» »

Viruset krypterar filer och bytt namn.

click fraud protection

Nyligen har det skett en våg av aktivitet hos en ny generation av skadlig programvara.Det finns en ganska lång tid (6 - 8 år sedan), men takten i genomförandet nådde en topp nu.Alltmer kan du inse att viruset har krypterade filer.

redan vet att det inte bara primitiva skadlig programvara, till exempel blockera datorn (som orsakar blå skärm), och seriösa program som syftar till att skada, oftast bokföringsdata.De kryptera alla filer som finns inom räckhåll, inklusive uppgifter 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Särskilda faror anses virus

Det är att detta gäller RSA-nyckel, som är knuten till en viss användares dator, vilket är anledningen till en universell avkodare ( decryptor ) frånvarande.Virus som är verksamma inom en av datorerna kanske inte fungerar i en annan.

fara även i det faktum att mer än ett år på Internet är tillgängliga färdiga program-byggare (Builder), gör det möjligt att utveckla en sådan virus, även kulhatskeram (individer som anser sig hackare, men inte lära sig programmering).

För närvarande finns det mer kraftfull modifiering.

metod för införande av malware

nyhetsbrev virus görs målmedvetet, som regel, ekonomiavdelningen i företaget.Först samlas e-postmeddelanden personalavdelningar, räkenskapsavdelningarna i sådana databaser, till exempel, hh.ru.Nästa skickar e-post.De innehåller ofta en begäran när det gäller antagandet av en viss position.En sådan skrivelse bifogad fil återupptas inom vilken själva dokumentet med ett implanterat OLE-objekt (pdf-fil med ett virus).

I situationer där räkenskapsförare lanserade omedelbart dokumentet, efter omstart följande inträffar: ett virus, och döpte den krypterade filen, och sedan självförstörande.

sådan skrivelse är vanligtvis adekvat skriftlig och skickas till nespamerskogo låda (namnet motsvarar signaturen).Jobb alltid begärs på grundval av att profilera företaget, vilket är anledningen till misstankarna inte uppstår.

Ingen licens "Kaspersky" (antivirusprogram) eller "Virus Total" (onlinetjänst fästskanning efter virus) kan inte skydda datorn i det här fallet.Ibland, vissa anti-virus program skanning fråga som den bifogade filen är Gen: Variant.Zusy.71505.

Hur man undviker infektion med viruset?

bör kontrollera varje resulterande filen.Särskild uppmärksamhet ägnas vordovsky dokument som har inbyggda pdf.

Options "smittade" meddelanden

dem en hel del.De vanligaste varianterna av viruset krypterar filer visas nedan.I samtliga fall kommer e-post följande dokument:

  1. anmälan om inledningen av granskningsprocessen tillämpas på ett visst företag rättegång (i brevet uppmanas att kontrollera de uppgifter genom att klicka på länken).
  2. Skrivelse från Högsta skiljedomstolen att driva in skulden.
  3. Meddelande från Sberbank för en ökning av befintlig skuld.
  4. Kallelse till fastställande av trafikförseelser.
  5. brev från en inkassobyrå med största möjliga fördröjningen av betalningen.

Kallelse till kryptera filer

Det kommer att visas efter infektion i rotmappen på enhet C. Ibland placerat alla kataloger med en skadad textfiler ChTO_DELAT.txt typ, CONTACT.txt.Där användaren informeras om sin kryptering av filer som uppnås genom tillförlitliga krypteringsalgoritmer.Och han varnade olämplig användning av tredjepartsverktyg, eftersom detta kan orsaka skador på de slutliga filerna, vilket i sin tur kommer att leda till att det är omöjligt för efterföljande dekryptering.

Meddelandet rekommenderas att lämna datorn i samma skick.Den indikerar lagring tillhandahålls av en nyckel (i allmänhet det är 2 dagar).Föreskriva datumet, varefter någon form av behandling kommer att ignoreras.

anordnad vid änden av e-postmeddelandet.Det sägs också att användaren måste ange ditt ID och att någon av följande åtgärder kan leda till eliminering av en nyckel, nämligen:

  • förolämpningar;
  • förfrågan detaljer utan ytterligare betalning;
  • hot.

Hur dekryptera filer krypterade virus?

Denna typ av kryptering är mycket kraftfull: filen tilldelas denna förlängning så perfekt, nochance osv Crack är helt enkelt omöjligt, men du kan prova att ansluta cryptanalyst leta efter ett kryphål (i vissa situationer för att hjälpa Dr WEB)..

Det är ett sätt att återställa krypterade filer till ett virus, men det är inte lämplig för alla virus, förutom att det är nödvändigt att ta bort den ursprungliga exe med detta malware, är det inte lätt att genomföra efter likvidationen.Vänligen

virus det gäller införandet av en speciell kod - en liten kontroll, eftersom filen vid denna punkt har redan en avkodare (kod, så att säga, inte angriparen inte behöver).Kärnan i denna metod - skriftligen trängt virus (i själva platsen för jämförelseingångs kod) i tom instruktion.Resultatet - ett skadligt program i sig driver dekryptering av filer och därmed de är helt återställd.

I varje virus har sin egen speciella funktion kryptering, vilket är anledningen till tredje part körbara (filformat exe) för att dekryptera inte fungerar, eller så kan du försöka välja ovanstående funktion, som kräver att alla handlingar som utförs på WinAPI.

virus krypterade filer: vad göra?

För proceduren i dechiffrera behov:

  1. Ta en säkerhetskopia (backup av befintliga filer).Efter att dechiffrera allt bort sig.
  2. på datorn (offret), måste du köra denna skadliga program kommer sedan att vänta på ett fönster som innehåller ett krav när det gäller införandet av koden.
  3. behöver ytterligare löpa från den bifogade arkivfil Patcher.exe.
  4. Nästa steg är att införa ett antal virus, då måste man trycka på "Enter-".
  5. Meddelandet «lappat», vilket innebär att gnugga jämföra instruktioner.
  6. följs i förvaltningen av koden för att ringa någon av karaktärerna, och klicka sedan på "OK".
  7. virus börjar processen med att dechiffrera filen, varefter han eliminerar sig själv.

Hur man undviker dataförlust hänsyn av skadlig kod?

värt att veta att i en situation där viruset har krypterade filer för deras dekrypteringsprocessen kommer att ta tid.En viktig punkt till förmån är att ovan nämnda malware finns det en bugg som gör att du kan spara några filer, om snabbt koppla från datorn (dra ut kontakten ur vägguttaget, stänga av grenuttag, ta ut batteriet i händelse av en bärbar dator), så snart som ett stort antal filer med den tidigare nämnda förlängning.

Återigen bör understrykas att det viktigaste - är att ständigt skapa en säkerhetskopia, men inte i en annan mapp, inte på flyttbara media sätts in i datorn, eftersom modifieringen av viruset och kommer att nå dessa platser.Det är nödvändigt att hålla säkerhetskopior till en annan dator, en hårddisk, som inte är permanent ansluten till datorn och molnet.

inkluderar misstänkta för alla dokument som kommer med posten från okända människor (i form av en sammanfattning, faktura, resolutionen av SAC eller skatt etc.).Inte köra dem på datorn (för detta ändamål kan du välja en netbook som inte innehåller känsliga uppgifter).

malware *[email protected]~~number=plural:. Remedies

I en situation där ovan viruset krypterar filer CBF, doc, jpg och så vidare E., Det finns bara tre fall:

  1. Det enklaste sättet att bli av medhonom - ta bort alla infekterade filer (det är acceptabelt, om uppgifterna inte är mycket viktigt).
  2. användarens `Lab antivirusprogram, till exempel, Dr.WEB.Skicka utvecklare säkerligen några infekterade filer med dekrypteringsnyckeln, som ligger på datorn som KEY.PRIVATE.
  3. dyraste sättet.Det handlar om betalning av det begärda beloppet för hackare dekryptera infekterade filer.Vanligtvis kostnaden för denna tjänst inom 200 -. 500 dollar USA.Detta är acceptabelt i en situation där viruset krypterar filer större företag, där varje dag tar en betydande informationsflöde, och detta skadliga program på några sekunder kan orsaka enorm skada.I samband med denna avgift - den snabbaste versionen av återvinning av infekterade filer.

Ibland effektivt och är ytterligare ett alternativ.I det fall där viruset krypterar filer (paycrypt @ gmail_com eller annan skadlig programvara) kan hjälpa rulla tillbaka ett par dagar sedan.

program för att dekryptera RectorDecryptor

Om viruset krypterar filer jpg, doc, CBF, och så vidare. N., kan hjälpa ett speciellt program.För detta behöver vi först gå till start och inaktivera alla utom antivirus.Sedan behöver du starta om datorn.Se alla filer, markera misstänksam.I fältet under namnet "Team", sade platsen för en specifik fil (uppmärksamhet bör ägnas åt program som inte har en signatur: tillverkaren - inga data).

alla misstänkta filer som ska tas bort, varefter det är nödvändigt att rengöra cachar webbläsare temporär mapp (för detta passningsprogrammet CCleaner).

att starta dekryptering, måste du ladda ner detta program.Kör sedan den och klicka på "Start Scan", med angivande av ändrade filer och deras förlängning.I moderna versioner av själva programmet, kan du ange endast den infekterade filen och klicka på "Öppna".Efter att filerna dekrypteras.

Därefter söker verktyget automatiskt all data, inklusive filer på mappade nätverksenheter och dekrypterar dem.Denna återställningsprocess kan ta flera timmar (beroende på arbetsbelastningen och hastigheten på din dator).

Som ett resultat av detta kommer alla skadade filer avkodas i samma katalog där de ursprungligen.I slutändan kommer det bara att ta bort alla filer från misstänkta anknytning, som kan lägga ner bock i frågan "Ta bort krypterade filer efter lyckad avkodning av" pre-trycka på "Ändra skanningsinställningar".Det är emellertid bättre att inte sätta, såsom i fallet med en misslyckad dekryptering av filer som de kan dra sig tillbaka, och sedan måste återställa dem först.

Så om viruset krypterar filer doc, CBF, jpg t. E., inte bör rusa med betalningskoden.Han kanske inte behöver.

Nuances bort krypterade filer

När du försöker eliminera alla skadade filer med en vanlig sökning och efterföljande avlägsnande kan börja svävar och sakta ner din dator.I detta sammanhang är det förfarande för att använda en speciell kommandorad.Efter lanseringen är det nödvändigt att skriva följande: del «& lt; köra & gt ;: Lt \ * &; förlängning av den infekterade filen & gt;.» / F / s.

säker på att du vill ta bort filer som "Skriv menya.txt", som i samma kommandorad måste ange: del «& lt; köra & gt ;: Lt \ * &; filnamn & gt;.» / F / s.

Således kan det noteras att om viruset ändrade namnet och den krypterade filen, behöver du inte bara spendera pengar på inköp av viktiga angripare första är att försöka förstå problemet på egen hand.Det är bättre att investera i köp av ett särskilt program för att dekryptera skadade filer.

Slutligen är det värt att påminna om att i den här artikeln frågan om hur man kan dekryptera filer krypterade virus.

Mest populär
Kreativitet studenter - för familjen
Gorodskon Orientering
Elever och studenter som nyligen passerade Slaget om Moskva