Kürzlich gab es einen Anstieg der Aktivität von einer neuen Generation von bösartiger Software.Es gibt eine recht lange Zeit (6 - Vor 8 Jahren), aber das Tempo ihrer Umsetzung erreichte jetzt.Zunehmend können Sie die Tatsache, dass das Virus Dateien verschlüsselt zu stellen.
bereits wissen, dass es nicht nur primitive bösartige Software, zum Beispiel, die Blockierung der Computer (verursacht blauen Bildschirm), und ernsthafte Programme entwickelt, um Schaden, in der Regel Abrechnungsdaten.Sie verschlüsselt alle Dateien, die in der Nähe sind, einschließlich der Daten 1C, docx, xlsx, jpg, doc, xls, pdf, zip.
Besondere Gefährdung betrachtet Viren
Es ist, dass dies für RSA-Schlüssel, der auf den Computer eines bestimmten Benutzers, weshalb eine universelle Decoder ( decryptor ) abwesend ist, gebunden ist.Viren, die auf einem der Computer aktiv sind, können nicht in einen anderen.
Gefahr, auch in der Tatsache, dass mehr als ein Jahr über das Internet zur Verfügung stehen vorgefertigte Programm-Erbauer (Builder), so dass ein solches Virus, auch kulhatskeram (Personen, die sich als Hacker, aber nicht lernen Programmierung) zu entwickeln.
Derzeit gibt es stärkeren Modifizierung.
Methode der Einführung von Malware
Newsletter Virus gezielt gemacht, in der Regel der Buchhaltungsabteilung des Unternehmens.Zunächst sammelte E-Mails Personalabteilungen, Buchhaltung solcher Datenbanken, beispielsweise hh.ru.Weiter ist das Senden von E-Mails.Sie enthalten oft eine Anfrage in Bezug auf die Annahme einer bestimmten Position.Ein solches Schreiben beigefügten Datei Lebenslauf, in dem das aktuelle Dokument mit einem implantierten OLE-Objekt (pdf-Datei mit einem Virus).
In Situationen, in denen der Rechnungsführer sofort startete das Dokument, nach dem Neustart des folgenden Ereignisse eintritt: ein Virus, und die verschlüsselte Datei, und selbst zerstören umbenannt.
Ein solches Schreiben ist in der Regel eine angemessene geschrieben und gesendet, um box nespamerskogo (der Name entspricht der Unterschrift).Job ist immer auf der Grundlage der Profilierung des Unternehmens, weshalb der Verdacht entstehen nicht angefordert wird.
keine Lizenz "Kaspersky" (Antivirus-Software) oder "Virus Total" (Online-Service Befestigung Scannen nach Viren) kann nicht schützen Sie Ihren Computer in diesem Fall.Gelegentlich, einige Anti-Viren-Programme Scannen Problem, dass die Anlage Gen: Variant.Zusy.71505.
Wie Infektion mit dem Virus zu vermeiden?
sollte jede resultierende Datei zu überprüfen.Besonderes Augenmerk wird vordovsky Dokumente, die PDF-Datei eingebettet wurden ausgezahlt.
Optionen "infiziert" Nachrichten
ihnen eine ganze Menge.Die häufigsten Varianten des Virus verschlüsselt Dateien unten.In allen Fällen, die E-Mail kommt folgende Dokumente:
- Benachrichtigung über den Beginn der Überprüfungsprozess zu einer bestimmten Firma Klage angewandt (in dem Brief werden aufgefordert, die Daten durch Klicken auf den Link überprüfen).
- Brief des Obersten Schiedsgerichts der Schulden zu erholen.
- Nachricht von Sberbank für eine Erhöhung der bestehenden Schulden.
- Bekanntmachung über die Festsetzung Verkehrsverstöße.
- Brief von einem Inkassobüro mit der maximal möglichen Zahlungsverzug.
Bekanntmachung über die Verschlüsselung von Dateien
Es wird nach der Infektion in dem Stammverzeichnis des Laufwerks C. ChTO_DELAT.txt Typ angezeigt Manchmal werden alle Verzeichnisse mit einem beschädigten Textdateien platziert, contact.txt.Es wird der Benutzer über seine Verschlüsselung von Dateien, die von zuverlässigen kryptographischen Algorithmen erreicht informiert.Und er zu unangemessenen Einsatz von Drittanbietern gewarnt, da dies zu Schäden an den letzten Dateien, die wiederum wird auf die Unmöglichkeit der anschließenden Entschlüsselung führen können.
Die Mitteilung wird empfohlen, den Computer im selben Zustand zu verlassen.Sie zeigt die Lager durch einen Schlüssel vorgesehen ist (in der Regel sind es ca. 2 Tage).Vorschreiben, das genaue Datum, nach dem jede Art von Behandlung wird ignoriert.
vorgesehen am Ende der E-Mail.Weiter heißt es, dass der Benutzer müssen Ihre ID angeben, und dass jede der folgenden Maßnahmen kann bei der Eliminierung von einem Schlüssel, nämlich zur Folge haben:
- Beleidigungen;
- Anfrage Details ohne weitere Zahlung;
- Bedrohung.
Wie man Dateien zu entschlüsseln verschlüsselte Virus?
Diese Art der Verschlüsselung ist sehr leistungsfähig: die Datei, um diese Erweiterung so perfekt, NoChance usw. zugeordnet knacken ist einfach unmöglich, aber man kann versuchen, die Kryptoanalytiker zu verbinden und suchen eine Lücke (in einigen Situationen zu Dr. Web-Hilfe)..
Es ist eine Möglichkeit, die verschlüsselten Dateien auf ein Virus wieder herzustellen, aber sie ist nicht für alle Viren, außer der Notwendigkeit, das ursprüngliche exe mit dieser Malware zu entfernen, ist es nicht einfach genug, um nach der Auflösung zu implementieren.Bitte
Virus Hinblick auf die Einführung eines speziellen Codes - eine kleine Überprüfung, da die Datei an dieser Stelle bereits ein Decoder (Code, so zu sprechen, der Angreifer muss nicht).Das Wesen dieser Methode - schriftlich eingedrungen Virus (an dem Ort des Vergleichs Eingangscode) der leeren Anweisung.Das Ergebnis - ein bösartiges Programm selbst läuft die Entschlüsselung von Dateien und damit sie vollständig wiederhergestellt werden.
In jedem Virus hat seine eigenen speziellen Funktion der Verschlüsselung, weshalb Dritt ausführbare Datei (Dateiformat exe) zu entschlüsseln nicht funktioniert, oder Sie können versuchen, die obige Funktion, die alle auf WinAPI geführten Maßnahmen erfordert wählen.
Virus verschlüsselten Dateien: was zu tun?
Für das Verfahren der Entschlüsselung notwendig:
- Nehmen Sie ein Backup (Backup der bestehenden Dateien).Nach der Entschlüsselung alle es entfernt sich.
- auf dem Computer (das Opfer), müssen Sie dieses Schadprogramm wartet dann auf ein Fenster, das eine Anforderung im Hinblick auf die Einführung des Code enthält ausführen.
- müssen weiter auf der beigefügten Archivdatei Patcher.exe laufen.
- Der nächste Schritt ist, um eine Anzahl von Viren einzuführen, dann müssen Sie auf "Enter" drücken.
- Die Meldung «geflickt», die reiben Vergleichsbefehle bedeutet.
- ist in der Verwaltung der Code, um alle Zeichen zu wählen, gefolgt, und klicken Sie dann auf "OK".
- Virus beginnt der Prozess der Entschlüsselung der Datei, nach dem er sich selbst eliminiert.
Wie man Datenverlust durch Berücksichtigung von Malware zu vermeiden?
wert zu wissen, dass in einer Situation, wo der Virus-Dateien für ihre Entschlüsselung verschlüsselt wird einige Zeit dauern.Ein wichtiger Punkt für ist, dass die oben genannte Malware gibt es einen Fehler, den Sie einige Dateien, wie eine große Anzahl von Dateien, die mit der zuvor erwähnten Erweiterung speichern, wenn schnell trennen Sie den Computer (ziehen Sie den Stecker aus der Steckdose, schalten Sie die Steckdosenleiste, entfernen Sie den Akku bei einem Laptop), so schnell können.
Wieder einmal sollte betont werden, dass die Hauptsache - ist es, ständig ein Backup, aber nicht in einem anderen Ordner, nicht auf einem Wechselmedium in den Computer, da die Modifikation des Virus eingesetzt und wird diese Orte zu erreichen.Es ist notwendig, die Backups auf einen anderen Computer, eine Festplatte, die nicht fest mit dem Computer und dem Cloud angebracht ist zu halten.
sind misstrauisch zu allen Dokumenten, die in der E-Mails von unbekannten Menschen kommen (in zusammengefasster Form, Rechnung, der Entschließung des SAC oder Steuer etc.).Auf Ihrem Computer ausführen Sie sie nicht (zu diesem Zweck können Sie ein Netbook, dass sensible Daten nicht enthält, wählen).
Malware *[email protected]:. Remedies
In einer Situation, wo die oben Virus verschlüsselt Dateien CBF, doc, jpg, usw. E., gibt es nur drei Case-Szenario:
- Der einfachste Weg, um loszuwerden,ihn - löschen Sie alle infizierten Dateien (es akzeptabel ist, wenn die Daten nicht sehr wichtig).
- Weblog Lab Antivirus-Programm, zum Beispiel Dr.WEB.Senden Entwickler sicherlich einige infizierten Dateien mit dem Entschlüsselungsschlüssel, auf dem Computer als KEY.PRIVATE entfernt.
- teuerste Art und Weise.Es geht um die Zahlung des geforderten Betrag für Hacker zu entschlüsseln infizierten Dateien.Typischerweise wird die Kosten für diesen Service innerhalb der 200 -. 500 Dollar USA.Dies ist in einer Situation, wo das Virus verschlüsselt Dateien größeren Unternehmen, an dem jeden Tag nimmt einen bedeutenden Fluss von Informationen, und das Schadprogramm in Sekunden kann enormen Schaden verursachen akzeptabel.Im Zusammenhang mit dieser Ladung - die schnellste Version der Wiederherstellung von infizierten Dateien.
Manchmal effektiv und ist eine zusätzliche Option.In dem Fall, wo das Virus verschlüsselt Dateien (paycrypt @ gmail_com oder andere bösartige Software) kann helfen, ein Rollback vor ein paar Tagen.
Programm RectorDecryptor
entschlüsseln Wenn der Virus verschlüsselt Dateien jpg, doc, CBF, und so weiter. N., kann ein spezielles Programm zu helfen.Dafür brauchen wir zuerst zu gehen bis zur Inbetriebnahme, und deaktivieren Sie alle, aber die Antivirus.Als nächstes müssen Sie den Computer neu starten.Alle Dateien, markieren Sie misstrauisch.Im Bereich unter dem Namen "Team", so die Position einer bestimmten Datei (Augenmerk sollte auf Anwendungen, die keine Signatur haben gegeben werden: der Hersteller - keine Daten).
alle verdächtigen Dateien entfernt werden, wonach die Notwendigkeit, die Caches Browser temporären Ordner reinigen (für diese fit Programm CCleaner).
Um die Entschlüsselung starten, müssen Sie das obige Programm herunterladen.Dann führen Sie es aus und klicken Sie auf "Start Scan" unter Angabe der veränderten Dateien und ihre Erweiterung.In modernen Versionen des Programms selbst, können Sie nur die infizierte Datei angeben, und klicken Sie auf "Öffnen".Danach werden die Dateien entschlüsselt.
Anschließend wird das Utility scannt automatisch alle Computer-Daten, einschließlich Dateien auf Netzlaufwerke, und entschlüsselt sie.Diese Recovery-Prozess kann mehrere Stunden dauern (je nach Auslastung und der Geschwindigkeit Ihres Computers).
Als Ergebnis, werden alle beschädigten Dateien im gleichen Verzeichnis, in dem sie ursprünglich waren decodiert werden.Am Ende wird es nur, um alle Dateien von verdächtigen Erweiterung, die sich Zecken in der Abfrage gesetzt werden kann "Löschen verschlüsselten Dateien nach erfolgreicher Dekodierung von" pre-Taste "Ändern der Scaneinstellungen" zu entfernen.Allerdings ist es besser, nicht zu setzen, wie im Fall eines fehlgeschlagenen Entschlüsselung von Dateien sie in Rente gehen können, und dann müssen sie zuerst wiederherstellen.
Also, wenn das Virus verschlüsselt Dateien doc, CBF, jpg t. E., sollte nicht mit dem Bezahlcode überstürzen.Vielleicht brauchte er nicht.
Nuancen löschen verschlüsselten Dateien
Wenn Sie versuchen, alle beschädigten Dateien zu beseitigen mit einem Standard-Suche und die anschließende Entfernung kann schweben beginnen und Ihren Computer verlangsamen.In diesem Zusammenhang ist das Verfahren, einen speziellen Befehlszeile.Nach seiner Markteinführung ist es erforderlich, die folgende schreiben: del «& lt; Laufwerk & gt ;: \ * & lt; Erweiterung der infizierten Datei & gt;.» / F / s.
sicher, dass Sie Dateien wie "Read-menya.txt", die in der gleichen Befehlszeile angeben müssen gelöscht werden soll: del «& lt; Laufwerk & gt ;: \ * & lt; Dateinamen & gt;.» / F / s.
So kann festgestellt werden, dass, wenn sich das Virus verändert die Namen und die verschlüsselte Datei, die Sie nicht nur Geld für den Erwerb von Schlüssel Angreifer erste ist, um zu versuchen, um das Problem auf eigene Faust zu verstehen.Es ist besser, in den Kauf eines speziellen Programms, um die beschädigten Dateien zu entschlüsseln, zu investieren.
Schließlich sei daran erinnert, dass in diesem Artikel die Frage nach, wie man Dateien zu entschlüsseln verschlüsselte Virus.