El virus encripta arxius i de nom. Com desxifrar els arxius xifrats de virus

Recentment hi ha hagut un augment de l'activitat de la nova generació de programes informàtics maliciosos. Van aparèixer durant molt de temps (6 - 8 anys), però el ritme de la seva aplicació aconseguir el seu punt màxim ara. S'enfronta cada vegada més amb el fet que l'arxiu de virus està encriptat.

Ja sabem que això no és només un programari maliciós primitiva, per exemple, el bloqueig de l'ordinador (que causa la pantalla blava), i els programes destinats a greus danys, per regla general, les dades comptables. Es xifren tots els arxius que estan a l'abast, incloent les dades 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Perills específics considerats virus

Es troba en el fet que això s'aplica RSA-clau, que està vinculat a l'ordinador d'un usuari en particular, com a conseqüència, el descodificador universal (desxifrador) no es troba. Els virus que són actius en un dels ordinadors, poden no funcionar en un altre.

El perill està també en el fet que més d'un any a Internet col·loca llestos programes de constructors (Constructor), el que permet el desenvolupament d'un virus d'aquest tipus, fins i tot kulhatskeram (individus que es consideren a si mateixos hackers, però no per aprendre programació).

Actualment, hi ha més de gran abast modificació.

mètode d'aplicació de base de dades de malware

Butlletí del virus produït a propòsit, per regla general, el departament de comptabilitat de l'empresa. En primer lloc, que recull els departaments de personal correus electrònics, comptes per departaments d'aquestes bases de dades, per exemple, hh.ru. A continuació es l'enviament de cartes. Sovint contenen una sol·licitud pel que fa a l'adopció d'una posició particular. Tal carta arxiu adjunt amb un resum, dins de la qual el document real amb un objecte OLE-implantat (pdf-arxiu amb un virus).

En situacions en què el personal de comptabilitat va posar en marxa immediatament el document, es produeix després de reiniciar el següent: un virus i va canviar el nom de l'arxiu es xifra i s'autodestrueixen.

Aquest tipus de lletra és generalment adequada escrit i enviat a la caixa nespamerskogo (nom coincideix amb la signatura). Vacant sempre es demana sobre la base de perfils d'activitats de l'empresa, de manera que no sorgeixen les sospites.

No té una llicència "Kaspersky" (programari antivirus) o "Virus Total" (arxius adjunts de facturació de serveis en línia a la recerca de virus) no poden protegir el seu ordinador en aquest cas. De tant en tant, alguns programes antivirus per escanejar problema que l'arxiu adjunt és Gen: Variant.Zusy.71505.

Com evitar ser infectat amb el virus?

Cal comprovar cada arxiu rebut. Especial atenció es presta documents vordovsky que s'han incrustat pdf.

Les variants de missatges "infectats"

Una gran quantitat d'ells. Les variants més comunes del virus xifra els arxius es mostren a continuació. En tots els casos, els següents documents arriben per e-mail:

1. La notificació sobre l'inici del procés de revisió s'aplica a una acció legal companyia específica (la lletra serveix per comprovar les dades fent clic a l'enllaç).
2. Carta del SAC per a la recuperació del deute.
3. Missatge del Sberbank per a un augment del deute existent.
4. Avís de fixació de violacions de trànsit.
5. Una carta d'una agència de col lecció amb el possible retard màxim de pagament.

Avís de xifrat d'arxius

Que apareixerà després de la infecció a la carpeta arrel de la unitat C. De vegades tots els directoris amb un tipus de text col·locat danyat arxius ChTO_DELAT.txt, CONTACT.txt. Allà, s'informa a l'usuari sobre com xifrar els seus arxius que es fa per mitjà d'algoritmes criptogràfics fiables. I va advertir sobre l'ús inadequat d'eines de tercers, ja que això pot causar dany als arxius finals, que al seu torn donarà lloc a la impossibilitat de desxifrat subsegüent.

Es recomana l'avís per abandonar l'equip en un estat inalterat. Indica l'emmagatzematge proporcionat per una clau (en general és de 2 dies). Explicat la data exacta, després de la qual cosa es tindrà en compte cap tipus de tractament.

Al final del correu electrònic determinada. També estableix que l'usuari ha d'introduir el seu ID i que qualsevol de les següents accions pot resultar en l'eliminació de la clau, que són:

• insults;
• detalls de la sol·licitud sense pagament addicional;
• amenaça.

Com desxifrar els arxius xifrats de virus?

Aquest tipus de xifrat és molt potent: l'arxiu se li assigna a una extensió tan perfecta, etc. nochance crac és simplement impossible, però es pot tractar de connectar un criptoanalista i buscar una escapatòria (en algunes situacions per ajudar al Dr. WEB) ..

Hi ha 1 manera de restaurar el virus d'arxius xifrats, però no és adequat per a tots els virus, també és necessari per eliminar l'executable original amb aquest programa maliciós, que és bastant difícil de posar en pràctica l'autodestrucció després.

Si us plau que fa a la introducció del virus d'un codi especial - un xec petit, perquè l'arxiu en aquest moment ja es disposa d'un descodificador (codi de, per així dir-ho, l'atacant no necessita). L'essència d'aquest mètode - l'entrada al virus penetrat (en lloc del codi d'entrada de comparació en si) equips buits. El resultat - un programa maliciós en si corre el desxifrat dels arxius i per tant els restaura completament.

A cada virus té la seva pròpia funció de xifrat especial, de manera que una executables de tercers (format d'arxiu EXE) no van a desxifrar, o es pot tractar de triar la funció anterior, el que requereix que totes les accions realitzades en WINAPI.

El virus xifra els arxius: què fer?

Per dur a terme es requereix el procediment de desxifrat:

1. Fer còpies de seguretat (backups dels fitxers existents). Al final de desxifrar tot el que s'elimina a si mateix.
2. En l'equip (la víctima), ha d'executar aquest programa maliciós, a continuació, esperar, conté un requisit pel que fa a la introducció del codi quan s'obre la finestra.
3. A continuació, cal començar des de l'arxiu d'emmagatzematge adjunt Patcher.exe.
4. El pas següent és introduir un nombre del procés virus, aleshores cal prémer "Enter-".
5. Serà el missatge «pegats», el que significa fregar instruccions de comparació.
6. Això és seguit per la introducció del codi en el quadre Tipus de qualsevol dels caràcters i, a continuació, feu clic a "OK".
7. El virus comença el procés de desxifrar l'arxiu, després de la qual cosa s'elimina a si mateix.

Com evitar la pèrdua de dades deguda consideració de programari maliciós?

Val la pena saber que en una situació en què el virus xifra els arxius per al procés de presa temps de desxifrat. El punt important a favor és que el malware abans esmentat hi ha un error que li permet guardar alguns arxius, si desconnectar ràpidament l'ordinador (treure l'endoll de la presa de corrent, apagueu la regleta d'alimentació, retiri la bateria en cas d'un ordinador portàtil), tan aviat com un gran nombre d'arxius d'extensió especificats prèviament .

Un cop més, cal destacar que el més important - és crear constantment una còpia de seguretat, però no en una altra carpeta, no en un mitjà extraïble que s'insereix a l'ordinador, ja que la modificació del virus i arribaran a aquests llocs. Val la pena mantenir còpies de seguretat en un equip diferent, un disc dur, que no està permanentment connectat a l'ordinador, i en el núvol.

Han de ser tractats amb sospita a tots els documents que vénen al correu de persones desconegudes (en forma resumida, la factura, la Resolució del SAC o l'impost i altres.). Ells no s'han d'executar a l'ordinador (per a aquest propòsit el netbook, no conté dades importants poden ser identificats).

*.paycrypt@gmail.com programa maliciós: Remedios

.. En una situació en què el virus encriptat esmentada arxius CBF, doc, jpg, etc., només hi ha tres escenaris:

1. La forma més fàcil de desfer-se'n - eliminar tots els arxius infectats (és acceptable, si les dades no és molt important).
2. Veure programa antivirus laboratori, per exemple, el Dr. WEB. desenvolupadors de correu electrònic de diversos arxius infectats amb la clau necessària per desxifrar, que es troba a l'ordinador com KEY.PRIVATE.
3. La forma més cara. Ell assumeix el pagament de la quantitat sol·licitada per als hackers desxifrar els arxius infectats. En general, el cost d'aquest servei és d'entre 200-500 dòlar americà .. Això és acceptable en una situació en la qual el virus xifra els arxius d'una gran empresa, en què un flux substancial d'informació es duu a terme sobre una base diària, i aquest programa maliciós pot en qüestió de segons causar un dany terrible. En relació amb aquest pagament - la versió més ràpida de la recuperació d'arxius infectats.

De vegades és eficaç i una opció addicional. En el cas que el virus xifra dels arxius (paycrypt @ gmail_com o un altre programari maliciós) pot ajudar al sistema desfà fa uns dies.

Programa per desxifrar RectorDecryptor

Si el virus xifra els arxius jpg, doc, CBF i així successivament. N., pot ajudar a un programa especial. Per a això primer hem de anar a la posada en marxa i desactivar tots, però l'antivirus. A continuació, cal reiniciar l'ordinador. Veure tots els arxius, ressalti sospitós. En el camp sota el nom de "Equip", va declarar la ubicació d'un arxiu específic (ha de prestar atenció a les aplicacions que no tenen una signatura: el fabricant - no hi ha dades).

Tots els arxius sospitosos de ser esborrats, a continuació, la necessitat de netejar els caixets navegadors carpeta temporal (programa CCleaner és adequat per a aquest propòsit).

Per iniciar el desxifrat, s'ha de descarregar el programa anterior. A continuació, executeu i feu clic a "Start Scan", que especifica els arxius modificats i la seva extensió. En les versions modernes del programa només pot especificar el fitxer infectat a si mateix i feu clic a "Obre". Després d'això, es poden desxifrar els arxius.

Posteriorment, la utilitat explora automàticament totes les dades de l'ordinador, inclosos els arxius emmagatzemats en el connectat unitat de xarxa, i els desxifra. Aquest procés de recuperació pot trigar diverses hores (depenent de la càrrega de treball i la velocitat de l'ordinador).

Com a resultat, tots els arxius danyats seran descodificats a la mateixa carpeta en la que es van instal·lar originalment. Al final només haurà d'eliminar tots els arxius existents amb extensió sospitós, que vostè pot posar una marca a la consulta "Eliminar arxius xifrats després de la descodificació reeixida" prement un pre-botó "Canviar la configuració d'escaneig". No obstant això, és millor no posar, com en el cas d'un fallit desxifrat dels arxius que poden retirar-se, i després haver de restaurar primer.

Per tant, si el virus xifra els arxius doc, CBF, jpg t. E., no ha de afanyar al codi de pagament. Potser ell no ho necessitava.

eliminació de matisos d'arxius xifrats

Quan intenta eliminar tots els arxius danyats utilitzant una recerca estàndard i posterior eliminació pot començar a penjar i alentint el seu ordinador. Per tant, per a aquest procediment s'ha d'utilitzar una especial línia d'ordres. Després del seu llançament, cal introduir el següent: del «: \ *. » / f / s.

Assegureu-vos que vol eliminar aquests arxius com "Read-menya.txt", que en la mateixa línia de comandes ha d'especificar: del ": \ * » / f / s ..

D'aquesta manera, cal assenyalar que si el virus canvia el nom i xifrar arxius, vostè ha de no només gastar diners en la compra dels cibercriminals clau necessari en primer lloc tractar d'entendre el problema pel seu compte. És millor invertir en la compra d'un programa especial per desxifrar els arxius danyats.

Finalment val la pena recordar que en aquest article la pregunta sobre com desxifrar els arxius xifrats de virus.