Arvutiviiruste krüpteerija. Encryptor viirus: kuidas faile desinfitseerida ja dekrüpteerida? Failide dekrüpteerimine pärast lunavaraviirust

Kaasaegsed tehnoloogiad võimaldavad häkkeritel oma tavakasutajate vastu suunatud pettusmeetodeid pidevalt täiustada. Reeglina kasutatakse nendel eesmärkidel arvutisse tungivat viirustarkvara. Eriti ohtlikeks peetakse krüpteerimisviiruseid. Oht seisneb selles, et viirus levib väga kiiresti, krüpteerides faile (kasutaja lihtsalt ei saa ühtegi dokumenti avada). Ja kui see on üsna lihtne, on andmete dekrüpteerimine palju keerulisem.

Mida teha, kui viirus on teie arvutis faile krüpteerinud

Lunavara võib rünnata kõiki, isegi kasutajad, kellel on võimas viirusetõrjetarkvara, pole immuunsed. Faile krüpteerivad troojalased on saadaval mitmesuguste koodidega, mis võivad olla viirusetõrje jaoks väljas. Häkkeritel õnnestub sarnasel viisil rünnata isegi suuri ettevõtteid, kes pole hoolitsenud oma teabe vajaliku kaitse eest. Seega, kui olete Internetist lunavaraprogrammi üles otsinud, peate võtma mitmeid meetmeid.

Peamised nakatumise tunnused on arvuti aeglane töö ja dokumentide nimede muutumine (näha töölaual).

1. Krüptimise peatamiseks taaskäivitage arvuti. Sisselülitamisel ärge kinnitage tundmatute programmide käivitamist.
2. Käivitage oma viirusetõrje, kui lunavara pole seda rünnanud.
3. Mõnel juhul aitavad varikoopiad teavet taastada. Nende leidmiseks avage krüptitud dokumendi "Atribuudid". See meetod töötab Vault laienduse krüpteeritud andmetega, mille kohta portaalis on teavet.
4. Laadige alla utiliidi uusim versioon, et võidelda lunavaraviirustega. Kõige tõhusamad neist pakub Kaspersky Lab.

Lunavaraviirused 2016. aastal: näited

Iga viirusrünnakuga võitlemisel on oluline mõista, et kood muutub väga sageli, millele lisandub uus viirusetõrje. Muidugi vajavad turvaprogrammid veidi aega, kuni arendaja andmebaase värskendab. Oleme välja valinud viimase aja ohtlikumad krüpteerimisviirused.

Ishtar Ransomware

Ishtar on lunavara, mis pressib kasutajalt raha välja. Viirust märgati 2016. aasta sügisel, nakatades tohutul hulgal Venemaa ja mitmete teiste riikide kasutajate arvuteid. Levitatakse meili teel, mis sisaldab lisatud dokumente (paigaldajad, dokumendid jne). Ishtari krüpteerijaga nakatunud andmetele antakse nende nimes eesliide “ISHTAR”. Protsessi käigus luuakse testdokument, mis näitab, kuhu parooli saamiseks pöörduda. Ründajad nõuavad selle eest 3000–15 000 rubla.

Ishtari viiruse oht seisneb selles, et täna pole ühtegi dekrüpteerijat, mis kasutajaid aitaks. Viirusetõrjetarkvara ettevõtted vajavad kogu koodi dešifreerimiseks aega. Nüüd saate ainult olulise teabe (kui see on eriti oluline) eraldada eraldi kandjale, oodates dokumentide dekrüpteerimiseks võimelise utiliidi vabastamist. Soovitatav on operatsioonisüsteem uuesti installida.

Neitrino

Neitrino krüpteerija ilmus Internetti 2015. aastal. Rünnaku põhimõte on sarnane teiste sarnase kategooria viirustega. Muudab kaustade ja failide nimesid, lisades "Neitrino" või "Neutrino". Viirust on raske dekrüpteerida, mitte kõik viirusetõrjefirmade esindajad ei võta seda ette, viidates väga keerulisele koodile. Mõnele kasutajale võib varikoopia taastamisest kasu olla. Selleks paremklõpsake krüptitud dokumendil, minge vahekaardile "Atribuudid", "Eelmised versioonid", klõpsake nuppu "Taasta". Kaspersky Labi tasuta utiliidi kasutamine ei teeks paha.

Rahakott või .rahakott.

Walleti krüpteerimisviirus ilmus 2016. aasta lõpus. Nakatumise käigus muudab see andmete nimeks “Nimi..rahakott” või millekski sarnaseks. Nagu enamik lunavaraviiruseid, siseneb see süsteemi ründajate saadetud meilide manuste kaudu. Kuna oht ilmnes väga hiljuti, ei märka viirusetõrjeprogrammid seda. Pärast krüptimist loob ta dokumendi, milles pettur näitab suhtlemiseks e-posti. Viirusetõrjetarkvara arendajad tegelevad praegu lunavaraviiruse koodi dešifreerimisega. [e-postiga kaitstud]. Kasutajad, keda on rünnatud, saavad ainult oodata. Kui andmed on olulised, on soovitatav need süsteemi tühjendades välisele draivile salvestada.

Enigma

Enigma lunavaraviirus hakkas Venemaa kasutajate arvuteid nakatama 2016. aasta aprilli lõpus. Kasutatakse AES-RSA krüpteerimismudelit, mida tänapäeval leidub enamikes lunavaraviirustes. Viirus tungib arvutisse skripti abil, mida kasutaja käivitab, avades faile kahtlasest meilist. Endiselt puudub universaalne vahend Enigma lunavara vastu võitlemiseks. Viirusetõrjelitsentsiga kasutajad saavad abi küsida arendaja ametlikul veebisaidil. Leiti ka väike "lünk" - Windows UAC. Kui kasutaja klõpsab viirusnakkuse protsessi ajal ilmuvas aknas "Ei", saab ta hiljem teavet varikoopiate abil taastada.

Graniit

Uus lunavaraviirus Granit ilmus internetti 2016. aasta sügisel. Nakatumine toimub järgmise stsenaariumi kohaselt: kasutaja käivitab installiprogrammi, mis nakatab ja krüpteerib kõik arvutis olevad andmed, aga ka ühendatud draivid. Viiruse vastu võitlemine on keeruline. Selle eemaldamiseks võite kasutada Kaspersky spetsiaalseid utiliite, kuid meil pole veel õnnestunud koodi dešifreerida. Võib-olla aitab andmete eelmiste versioonide taastamine. Lisaks saab dekrüpteerida suurte kogemustega spetsialist, kuid teenus on kallis.

Tyson

Täheldatud hiljuti. See on juba tuntud lunavara no_more_ransom laiendus, mille kohta saate tutvuda meie veebisaidil. See jõuab personaalarvutitesse meili teel. Rünnati paljusid ettevõtte personaalarvuteid. Viirus loob tekstidokumendi koos avamisjuhistega, pakkudes välja "lunaraha". Tysoni lunavara ilmus hiljuti, seega pole veel avamisvõtit. Ainus viis teabe taastamiseks on eelmiste versioonide tagastamine, kui viirus neid ei kustutanud. Loomulikult võite võtta riski, kandes raha ründajate määratud kontole, kuid pole garantiid, et saate parooli.

Spora

2017. aasta alguses langes hulk kasutajaid uue Spora lunavara ohvriks. Oma tööpõhimõttelt ei erine see kuigi palju oma kolleegidest, kuid uhkeldab professionaalsema disainiga: parooli hankimise juhised on paremini kirjutatud ja veebisait näeb ilusam välja. Spora lunavaraviirus loodi C-keeles ja kasutab ohvri andmete krüptimiseks RSA ja AES kombinatsiooni. Reeglina rünnati arvuteid, milles 1C raamatupidamisprogrammi aktiivselt kasutati. Lihtsa .pdf-vormingus arve varjus peituv viirus sunnib ettevõtte töötajaid selle käivitama. Ravi pole veel leitud.

1C.Drop.1

See 1C krüpteerimisviirus ilmus 2016. aasta suvel, häirides paljude raamatupidamisosakondade tööd. See töötati välja spetsiaalselt 1C tarkvara kasutavate arvutite jaoks. Kui olete arvutis e-kirjas oleva faili kaudu, palub see omanikul programmi värskendada. Ükskõik, mis nuppu kasutaja vajutab, hakkab viirus faile krüpteerima. Dr.Webi spetsialistid töötavad dekrüpteerimisvahendite kallal, kuid lahendust pole veel leitud. Selle põhjuseks on keeruline kood, millel võib olla mitu muudatust. Ainus kaitse 1C.Drop.1 vastu on kasutaja valvsus ja regulaarne oluliste dokumentide arhiveerimine.

da_vinci_code

Uus lunavara ebatavalise nimega. Viirus ilmus 2016. aasta kevadel. See erineb eelkäijatest täiustatud koodi ja tugeva krüpteerimisrežiimi poolest. da_vinci_code nakatab arvuti tänu täitmisrakendusele (tavaliselt e-kirjale lisatud), mille kasutaja käivitab iseseisvalt. Da Vinci krüpteerimistööriist kopeerib keha süsteemikataloogi ja registrisse, tagades automaatse käivitamise, kui Windows on sisse lülitatud. Iga ohvri arvutile määratakse unikaalne ID (aitab saada parooli). Andmeid on peaaegu võimatu dekrüpteerida. Võite maksta ründajatele raha, kuid keegi ei garanteeri, et saate parooli.

[e-postiga kaitstud] / [e-postiga kaitstud]

Kaks meiliaadressi, millega kaasnesid 2016. aastal sageli lunavaraviirused. Nende eesmärk on ühendada ohver ründajaga. Lisatud olid aadressid erinevat tüüpi viiruste jaoks: da_vinci_code, no_more_ransom ja nii edasi. Väga soovitav on petturitega mitte ühendust võtta ega neile raha üle kanda. Kasutajad jäävad enamasti paroolideta. Seega näidates, et ründajate lunavara töötab, teenides tulu.

Halvale teele

See ilmus 2015. aasta alguses, kuid levis aktiivselt alles aasta hiljem. Nakatumise põhimõte on identne muu lunavaraga: meilist faili installimine, andmete krüpteerimine. Tavalised viirusetõrjeprogrammid Breaking Bad viirust reeglina ei märka. Mõni kood ei saa Windowsi UAC-st mööda minna, jättes kasutajale võimaluse taastada dokumentide varasemad versioonid. Ükski viirusetõrjetarkvara arendav ettevõte pole veel dekrüpteerijat esitlenud.

XTBL

Väga levinud lunavara, mis on paljudele kasutajatele probleeme tekitanud. Arvutisse sattudes muudab viirus mõne minutiga faililaiendi .xtbl. Luuakse dokument, milles ründaja pressib raha välja. Mõned XTBL-viiruse variandid ei suuda süsteemi taastamiseks faile hävitada, mis võimaldab teil olulisi dokumente tagasi saada. Viirust ennast saab eemaldada paljude programmidega, kuid dokumentide dekrüpteerimine on väga keeruline. Kui olete litsentsitud viirusetõrje omanik, kasutage tehnilist tuge, lisades nakatunud andmete näidised.

Kukaracha

Cucaracha lunavara avastati 2016. aasta detsembris. Huvitava nimega viirus peidab kasutajafaile RSA-2048 algoritmi abil, mis on väga vastupidav. Kaspersky viirusetõrje märgistas selle kui Trojan-Ransom.Win32.Scatter.lb. Kukaracha saab arvutist eemaldada, et teised dokumendid ei nakatuks. Nakatunud on aga praegu peaaegu võimatu dekrüpteerida (väga võimas algoritm).

Kuidas lunavaraviirus töötab?

Lunavarasid on tohutult palju, kuid need kõik töötavad sarnasel põhimõttel.

1. Juurdepääs personaalarvutile. Tavaliselt tänu meilile lisatud failile. Installimise algatab kasutaja ise, avades dokumendi.
2. Faili nakatumine. Peaaegu igat tüüpi failid on krüptitud (olenevalt viirusest). Luuakse tekstidokument, mis sisaldab kontakte ründajatega suhtlemiseks.
3. Kõik. Kasutajal pole juurdepääsu ühelegi dokumendile.

Kontrollained populaarsetest laboritest

Lunavara laialdane kasutamine, mis on tunnistatud kõige ohtlikumaks ohuks kasutajaandmetele, on saanud tõuke paljudele viirusetõrjelaboritele. Iga populaarne ettevõte pakub oma kasutajatele programme, mis aitavad neil lunavara vastu võidelda. Lisaks aitavad paljud neist dokumentide dekrüpteerimisel ja süsteemi kaitsmisel.

Kaspersky ja lunavaraviirused

Venemaa ja maailma üks kuulsamaid viirusetõrjelaboreid pakub tänapäeval kõige tõhusamaid vahendeid lunavaraviiruste vastu võitlemiseks. Esimeseks tõkkeks lunavaraviirusele saab Kaspersky Endpoint Security 10 koos uusimate uuendustega. Viirusetõrje lihtsalt ei lase ohul teie arvutisse siseneda (kuigi see ei pruugi uusi versioone peatada). Teabe dekrüpteerimiseks pakub arendaja mitmeid tasuta utiliite: XoristDecryptor, RakhniDecryptor ja Ransomware Decryptor. Need aitavad viirust leida ja parooli valida.

Dr. Veeb ja lunavara

See labor soovitab kasutada nende viirusetõrjeprogrammi, mille põhifunktsiooniks on failide varundamine. Dokumentide koopiatega hoidla on kaitstud ka sissetungijate volitamata juurdepääsu eest. Litsentsitud toote omanikud Dr. Veebifunktsioon on saadaval tehnilise toe abi saamiseks. Tõsi, isegi kogenud spetsialistid ei suuda seda tüüpi ohtudele alati vastu seista.

ESET Nod 32 ja lunavara

Ka see ettevõte ei jäänud kõrvale, pakkudes oma kasutajatele head kaitset arvutisse sattuvate viiruste vastu. Lisaks andis labor hiljuti välja tasuta utiliidi koos ajakohaste andmebaasidega – Eset Crysis Decryptor. Arendajad ütlevad, et see aitab võidelda isegi uusima lunavara vastu.

Üle maailma on laine uue krüpteerimisviiruse WannaCry (teised nimed Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) laine, mis krüpteerib arvutis olevaid dokumente ja pressib nende dekodeerimise eest välja 300-600 USD. Kuidas saate aru, kas teie arvuti on nakatunud? Mida teha, et mitte ohvriks langeda? Ja mida teha taastumiseks?

Pärast värskenduste installimist peate arvuti taaskäivitama.

Kuidas taastuda lunavaraviirusest Wana Decrypt0r?

Kui viirusetõrjeutiliit viiruse tuvastab, eemaldab see selle kohe või küsib, kas seda ravida või mitte? Vastus on ravida.

Kuidas taastada Wana Decryptoriga krüptitud faile?

Me ei saa hetkel midagi rahustavat öelda. Failide dekrüpteerimise tööriista pole veel loodud. Praegu jääb üle vaid oodata, kuni dekrüpteerija välja töötatakse.

Arvutiturbeeksperdi Brian Krebsi sõnul on kurjategijad hetkel kätte saanud vaid 26 000 USD ehk ainult umbes 58 inimest olid nõus väljapressijatele lunaraha maksma. Keegi ei tea, kas nad taastasid oma dokumendid.

Kuidas peatada viiruse levik Internetis?

WannaCry puhul võib probleemi lahenduseks olla tulemüüri pordi 445 blokeerimine, mille kaudu nakatumine toimub.

Esimeste teadete kohaselt liigitati teisipäeval ründajate poolt aktiveeritud krüpteeriv viirus juba teadaoleva Petya lunavaraperekonna liikmeks, kuid hiljem selgus, et tegemist on uue, oluliselt erineva funktsionaalsusega pahavara perekonnaga. Kaspersky Lab nimetas uue viiruse ExPetriks.

«Meie ekspertide tehtud analüüs näitas, et ohvritel polnud esialgu mingit võimalust oma toimikuid tagasi saada. "Kaspersky Labi teadlased analüüsisid seda osa pahavara koodist, mis on seotud failide krüptimisega ja leidsid, et kui ketas on krüpteeritud, ei ole viiruse loojatel enam võimalust seda tagasi dekrüpteerida," teatab labor.

Nagu ettevõte märgib, nõuab dekrüpteerimine konkreetse trooja installi jaoks unikaalset identifikaatorit. Varem tuntud sarnaste krüpteerijate Petya/Mischa/GoldenEye versioonides sisaldas installiidentifikaator dekrüpteerimiseks vajalikku teavet. ExPetri puhul seda identifikaatorit ei eksisteeri. See tähendab, et pahavara loojad ei saa failide dekrüpteerimiseks vajalikku teavet. Teisisõnu pole lunavara ohvritel mingit võimalust oma andmeid tagasi saada, selgitab Kaspersky Lab.

Viirus blokeerib arvutid ja nõuab 300 dollarit bitcoine, teatas Group-IB RIA Novostile. Rünnak algas teisipäeval kella 11 paiku. Meedia andmetel oli kolmapäeva kella 18 seisuga Bitcoini rahakott, mis oli määratud väljapressijatele raha üle kandma, saanud üheksa ülekannet. Arvestades ülekannete vahendustasu, kandsid ohvrid häkkeritele umbes 2,7 tuhat dollarit.

Võrreldes WannaCryga peetakse seda viirust hävitavamaks, kuna see levib mitmel meetodil – kasutades Windows Management Instrumentationit, PsExeci ja EternalBlue exploiti. Lisaks sisaldab lunavara tasuta utiliiti Mimikatz.

Uue “uue Petya” krüpteerimisviiruse poolt rünnatud kasutajate arv on jõudnud 2 tuhandeni, teatas kolmapäeval arvutinakkuste lainet uuriv Kaspersky Lab.

Viirusetõrjefirma ESET teatel sai rünnak alguse Ukrainast, mis sai teistest riikidest rohkem kannatada. Ettevõtte viirusest mõjutatud riikide reitingu järgi on Ukraina järel teisel kohal Itaalia ja kolmandal Iisrael. Esikümnesse mahtusid veel Serbia, Ungari, Rumeenia, Poola, Argentina, Tšehhi ja Saksamaa. Venemaa sai selles edetabelis 14. koha.

Lisaks ütles Avast, milliseid operatsioonisüsteeme viirus kõige enam mõjutas.

Esikohal oli Windows 7 – 78% kõigist nakatunud arvutitest. Järgmiseks tulevad Windows XP (18%), Windows 10 (6%) ja Windows 8.1 (2%).

Seega ei õpetanud WannaCry globaalsele kogukonnale praktiliselt mitte midagi – arvutid jäid kaitseta, süsteeme ei uuendatud ning Microsofti pingutused väljastada plaastreid ka aegunud süsteemidele läksid lihtsalt marjaks ära.

on pahatahtlik programm, mis aktiveerimisel krüpteerib kõik isiklikud failid, nagu dokumendid, fotod jne. Selliste programmide arv on väga suur ja kasvab iga päevaga. Alles hiljuti oleme kohanud kümneid lunavara variante: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste jne. Selliste krüpteerimisviiruste eesmärk on sundida kasutajaid ostma, sageli suure raha eest, oma failide dekrüpteerimiseks vajalikku programmi ja võtit.

Loomulikult saate krüpteeritud faile taastada lihtsalt järgides juhiseid, mille viiruse loojad jätavad nakatunud arvutisse. Enamasti on aga dekrüpteerimise hind väga märkimisväärne ning lisaks peab teadma, et mõned lunavaraviirused krüpteerivad faile nii, et hiljem on neid lihtsalt võimatu lahti krüptida. Ja muidugi on lihtsalt tüütu maksta enda failide taastamise eest.

Allpool räägime lähemalt krüpteerimisviirustest, nende tungimisest ohvri arvutisse, samuti sellest, kuidas krüpteerimisviirust eemaldada ja sellega krüpteeritud faile taastada.

Kuidas lunavaraviirus arvutisse tungib?

Lunavaraviirus levib tavaliselt meili teel. Kiri sisaldab nakatunud dokumente. Sellised kirjad saadetakse tohutusse meiliaadresside andmebaasi. Selle viiruse autorid kasutavad kirjade eksitavaid päiseid ja sisu, püüdes meelitada kasutajat avama kirjale lisatud dokumenti. Mõned kirjad teavitavad arve tasumise vajadusest, teised pakuvad tutvuda värskeima hinnakirjaga, teised pakuvad naljaka foto avamist jne. Igal juhul põhjustab lisatud faili avamine teie arvuti lunavaraviirusega nakatumise.

Mis on lunavaraviirus?

Lunavaraviirus on pahatahtlik programm, mis nakatab Windowsi operatsioonisüsteemide kaasaegseid versioone, nagu Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Need viirused püüavad kasutada võimalikult tugevaid krüpteerimisrežiime, näiteks RSA-2048 koos võtme pikkus on 2048 bitti, mis praktiliselt välistab võimaluse valida võtit failide iseseisvaks dekrüpteerimiseks.

Arvuti nakatamisel kasutab lunavaraviirus oma failide salvestamiseks süsteemikataloogi %APPDATA%. Enda automaatseks käivitamiseks arvuti sisselülitamisel loob lunavara Windowsi registrisse kirje: jaotised HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Kohe pärast käivitamist kontrollib viirus kõiki saadaolevaid draive, sealhulgas võrgu- ja pilvesalvestust, et määrata krüpteeritavad failid. Lunavaraviirus kasutab krüpteeritavate failide rühma tuvastamiseks failinime laiendit. Peaaegu igat tüüpi failid on krüptitud, sealhulgas sellised tavalised failid nagu:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, rahakott, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .w .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xpmap, . , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Kohe pärast faili krüptimist saab see uue laienduse, mida saab sageli kasutada lunavara nime või tüübi tuvastamiseks. Teatud tüüpi pahavara võib muuta ka krüptitud failide nimesid. Seejärel loob viirus tekstidokumendi nimedega HELP_YOUR_FILES, README, mis sisaldab juhiseid krüptitud failide dekrüpteerimiseks.

Krüpteerimisviirus üritab oma töö ajal blokeerida failide taastamise võimalust SVC (failide varjukoopia) süsteemi abil. Selleks kutsub viirus käsurežiimis välja failide varikoopiate haldamise utiliidi võtmega, mis käivitab nende täieliku kustutamise. Seega on peaaegu alati võimatu faile nende varikoopiate abil taastada.

Lunavaraviirus kasutab aktiivselt hirmutamistaktikat, andes ohvrile lingi krüpteerimisalgoritmi kirjeldusele ja kuvades Töölauale ähvardava sõnumi. Nii püüab ta sundida nakatunud arvuti kasutajat kõhklemata saatma arvuti ID-d viiruse autori meiliaadressile, et püüda oma faile tagasi saada. Vastuseks sellisele sõnumile on enamasti lunarahasumma ja e-rahakoti aadress.

Kas mu arvuti on nakatunud lunavaraviirusega?

On üsna lihtne kindlaks teha, kas arvuti on krüpteerimisviirusega nakatunud või mitte. Pöörake tähelepanu oma isiklike failide laienditele, nagu dokumendid, fotod, muusika jne. Kui laiendus on muutunud või teie isiklikud failid on kadunud, jättes maha palju tundmatute nimedega faile, on teie arvuti nakatunud. Lisaks on nakkuse tunnuseks faili HELP_YOUR_FILES või README olemasolu teie kataloogides. See fail sisaldab juhiseid failide dekrüpteerimiseks.

Kui kahtlustate, et olete avanud lunavaraviirusega nakatunud e-kirja, kuid nakkuse sümptomeid veel ei ole, siis ärge lülitage arvutit välja ega taaskäivitage. Järgige selle juhendi jaotises kirjeldatud samme. Kordan veel kord, teatud tüüpi lunavara puhul on väga oluline arvutit mitte välja lülitada, failide krüpteerimisprotsess aktiveeritakse arvuti esmakordsel sisselülitamisel pärast nakatumist!

Kuidas dekrüpteerida lunavaraviirusega krüpteeritud faile?

Kui see katastroof juhtub, pole paanikaks põhjust! Kuid peate teadma, et enamikul juhtudel pole tasuta dekrüpteerijat. Selle põhjuseks on tugevad krüpteerimisalgoritmid, mida selline pahavara kasutab. See tähendab, et ilma privaatvõtmeta on failide dekrüpteerimine peaaegu võimatu. Võtme valimise meetodi kasutamine ei ole samuti võimalik võtme suure pikkuse tõttu. Seetõttu on kahjuks ainult viiruse autoritele kogu küsitud summa tasumine ainus võimalus dekrüpteerimisvõtme hankimiseks.

Loomulikult ei ole mingit garantiid, et pärast maksmist võtavad viiruse autorid teiega ühendust ja annavad teie failide dekrüpteerimiseks vajaliku võtme. Lisaks peate mõistma, et viirusearendajatele raha makstes julgustate neid ise uusi viiruseid looma.

Kuidas eemaldada lunavaraviirust?

Enne alustamist peate teadma, et alustades viiruse eemaldamist ja proovides faile ise taastada, blokeerite failide dekrüpteerimise, makstes viiruse autoritele nende küsitud summa.

Kaspersky Virus Removal Tool ja Malwarebytes Anti-malware suudavad tuvastada erinevat tüüpi aktiivseid lunavaraviiruseid ja eemaldada need lihtsalt teie arvutist, KUID nad ei suuda krüptitud faile taastada.

5.1. Eemaldage lunavara, kasutades Kaspersky Virus Removal Tooli

Vaikimisi on programm konfigureeritud taastama kõiki failitüüpe, kuid töö kiirendamiseks on soovitatav jätta ainult need failitüübid, mida on vaja taastada. Kui olete valiku lõpetanud, klõpsake nuppu OK.

Otsige QPhotoReci programmiakna allosas üles nupp Sirvi ja klõpsake seda. Peate valima kataloogi, kuhu taastatud failid salvestatakse. Soovitatav on kasutada ketast, mis ei sisalda taastamist vajavaid krüptitud faile (võite kasutada mälupulka või välist draivi).

Krüptitud failide originaalkoopiate otsimise ja taastamise protseduuri alustamiseks klõpsake nuppu Otsi. See protsess võtab üsna kaua aega, nii et olge kannatlik.

Kui otsing on lõpetatud, klõpsake nuppu Lõpeta. Nüüd avage taastatud failide salvestamiseks valitud kaust.

Kaust sisaldab katalooge nimedega taastamise_kataloog.1, taastamise_kataloog.2, taastamise_kataloog.3 jne. Mida rohkem faile programm leiab, seda rohkem on seal katalooge. Vajalike failide leidmiseks kontrollige ükshaaval kõiki katalooge. Suure hulga taastatud failide hulgast vajaliku faili leidmise hõlbustamiseks kasutage sisseehitatud Windowsi otsingusüsteemi (faili sisu järgi) ja ärge unustage ka failide sortimise funktsiooni kataloogides. Saate valida sortimissuvandina faili muutmise kuupäeva, kuna QPhotoRec proovib faili taastamisel seda atribuuti taastada.

Kuidas vältida lunavaraviiruse nakatamist arvutisse?

Enamikul kaasaegsetel viirusetõrjeprogrammidel on juba sisseehitatud kaitsesüsteem krüpteerimisviiruste sissetungimise ja aktiveerimise vastu. Seetõttu, kui teie arvutis pole viirusetõrjeprogrammi, installige see kindlasti. Saate teada, kuidas seda valida, lugedes seda.

Lisaks on olemas spetsiaalsed kaitseprogrammid. Näiteks see on CryptoPrevent, täpsemalt.

Paar viimast sõna

Järgides neid juhiseid, puhastatakse teie arvuti lunavaraviirusest. Kui teil on küsimusi või vajate abi, võtke meiega ühendust.