Ən təhlükəli zərərli proqramlardan biri, bir istifadəçi diskində faylları şifreleyen bir trojan və ya virüsdür. Bu faylların bəziləri şifrələnə bilər, bəziləri isə hələlik deyil. Kılavuzda hər iki vəziyyətdə hərəkətlər üçün mümkün alqoritmlər, No More Ransom və ID Ransomware xidmətləri üzrə şifrənin xüsusi növünü müəyyən etmək yolları, həmçinin anti-virus şifrələmə proqramının (ransomware) qısa təsviri var.
Bu cür virusların və ya xilasetmə troyanlarının (və yeniləri daim görünən) bir neçə dəyişiklik var, amma işin ümumi mahiyyəti, sənədlərin, şəkillərin və digər potensial əhəmiyyətli faylların yüklənməsindən sonra, orijinal faylların uzadılması və silinməsi ilə şifrələnir. bundan sonra bütün faylların şifrələndiyini bildirən readme.txt faylında bir mesaj alırsınız və onları şifrələmək üçün hücum edənə müəyyən bir məbləğ göndərməlisiniz. Qeyd: Windows 10 Fall Creators Update indi şifreleme viruslarına qarşı yerleşik qorunur.
Bütün mühüm məlumatlar şifrələnirsə
Başlayanlar üçün kompüterinizdə mühüm faylları şifrələmək üçün bəzi ümumi məlumatlar. Kompüterinizdəki mühüm məlumatlar şifrelenirse, ilk növbədə çaxnaşmırsınız.
Əgər belə bir fürsət varsa, şifrələnən faylın şifrələnməsinə nümunə olan bir nümunə faylını, şifrələnən faylın nümunəsini, virus-şifreleyicisinin (ransomware) ortaya çıxardığı kompüter diskindən xarici sürücüə (flash drive) çıxarın. Virusun veriyi şifrelemeye davam edə bilməyəcəyi üçün kompüteri söndürün və qalan əməliyyatları başqa bir kompüterdə yerinə yetirin.
Növbəti mərhələdə, mövcud olan şifrəli faylları istifadə edərək virusun hansı növünün şifrələndiyini öyrənməkdir: bəziləri üçün descramblers var (bəziləri burada qeyd edəcəyəm, bəziləri məqalənin sonuna yaxınlaşır), bəziləri üçün hələ deyil. Ancaq hətta bu halda şifrəli faylların nümunələrini öyrənmək üçün antivirus laboratoriyalarına (Kaspersky, Dr. Web) göndərə bilərsiniz.
Necə dəqiq tapmaq olar? Bunu Google-dan istifadə edərək, müzakirələr və ya fayl uzantısı ilə kriptoqrafik bir növ tapa bilərsiniz. Həm də fidyə proqramının növünü müəyyən etmək üçün xidmətlərə başlandı.
No More Ransom
No More Ransom, təhlükəsizliyin inkişaf etdiriciləri tərəfindən dəstəklənən və rus versiyasında mövcud olan kriptoqrafların (troyan-qəsbkarların) virusları ilə mübarizə məqsədilə fəaliyyət göstərən aktiv inkişaf edən bir qaynaqdır.
Şans ilə, No More Ransom sənədlərinizi, verilənlər bazalarınızı, fotoşəkillərinizi və digər məlumatlarınızı şifrələməməyə kömək edə bilər, şifrələmə üçün lazımlı proqramları yükləyin və gələcəkdə bu cür təhlükələrin qarşısını almaq üçün məlumat əldə edin.
No More Ransom-da, fayllarınızı şifrələmək və şifreleme virus növünü aşağıdakı kimi müəyyən etməyə cəhd edə bilərsiniz:
- //Www.nomoreransom.org/ru/index.html xidmətinin əsas səhifəsində "Bəli" düyməsini basın
- Kriptoqrafik şerif səhifəsi açılacaq, burada 1 Mb-dən daha böyük olmayan şifrəli faylları (heç bir məxfi məlumatı yükləməyi məsləhət görürəm) və həmçinin fırıldaqçıların fidyə (və ya readme.txt faylını endirdikdən tələb).
- "Çek" düyməsini basın və çek və nəticə tamamlanması üçün gözləyin.
Bundan əlavə, sayt faydalı bölmələrə malikdir:
- Decryptors - virus şifrəli faylların şifrələməsinə deyilən bütün mövcud proqramlar.
- Infeksiyanın qarşısının alınması - gələcəkdə infeksiya qarşısını almaq üçün kömək edə bilər başlayan acemi istifadəçilər əsasən məlumat.
- Suallar və cavablar - şifrələmə virusları və hərəkətlərinizi kompüterinizdə olan faylların şifrələnməsinə baxmayaraq qarşılaşdığınız hallarda daha yaxşı başa düşmək istəyənlər üçün məlumat.
Bu gün, No More Ransom, ehtimal ki, Rus istifadəçiləri üçün faylları şifrələmə ilə əlaqəli ən uyğun və faydalı mənbəyidir.
Id pullu proqram
Digər bir xidmət isə //id-ransomware.malwarehunterteam.com/ (virusun rus dilli variantları üçün nə qədər yaxşı işlədiyini bilməməyimə baxmayaraq xidmətin şifrəli bir fayl nümunəsini və fidyə tələbi ilə mətn faylını qidalandırmaqla dəyərləndirmək lazımdır).
Kriptoqrafın növünü müəyyən etdikdən sonra, müvəffəqiyyətli olsanız, bu variantın şifresini şifrələmək üçün bir fayda tapın: Decryptor Type_Chiler. Belə kommunallar pulsuzdur və antivirus inkişafçıları tərəfindən istehsal olunur, məsələn, Kaspersky saytında bir neçə bu cür proqramları tapa bilərsiniz //support.kaspersky.ru/viruses/utility (digər yardım proqramları məqalənin sonuna yaxındır). Və artıq qeyd olunduğu kimi, antivirus proqramlarının inkişaf etdiriciləri forumlarında və ya poçt dəstəyi xidmətində əlaqə saxlamaqdan çəkinməyin.
Təəssüf ki, bütün bunlar həmişə kömək etmir və həmişə fayl decrypters işləmir. Bu vəziyyətdə ssenarilər fərqlidir: bir çoxları intruder ödəyir, bu fəaliyyəti davam etdirməyə təşviq edirlər. Bəzi istifadəçilər bir kompüterdə məlumatları bərpa etmək üçün bir proqramla kömək edirlər (bir virus şifrelenmiş bir fayl edərək, nəzəri olaraq bərpa oluna bilən müntəzəm, vacib faylları silməklə).
Kompüterdəki fayllar xtbl ilə şifrələnir
Fidyə proqram virusunun ən son variantlarından biri, faylları .xtbl uzantıları və təsadüfi simvollardan ibarət olan bir ad ilə faylları əvəz edir.
Eyni zamanda, readme.txt mətn faylı təxminən aşağıdakı məzmunlu kompüterə yerləşdirilir: "Dosyalarınız şifrələndi, şifrələmək üçün kodu [email protected], [email protected] və ya [email protected] e-poçt ünvanına göndərməlisiniz. bütün lazımi təlimatları alacaqsınız. Dosyaların özünü şifrələmək cəhdləri irəliləyən məlumatın itirilməsinə səbəb olacaq "(poçt ünvanı və mətn fərqli ola bilər).
Təəssüf ki, hal-hazırda decrypt üçün heç bir yol yoxdur .xtbl (göründüyü kimi göstəriş yenilənəcək). Virus müəlliflərinə 5000 rubl və ya başqa bir miqdar göndərilən anti-virus forumları haqqında həqiqətən mühüm məlumatları olan bəzi istifadəçilər virusun müəlliflərinə lazımi miqdarda pul ayırdılar, lakin bu çox risklidir: heç bir şey ala bilməzsiniz.
Dosyalar .xtbl'de şifrelendiğinde ne olur? Mənim tövsiyələrim aşağıdakılardır (ancaq bir çox digər tematik saytlarda olanlardan fərqlənirlər, məsələn, onlar kompüterdən dərhal elektrik enerjisindən söndürüldükdə və ya virusu aradan qaldırmır). Mənim fikrimcə, bu lazımsızdır və müəyyən hallarda belə ola bilər. zərərli olsa da qərar verin.):
- Əgər mümkündürsə, tapşırıq menecerində müvafiq tapşırıqları aradan qaldıraraq şifrələmə prosesini kəsin, kompüterinizi İnternetdən ayırın (bu şifreleme üçün zəruri şərt ola bilər)
- Təcavüzkarların bir e-poçt ünvanına göndərmək üçün lazım olan kodunu yadda saxla və ya yazmaq (yalnız şifrənə çevrilməməsi üçün kompüterdə mətn faylında deyil).
- Malwarebytes Antimalware, Kaspersky Internet Security və ya Dr.Web Cure It sınaq versiyasını istifadə edərək, faylları şifreleyen virusları aradan qaldırmaq üçün (bütün yuxarıda olan vasitələr bununla yaxşı bir iş görür). Birinci və ikinci məhsulu siyahıdan istifadə etmək üçün sizə müraciət etməyi məsləhət görürəm (bir antivirus quraşdırılıbsa da, ikincisini "yuxarı" üstündə yerləşdirmək istəməsə də, istifadəsi istisna deyil, çünki bu, kompüterin işində problem yarada bilər).
- Anti-virus şirkətinin görünməsini gözləyin. Burada ön sıralarda "Kaspersky Lab" dir.
- Şifrəli bir fayl və nümunə də göndərə bilərsiniz [email protected], eyni faylın şifrələnməmiş şəklində bir nüsxəsi varsa, onu da göndərin. Teorik olaraq, bu dekoderin görünüşünü sürətləndirə bilər.
Nə etməli:
- Şifrelenmiş faylları yeniden adlandırın, uzantıyı dəyişdirin və onlar sizin üçün vacibdirsə silin.
Bu, ehtimal ki, bu nöqtədə .xtbl uzantısı ilə şifrələnmiş fayllar barədə demək olar.
Fayllar daha yaxşı_call_saul şifrelenir
Ən son şifreleme virusu, Şifrelenmiş fayllar üçün .better_call_saul uzantısını təyin edən Better Call Saul (Trojan-Ransom.Win32.Shade) edir. Bu cür faylları şifrələmək hələ aydın deyil. Kasperski Lab və Dr.Web ilə əlaqə quran bu istifadəçilər bu məlumatı hazırda yerinə yetirə bilmədikləri barədə məlumat aldılar (amma yenə də göndərməyə çalışınlar - geliştiricilərdən şifrəli faylların daha çox nümunəsi = bir yol tapma ehtimalı daha çoxdur).
Şifresini həll etmək üçün bir yol tapdığınız (yəni, bir yerə yerləşdirildikdə, amma təqib etmədim) çıxdıqda, şərhlərdə olan məlumatları bölüşdürün.
Trojan-Ransom.Win32.Aura və Trojan-Ransom.Win32.Rakhni
Faylları şifreleyen və bu siyahıdan uzantıları quraşdıran aşağıdakı troyan:
- kilidləndi
- .crypto
- .kraken
- AES256 (mütləq bu trojan deyil, digərlər eyni genişləndirməni quraşdırır).
- .codercsu @ gmail_com
- ENC
- .oshit
- Və başqaları.
Bu virusları işlədikdən sonra faylları şifrələmək üçün, Kaspersky veb-saytının rəsmi səhifəsində mövcud olan RakhniDecryptor-un pulsuz proqramı var //support.kaspersky.com/viruses/disinfection/10556.
Şifrəli faylları necə bərpa edəcəyini göstərən bu proqramı necə istifadə etmək haqqında ətraflı təlimat da var, amma yalnız "Şifrəli şifrələmədən sonra şifrəli faylları silin" maddəsini (hər şey quraşdırılmış variantla yaxşı olardı) düşünürəm.
Dr.Web antivirus lisenziyanız varsa, //support.drweb.com/new/free_unlocker/ səhifəsində bu şirkətin pulsuz şifrələməsini istifadə edə bilərsiniz.
Şifreleme virusunun daha çox variantları
Daha nadir hallarda, lakin aşağıdakı troyanlar var, şifrələmə faylları və şifrələmə üçün pul tələb edirlər. Sağlanan bağlantılar yalnız fayllarınızı qaytarmaq üçün deyil, həm də bu virusun olduğunu müəyyənləşdirməyə kömək edəcək əlamətlərin təsviri. Ümumiyyətlə, ən yaxşı şəkildə: Kaspersky Anti-Virus köməyi ilə sistemi tarayın, bu şirkətin təsnifatına əsasən Trojan adını tapın və daha sonra həmin adla fayda axtarın.
- Trojan-Ransom.Win32.Rector burada mövcud parol çözme və istifadə üçün pulsuz RectorDecryptor proqramdır: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist şifrələmə təlimatları üçün ödənişli bir SMS və ya elektron poçt vasitəsilə əlaqə göndərməyi xahiş edən bir pəncərəni göstərən bənzər bir Trojan. Bunun üçün şifrelenmiş faylları və XoristDecryptor proqramının bərpası üzrə təlimatlar //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 kommunal
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 və eyni adı olan Dr.Web antivirus və ya Cure Utility vasitəsi ilə axtarışda olanlar və müxtəlif nömrələr - Trojan adı ilə İnternetdə axtarış aparırlar. Bəziləri üçün Dr.Web şifrələmə kommunalları da var, fayda tapa bilmədiyiniz təqdirdə, ancaq bir Dr.Web lisenziyası var, //support.drweb.com/new/free_unlocker/ səhifəsindən istifadə edə bilərsiniz.
- CryptoLocker - CryptoLocker işlədildikdən sonra faylları şifrələmək üçün, //decryptcryptolocker.com saytını istifadə edə bilərsiniz - nümunə fayl göndərdikdən sonra faylları bərpa etmək üçün bir əsas və yardım alacaqsınız.
- Saytda//bitbucket.org/jadacyrus/ransomwareremovalkit/mövcud yükləmələr Ransomware Removal Kiti - müxtəlif növ kriptoqrafiya və parol çözme kommunalları haqqında məlumatları olan böyük bir arxiv (ingilis dilində)
Ən son xəbərlərdən - Kasperski Laboratoriyası, Hollandiya hüquq-mühafizə orqanlarının əməkdaşları ilə birgə CoinVault-dan sonra faylları şifrələmək üçün Ransomware Decryptor (//noransom.kaspersky.com) hazırlamışdır, lakin bu istismarçı hələlik bizim genişliklərimizdə hələ də tapılmamışdır.
Anti-virus şifreleyiciler və ya fidyə proqramları
Ransomware'in yayılması ilə anti-virus və anti-malware vasitələrinin bir çoxu istehsalçıları kompüterdə şifrelemeyi qarşısını almaq üçün öz həlllərini buraxmağa başladılar:- Malwarebytes Anti-xilasetmə proqramı
- BitDefender Anti-Ransomware
- WinAntiRansom
Ancaq bu proqramlar şifresi çözmek üçün nəzərdə tutulmayıb, yalnız mühüm faylların şifrilməsini kompüterinizdə qarşısını almaq üçündür. Ümumiyyətlə, mənə bu funksiyaların antivirus məhsullarında tətbiq edilməsi lazımdır, əks halda qəribə vəziyyət əldə edilir: istifadəçi AdWare və Malware ilə mübarizə aparmaq üçün kompüterdə antivirus saxlamalı və indi də Anti-fransız proqramı ilə yanaşı Anti- istismar.
Yeri gəlmişkən, birdən-birə əlavə etmək üçün bir şeyiniz olduğundan çıxarsa (çünki şifrələmə metodları ilə nə baş verdiyini izləmək üçün vaxtım olmayacaq) şərhdə bildirsəniz, bu məlumat bir problemlə qarşılaşan digər istifadəçilər üçün faydalı olacaqdır.