Het virus versleutelt bestanden en hernoemd.

Onlangs is er een toename van het werk van een nieuwe generatie van kwaadaardige software geweest.Er zijn een behoorlijk lange tijd (6-8 jaar geleden), maar het tempo van de uitvoering ervan piekte nu.Steeds vaker, kunt u geconfronteerd met het feit dat het virus bestanden heeft gecodeerd.

al weten dat het niet alleen primitief kwaadaardige software, bijvoorbeeld de computer (veroorzaakt blauw scherm) te blokkeren, en serieuze programma's ontwikkeld om schade, meestal boekhoudkundige gegevens.Ze versleutelen alle bestanden die liggen binnen handbereik, waaronder data 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Speciale gevaren als virussen

Het is dat dit geldt RSA-sleutel, die is gekoppeld aan de computer van een bepaalde gebruiker, dat is de reden waarom een ​​universele decoder ( decryptor ) afwezig.Virussen die op een van de computers actief zijn mogelijk niet in andere.

gevaar ook in het feit dat meer dan een jaar op het internet beschikbaar zijn en-klare programma-bouwers (Builder), het mogelijk maakt om een ​​dergelijk virus, zelfs kulhatskeram (personen die zichzelf als hackers, maar niet leren programmeren) te ontwikkelen.

Momenteel zijn er krachtiger modificatie.

wijze van introductie van malware

Nieuwsbrief virus is doelbewust gemaakt, in de regel, de boekhouding van het bedrijf.Eerste personeelsafdelingen, boekhouding van deze databases, bijvoorbeeld verzamelde e-mails, hh.ru.Volgende is het verzenden van e-mails.Ze hebben vaak een verzoek met betrekking tot de vaststelling van een bepaalde positie bevatten.Een dergelijke brief bijgevoegd bestand cv waarbinnen de eigenlijke document met een geïmplanteerde OLE-object (pdf-bestand met een virus).

In situaties waar rekenplichtige onmiddellijk gestart met het document, na het rebooten van de volgende situaties zich voordoet: een virus, en omgedoopt tot de versleutelde bestand en zelfvernietiging.

dergelijke brief is meestal voldoende geschreven en gestuurd box aan nespamerskogo (de naam komt overeen met de handtekening).Job wordt altijd gevraagd op basis van profilering van het bedrijf, dat is de reden waarom de verdenkingen niet voordoen.

Geen licentie "Kaspersky" (antivirus software) of "Virus Total" (online service scannen bevestiging voor virussen) kan uw computer niet beschermen in dit geval.Af en toe, sommige anti-virus programma's scannen probleem dat de bijlage is Gen: Variant.Zusy.71505.

Hoe besmetting met het virus te voorkomen?

moet elke resulterende bestand te controleren.Bijzondere aandacht wordt besteed vordovsky documenten die pdf hebben ingesloten.

Opties "besmet" berichten

hen heel veel.De meest voorkomende varianten van het virus versleutelt bestanden worden hieronder getoond.In alle gevallen, de e-mail komt volgende documenten:

  1. kennisgeving over het begin van het herzieningsproces toegepast op een specifiek bedrijf rechtszaak (in de brief worden uitgenodigd om de gegevens te controleren door te klikken op de link).
  2. Brief van de Opperste Arbitragehof om de schuld terug te vorderen.
  3. Bericht van Sberbank voor een verhoging van de bestaande schulden.
  4. Kennisgeving van de vaststelling van verkeersovertredingen.
  5. brief van een incassobureau met de maximaal mogelijke vertraging van betaling.

aankondiging van het versleutelen van bestanden

Het zal verschijnen na infectie in de hoofdmap van station C. Soms alle mappen met een beschadigde tekstbestanden die ChTO_DELAT.txt type CONTACT.txt.Er wordt de gebruiker geïnformeerd over de encryptie van bestanden die bereikt door betrouwbare cryptografische algoritmes.Hij gewaarschuwd oneigenlijk gebruik van derden nutsbedrijven, aangezien hierdoor de uiteindelijke bestanden, die op zijn beurt zal leiden tot de onmogelijkheid daaropvolgende decodering kan veroorzaken.

De aankondiging wordt aanbevolen om de computer te verlaten in dezelfde staat.Het geeft de opslagruimte door een toets (meestal het 2 dagen).Schrijven de exacte datum, waarna elke vorm van behandeling zal worden genegeerd.

aan het einde van de e-mail.Het bepaalt ook dat de gebruiker uw ID moet opgeven en dat een van de volgende acties kunnen resulteren in de eliminatie van een sleutel, namelijk:

  • beledigingen;
  • verzoek gegevens zonder verdere betaling;
  • bedreiging.

Hoe om bestanden te decoderen versleutelde virus?

Dit soort encryptie is zeer krachtig: het bestand is toegewezen aan deze uitbreiding zo perfect, nochance enzovoort Crack is simpelweg onmogelijk, maar je kunt proberen om de cryptanalyst verbinden en op zoek naar een maas in de wet (in sommige situaties Dr WEB helpen)..

Er is een manier om versleutelde bestanden terug naar een virus, maar het is niet geschikt voor alle virussen, naast de noodzaak de originele exe schaffen deze malware is niet eenvoudig genoeg te voeren na de vereffening.Gelieve

virus betreft de invoering van een speciale code - een kleine controle omdat het bestand op dit moment al een decoder (code, om zo te zeggen, de aanvaller hoeft niet).De essentie van deze werkwijze - schriftelijk doorgedrongen virus (in de plaats van de vergelijking invoercode) lege instructie.Het resultaat - een kwaadaardig programma zelf loopt de decryptie van files en dus zijn ze volledig gerestaureerd.

In elk virus heeft zijn eigen speciale functie van encryptie, dat is waarom derden uitvoerbare (bestandsformaat exe) te decoderen niet werkt, of je kunt proberen om de bovenstaande functie, die alle op WinAPI uitgevoerde acties vereist kiezen.

virus gecodeerde bestanden: wat te doen?

voor de procedure van het ontcijferen van nood:

  1. Neem een ​​backup (back-up van bestaande bestanden).Na het ontcijferen al verwijdert zich.
  2. op de computer (het slachtoffer), moet u dit kwaadaardige programma zal dan wachten op een raam dat een eis met betrekking tot de introductie van de code bevat draaien.
  3. moeten verder lopen vanaf het bijgevoegde archiefbestand Patcher.exe.
  4. De volgende stap is om een ​​aantal van het virus in te voeren, dan moet je op "Enterprise".
  5. De boodschap «gepatcht», wat betekent dat wrijven vergelijken instructies.
  6. wordt gevolgd bij het beheer van de code voor een van de personages kiezen en klik vervolgens op "OK".
  7. virus begint het proces van het ontcijferen van het bestand, waarna hij elimineert.

Hoe om gegevensverlies inachtneming van malware te voorkomen?

de moeite waard te weten dat in een situatie waarin het virus bestanden heeft gecodeerd voor hun decryptie proces zal tijd in beslag nemen.Een belangrijk punt in het voordeel is dat de bovengenoemde malware is er een bug waarmee je bespaart een aantal bestanden, indien snel los te koppelen van de computer (trek de stekker uit het stopcontact, schakel de stekkerdoos, verwijder de batterij in het geval van een laptop), zodra een groot aantal bestanden met de eerder genoemde uitbreiding.

nogmaals moet worden benadrukt dat de belangrijkste - is om voortdurend een back-up te maken, maar niet in een andere map, niet op verwijderbare media wordt ingebracht in de computer, omdat de wijziging van het virus en zal bereiken deze plaatsen.Het is noodzakelijk om de back-ups te houden naar een andere computer, een harde schijf, die niet permanent is aangesloten op de computer en de cloud.

onder verdachte alle documenten die komen in de e-mail van onbekende mensen (in beknopte vorm, de factuur, de resolutie van de SAC of belasting etc.).Laat ze niet op uw computer (voor dit doel kunt u een netbook dat gevoelige gegevens niet bevat selecteren).

malware *[email protected]. Remedies

In een situatie waarin de bovengenoemde virus versleutelt bestanden CBF, doc, jpg, etc. E., Er zijn slechts drie case scenario:

  1. De makkelijkste manier om zich te ontdoen vanhem - verwijder alle geïnfecteerde bestanden (het is acceptabel, als de gegevens is niet erg belangrijk).
  2. gebruiker Lab antivirus programma, bijvoorbeeld, Dr.WEB.Stuur ontwikkelaars zeker een aantal geïnfecteerde bestanden met de decryptie sleutel, gelegen op de computer als KEY.PRIVATE.
  3. duurste manier.Het gaat om de betaling van het gevraagde bedrag voor hackers decoderen geïnfecteerde bestanden.Typisch, de kosten van deze dienst binnen de 200 -. 500 dollar USA.Dit is in een situatie waarin het virus versleutelt bestanden groter bedrijf, waarin elke dag neemt een belangrijke stroom van informatie, en dit kwaadaardige programma in enkele seconden kan enorme schade toebrengen aanvaardbaar.In verband met deze kosten - de snelste versie van het herstel van de geïnfecteerde bestanden.

Soms effectief en is een extra optie.In het geval waar het virus versleutelt bestanden (paycrypt @ gmail_com of andere kwaadaardige software) kan helpen terug te draaien een paar dagen geleden.

programma te decoderen RectorDecryptor

Als het virus versleutelt bestanden jpg, doc, CBF, en zo verder. N., kan helpen een speciaal programma.Hiervoor moeten we eerst naar het opstarten en uitschakelen van alle, maar de antivirus.Vervolgens moet u uw computer opnieuw opstarten.Alle bestanden, markeert verdachte.In het veld onder de naam "Team", aldus de locatie van een specifiek bestand (aandacht moet worden besteed aan toepassingen die niet een handtekening hebben: de fabrikant - geen gegevens).

alle verdachte bestanden worden verwijderd, waarna de noodzaak om de tijdelijke map caches browser schoon (voor deze fit programma CCleaner).

Om de decryptie te starten, moet u de bovenstaande programma te downloaden.Dan draaien en klik op "Start Scan", met vermelding van de gewijzigde bestanden en hun extensie.In de moderne versies van het programma zelf, kunt u alleen het geïnfecteerde bestand op te geven en klik op "Open".Daarna worden de bestanden gedecodeerd.

Vervolgens het hulpprogramma scant automatisch alle computergegevens, waaronder bestanden op toegewezen netwerkstations en decodeert hen.Dit herstel proces kan enkele uren duren (afhankelijk van de werkdruk en de snelheid van uw computer).

Als gevolg daarvan worden alle beschadigde bestanden worden gedecodeerd in dezelfde map waarin ze oorspronkelijk waren.Aan het eind zal het alleen moeten alle bestanden van verdachte extensie, die kan naar beneden vinkje in de query worden gezet "Verwijderen versleutelde bestanden na het succesvol decoderen van" pre-druk op de "Verander scaninstellingen" te verwijderen.Het is echter beter niet te zetten, zoals in het geval van een mislukte decryptie van bestanden kunnen terugtrekken, en vervolgens moeten ze eerst herstellen.

Dus, als het virus versleutelt bestanden doc, CBF, jpg t. E., moet niet te snel met de betaling code.Misschien heeft hij niet nodig.

Nuances verwijderen gecodeerde bestanden

Wanneer je probeert om alle beschadigde bestanden te verwijderen met behulp van een standaard zoekmachine en de daarop volgende verwijdering kan beginnen zweven en vertragen uw computer.In dit verband is de procedure om een ​​speciale opdrachtregel.Na de lancering is het noodzakelijk om de volgende te schrijven: del «& lt; rijden & gt ;: \ * & lt; uitbreiding van het geïnfecteerde bestand & gt;.» / F / s.

zeker dat u bestanden zoals "Lees-menya.txt", die in dezelfde opdrachtregel moeten opgeven verwijderen: del «& lt; rijden & gt ;: \ * & lt; bestandsnaam & gt;.» / F / s.

Zo kan worden opgemerkt dat als het virus verandert de naam en het gecodeerde bestand, je niet alleen geld te besteden aan de aankoop van de belangrijkste aanvallers eerste is om te proberen het probleem op hun eigen inzicht.Het is beter om te investeren in de aankoop van een speciaal programma om de beschadigde bestanden te decoderen.

Tenslotte zij eraan herinnerd dat in dit artikel de vraag over hoe u bestanden decoderen gecodeerde virus.