode - 'n klein tjek, omdat die lêer op hierdie punt het reeds 'n dekodeerder (kode van so te sê, die aanvaller het nie nodig om). Die kern van hierdie metode - inskrywing in die virus binnegedring (in plaas van die vergelyking insette kode self) leë spanne. Die gevolg - 'n kwaadwillige program self loop die dekripsie van lêers en dus herstel hulle heeltemal.

In elke virus het sy eie spesiale enkripsie funksie, wat is die rede waarom 'n derde party executables (lêer formaat exe) nie sal decrypt, of jy kan probeer om die bogenoemde funksie, wat alle aksies wat uitgevoer word op WinAPI vereis kies.

Die virus versleutelt lêers: wat om te doen?

Om uit die dekripsie prosedure vereis voer:

  1. Maak backups (rugsteun van die bestaande lêers). Aan die einde van decrypten al dit verwyder self.
  2. Op die rekenaar (die slagoffer), moet jy hierdie kwaadwillige program uit te voer, dan wag, bevat 'n vereiste met betrekking tot die bekendstelling van die kode wanneer die venster is vertoon.
  3. Volgende, moet jy begin by die verbonde argief lêer Patcher.exe.
  4. Die volgende stap is om 'n aantal van die virus te voer, dan is dit nodig om te druk "Enter-".
  5. Sal «gelapte» boodskap, wat beteken vryf vergelyking instruksies.
  6. Dit word gevolg deur die bekendstelling van die kode in boks tik enige van die karakters, en kliek dan op "OK".
  7. Die virus begin die proses van decrypten die lêer, waarna hy homself uitskakel.

Hoe om die verlies van data inagneming van malware te vermy?

Dit is die moeite werd om te weet dat in 'n situasie waar die virus versleutelt lêers vir die proses van dekripsie neem tyd. Die belangrike punt ten gunste is dat die bogenoemde malware daar is 'n fout wat jou toelaat om 'n paar lêers te red, indien die rekenaar (trek die prop uit die sok, draai af van die vinnig ontkoppel krag trip, verwyder die battery in die geval van 'n laptop), so gou as 'n groot aantal voorheen vermeld uitbreiding lêers .

Weereens is dit moet beklemtoon word dat die belangrikste ding - is om 'n back-up voortdurend te skep, maar nie in 'n ander gids, nie op verwyderbare media wat in die rekenaar ingesit, aangesien die verandering van die virus en sal hierdie plekke te bereik. Dit is die moeite werd om te rugsteun op 'n ander rekenaar, 'n hardeskyf, wat nie permanent verbonde aan die rekenaar te hou, en in die wolk.

Behandel moet verdagte van alle dokumente wat kom in die pos van onbekende mense wees (in opsomming vorm, faktuur, Resolusie van die SAC of die belasting en ander.). Hulle moet nie uitgevoer word op jou rekenaar (vir hierdie doel die netbook, nie belangrike inligting bevat geïdentifiseer kan word).

*.paycrypt@gmail.com kwaadwillige program: Remedies

.. In die situasie, wanneer die bogenoemde geïnkripteer virus CBF lêers, doc, jpg, ens, is daar net drie scenario's:

  1. Die maklikste manier om ontslae te raak van dit - verwyder alle besmette lêers (dit is aanvaarbaar, as die data is nie baie belangrik).
  2. Kyk laboratorium antivirus program, byvoorbeeld, Dr. WEB. E-pos ontwikkelaars verskeie besmette lêers met die nodige sleutel tot decrypt, geleë op die rekenaar as KEY.PRIVATE.
  3. Die duurste manier. Hy aanvaar die betaling van die bedrag wat aangevra vir die hackers decrypt besmette lêers. Tipies, die koste van hierdie diens is tussen 200 - 500 Amerikaanse dollars .. Dit is in 'n situasie waar die virus versleutelt lêers van 'n groot maatskappy, waarin 'n aansienlike vloei van inligting vind plaas op 'n daaglikse basis aanvaarbaar, en hierdie kwaadwillige program kan in sekondes veroorsaak geweldige skade. In verband met hierdie betaling - die vinnigste weergawe van die herstel van besmette lêers.

Soms is dit doeltreffend en 'n bykomende opsie. In die geval waar die virus versleutelt lêers (paycrypt @ gmail_com of ander kwaadwillige sagteware) kan help die stelsel terug gedraai 'n paar dae gelede.

Program vir RectorDecryptor decrypt

As die virus word geïnkripteer lêer jpg, doc, CBF en so aan. N., Kan help spesiale program. Hiervoor het ons eerste om te gaan na opstart en afskakel al maar die antivirus. Volgende, moet jy jou rekenaar herlaai. Kyk al die lêers, na vore te bring verdagte. In die veld onder die naam "Team" lui die ligging van 'n spesifieke lêer (moet aandag gee aan aansoeke wat nie 'n handtekening het nie: die vervaardiger - geen data).

Alle verdagte lêers wat geskrap moet word, dan is die behoefte om die caches skoon blaaiers tydelike gids (Tube program is geskik vir hierdie doel).

Om die dekripsie begin, moet jy die bogenoemde program af te laai. Dan loop dit en klik op "Start Scan", spesifiseer gewysigde lêers en hul uitbreiding. In die moderne weergawes van die program kan net homself spesifiseer die besmette lêer en klik "Open". Daarna sal die lêers word Ontcijferde.

Daarna het die nut skanderings outomaties alle rekenaar data, insluitend lêers gestoor word op die gekoppelde netwerk dryf, en ontcijfert hulle. Hierdie herstelproses kan 'n paar uur te neem (afhangende van die werklas en die spoed van die rekenaar).

As gevolg hiervan, sal al die korrupte lêers word gedekodeer in dieselfde gids, waar hulle aanvanklik was. Aan die einde sal dit net moet alle bestaande lêers te verwyder met verdagte uitbreiding, wat jy kan langs 'n regmerkie in die soektog "geïnkripteer lêers na 'n suksesvolle dekodering Verwyder" sit deur te druk op 'n pre-knoppie "Change scan instellings". Dit is egter beter om nie te sit, soos in die geval van 'n mislukte dekripsie van lêers hulle kan aftree, en dan moet hulle eers herstel.

Dus, as die virus versleutelt lêers doc, CBF, jpg t. E., moet nie haastig om die betaling kode. Miskien het hy nie nodig het nie.

Nuanses verwydering van geïnkripteer lêers

As jy probeer om al die beskadigde lêers met behulp van 'n standaard search en daaropvolgende verwydering kan begin om op te hang en stadiger jou rekenaar uit te skakel. Daarom, vir hierdie prosedure wat jy moet 'n spesiale gebruik command line. Na sy bekendstelling is dit nodig om die volgende in: del «:. \ * » / f / s.

Maak seker dat jy hierdie lêers te verwyder as "Lees-menya.txt", wat in dieselfde command line moet spesifiseer: del ": \ * » / f / s..

So, kan dit in ag geneem word dat indien die virus die naam en enkripteer lêers verander, moet jy nie net geld te spandeer op die aankoop van cybercriminals sleutel eers nodig om te probeer om die probleem op hul eie verstaan. Dit is beter om te belê in die aankoop van 'n spesiale program om die korrupte lêers dekripteer.

Ten slotte is dit die moeite werd om te onthou dat in hierdie artikel die vraag oor hoe om lêers decrypt geënkripteerde virus.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 af.atomiyme.com. Theme powered by WordPress.