Un dos malware máis problemáticos hoxe en día é un trojan ou virus que cifra ficheiros no disco dun usuario. Algúns destes ficheiros pódense descifrar, e algúns aínda non. O manual contén posibles algoritmos para accións en ambas situacións, xeitos de determinar o tipo específico de cifrado nos servizos de No More Ransom e ID Ransomware, así como unha breve descrición do software de cifrado antivirus (ransomware).
Existen varias modificacións de tales virus ou trojans de ransomware (e aparecen novas novas), pero a esencia xeral do traballo é que despois de instalar os ficheiros de documentos, imaxes e outros ficheiros que son potencialmente importantes, están cifrados coa extensión e eliminación dos ficheiros orixinais. despois de que recibes unha mensaxe no ficheiro readme.txt indicando que todos os teus ficheiros foron cifrados e para descifralos tes que enviar unha certa cantidade ao atacante. Nota: A actualización de Windows 10 Fall Creator xa ten protección integrada contra os virus de cifrado.
E se todos os datos importantes están cifrados
Para comezar, hai algunha información xeral para cifrar ficheiros importantes no seu computador. Se os datos importantes do seu computador foron cifrados, non debe entrar en pánico.
Se ten tal oportunidade, copie un ficheiro de mostra cunha solicitude de texto do atacante para o descifrado, ademais dunha instancia do ficheiro cifrado, na unidade externa (unidade flash) dende o disco de ordenador no que aparece o virus-encryptor (ransomware). Apague o ordenador para que o virus non poida cifrar os datos e realice as accións restantes noutro ordenador.
A seguinte etapa é descubrir que tipo de virus cifran os seus datos usando os ficheiros cifrados dispoñibles: para algúns deles hai descrambladores (algúns vou indicar aquí, algúns están máis próximos ao final do artigo), para algúns aínda non. Pero incluso neste caso, pode enviar exemplos de arquivos cifrados a laboratorios antivirus (Kaspersky, Dr. Web) para estudo.
Como saber exactamente? Pode facelo a través de Google, atopar discusións ou un tipo de criptógrafo por extensión de ficheiro. Tamén comezaron a aparecer servizos para determinar o tipo de ransomware.
Non hai máis rescate
No More Ransom é un recurso de desenvolvemento activo soportado por desenvolvedores de ferramentas de seguridade e dispoñible na versión rusa, destinado a combater virus por criptógrafos (troianos-extorsionistas).
Con sorte, No More Ransom pode axudar a descifrar os seus documentos, bases de datos, fotos e outra información, descargar os programas necesarios para descifrar e obter información que axudará a evitar tales ameazas no futuro.
En Non máis rescate, podes tentar descifrar os teus ficheiros e determinar o tipo de virus de cifrado do seguinte xeito:
- Fai clic en "Si" na páxina principal do servizo //www.nomoreransom.org/ru/index.html
- Abrirase a páxina do Sheriff de Crypto, onde podes descargar exemplos de ficheiros cifrados que non sexan superiores a 1 Mb (recoméndolles cargar datos confidenciais) e tamén especificar enderezos de correo electrónico ou sitios aos que os defraudadores solicitan un rescate (ou descargar o ficheiro readme.txt de requisito).
- Fai clic no botón "Comprobar" e agarda a que completen o cheque e o resultado.
Ademais, o sitio ten seccións útiles:
- Decriptores: case todas as utilidades existentes actualmente para descifrar ficheiros cifrados por virus.
- Prevención de infeccións: información dirixida principalmente a usuarios novatos, o que pode axudar a evitar a infección no futuro.
- Preguntas e respostas: información para aqueles que queren comprender mellor o traballo dos virus e accións de cifrado nos casos en que se enfronta o feito de que os ficheiros do seu ordenador estean cifrados.
Recoméndolles, hoxe, non hai máis rescate é o recurso máis relevante e útil asociado ao descifrar ficheiros para un usuario ruso.
Id ransomware
Outro servizo deste tipo é //id-ransomware.malwarehunterteam.com/ (aínda que non sei o ben que funciona para as variantes do virus en lingua rusa, pero paga a pena probar introducindo ao servizo un exemplo de ficheiro cifrado e un ficheiro de texto cunha solicitude de rescate).
Despois de determinar o tipo de criptógrafo, se ten éxito, tente atopar unha utilidade para descifrar esta opción para consultas como: Decryptor Type_Chiler. Tales utilidades son gratuítas e son producidas por desenvolvedores antivirus, por exemplo, varias destas utilidades pódense atopar no sitio Kaspersky //support.kaspersky.ru/viruses/utility (outras utilidades están máis preto do final do artigo). E, como xa se mencionou, non dubide en poñerse en contacto cos desenvolvedores de programas antivirus nos seus foros ou servizo de soporte de correo.
Desafortunadamente, isto non sempre axuda e non sempre se traballan os ficheiros de descifrados. Neste caso, os escenarios son diferentes: moitos pagan intrusos, animándoos a continuar esta actividade. Algúns usuarios son axudados por un programa para recuperar datos nun computador (porque un virus, facendo un ficheiro cifrado, elimina un ficheiro importante e teórico que pode ser recuperado).
Os ficheiros do ordenador están cifrados en xtbl
Unha das últimas variantes do virus ransomware cifra ficheiros, substituíndoos por ficheiros coa extensión .xtbl e un nome composto por un conxunto aleatorio de caracteres.
Ao mesmo tempo, un ficheiro de texto readme.txt colócase no ordenador con aproximadamente o seguinte contido: "Os seus ficheiros foron cifrados. Para descifralos, cómpre enviar o código ao enderezo de correo electrónico [email protected], [email protected] ou [email protected]. recibirá todas as instrucións necesarias. Os intentos de descifrar os ficheiros por si mesmos conducirán a unha perda de información irrecuperable "(o enderezo de correo e o texto poden diferir).
Desafortunadamente, actualmente non hai xeito de descifrar .xtbl (en canto aparece, a instrución será actualizada). Algúns usuarios que tiveron información realmente importante no seu ordenador informaban de foros antivirus que enviaron 5.000 rublos ou outra cantidade necesaria aos autores do virus e recibiron un descramble, pero isto é moi arriscado: é posible que non reciba nada.
E se os ficheiros estaban cifrados en .xtbl? As miñas recomendacións son as seguintes (pero difieren das que hai en moitos outros sitios temáticos, onde, por exemplo, recomendan que apague o computador da fonte de alimentación inmediatamente ou non retire o virus. Na miña opinión, isto é innecesario e en certas circunstancias pode ata ser prexudicial, en calquera caso.):
- Se pode, interrompe o proceso de cifrado eliminando as tarefas correspondentes no xestor de tarefas, desconectando o ordenador de Internet (isto pode ser unha condición necesaria para o cifrado)
- Lembra ou escriba o código que os atacantes requiren para enviar a un enderezo de correo electrónico (simplemente non nun ficheiro de texto no ordenador, por se o caso, de xeito que tampouco sexa cifrado).
- Usando Malwarebytes Antimalware, a versión de proba de Kaspersky Internet Security ou Dr.Web Cure It para eliminar o virus que cifra ficheiros (todas as ferramentas anteriores fan un bo traballo con isto). Aconséllolle que use o primeiro e segundo produto da lista (porén, se ten instalado un antivirus, a instalación do segundo "enriba" non é desexable, xa que pode causar problemas na operación do ordenador.)
- Espere a que apareza a empresa antivirus. Na vangarda aquí está Kaspersky Lab.
- Tamén pode enviar un exemplo dun ficheiro cifrado e do código necesario [email protected], se tes unha copia do mesmo ficheiro de forma non cifrada, envíeo tamén. En teoría, isto pode acelerar a aparición do decodificador.
Que non facer:
- Renomear os ficheiros cifrados, cambiar a extensión e borralos se son importantes para vostede.
Este é probablemente o único que podo dicir sobre os ficheiros cifrados coa extensión .xtbl neste momento.
Os ficheiros están cifrados en "mellorar"
O máis recente virus de cifrado é Better Call Saul (Trojan-Ransom.Win32.Shade), que define a extensión .better_call_saul para os ficheiros cifrados. A descifrar estes ficheiros aínda non está claro. Aqueles usuarios que se puxeron en contacto con Kaspersky Lab e Dr.Web recibiron información de que isto non se pode facer polo momento (pero intenta enviar de todos os xeitos - máis mostras de ficheiros cifrados de desenvolvedores teñen máis probabilidade de atopar un xeito).
Se resulta que atopaches un xeito de descifrar (é dicir, foi publicado nalgún lugar, pero non o seguín), comparte a información nos comentarios.
Trojan-Ransom.Win32.Aura e Trojan-Ransom.Win32.Rakhni
O seguinte troyano que cifra ficheiros e instala extensións desta lista:
- .locked
- .crypto
- .kraken
- .AES256 (non necesariamente este trojan, hai outros que instalan a mesma extensión).
- .codercsu @ gmail_com
- .enc
- .oshit
- E outros.
Para descifrar ficheiros despois do funcionamento destes virus, o sitio web de Kaspersky ten unha utilidade gratuíta, RakhniDecryptor, dispoñible na páxina oficial //support.kaspersky.com/viruses/disinfection/10556.
Hai tamén unha instrución detallada sobre como usar esta utilidade, mostrando como recuperar ficheiros cifrados, desde o que eliminaría o elemento "Eliminar ficheiros cifrados despois do descifrado correcto" (aínda que creo que todo estará ben coa opción instalada).
Se tes unha licenza antivirus Dr.Web, podes usar o descifrado gratuíto desta empresa en //support.drweb.com/new/free_unlocker/
Máis variantes do virus de cifrado
Máis raramente, pero tamén hai os seguintes troianos, cifrando ficheiros e esixindo diñeiro para o descifrado. As ligazóns proporcionadas non son só utilidades para devolver os seus ficheiros, senón tamén unha descrición dos signos que axudarán a determinar que ten este virus en particular. Aínda que en xeral, o mellor xeito: coa axuda de Kaspersky Anti-Virus, escanear o sistema, descubrir o nome do troyano segundo a clasificación desta empresa e logo buscar a utilidade con ese nome.
- Trojan-Ransom.Win32.Rector é unha utilidade RectorDecryptor gratuíta para descifrar e usar guía aquí: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist é un troyano similar que amosa unha ventá que lle solicita que envíe un SMS pago ou contacte por correo electrónico para obter instrucións sobre a decodificación. As instrucións para recuperar ficheiros cifrados e a utilidade XoristDecryptor para isto están na páxina //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 utilidade
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 e outros con o mesmo nome (ao buscar a través do antivirus Dr.Web ou a utilidade Cure It) e diferentes números - tente buscar en Internet o nome do Trojan. Para algúns deles existen utilidades de descifrado de Dr.Web, tamén se non atopou a utilidade, pero hai unha licenza de Dr.Web, pode usar a páxina oficial //support.drweb.com/new/free_unlocker/
- CryptoLocker: para descifrar ficheiros despois de executar CryptoLocker, pode utilizar o sitio //decryptcryptolocker.com: despois de enviar o ficheiro de mostra, recibirás unha chave e utilidade para recuperar os teus ficheiros.
- No lugar//bitbucket.org/jadacyrus/ransomwareremovalkit/descarga Ransomware Removal Kit dispoñible: un gran arquivo con información sobre diferentes tipos de criptógrafos e utilidades de descifrado (en inglés)
Ben, a partir das últimas noticias - Kaspersky Lab, xunto con axentes policiais dos Países Baixos, desenvolveron Ransomware Decryptor (//noransom.kaspersky.com) para descifrar ficheiros despois de CoinVault, pero este extensor aínda non se atopou nas nosas latitudes.
Criptografía ou rescate de antivirus
Coa proliferación de Ransomware, moitos fabricantes de ferramentas antivirus e anti-malware comezaron a liberar as súas solucións para evitar o cifrado no ordenador, entre eles están:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Pero: estes programas non están deseñados para descifrar, senón só para evitar o cifrado de ficheiros importantes no seu computador. E, en xeral, paréceme que estas funcións deben ser implementadas en produtos antivirus, se non se obtén unha situación estraña: o usuario debe manter o antivirus no ordenador, un medio para combater AdWare e malware, e agora tamén utilidade anti-ransomware, ademais de que Anti- explotar.
Por certo, se de súpeto resulta que ten algo que engadir (porque como non teño tempo para supervisar o que está pasando cos métodos de descifrado), informe nos comentarios, esta información será útil a outros usuarios que atoparon un problema.