Het virus versleutelt bestanden en hernoemd. Hoe om bestanden te decoderen gecodeerde virus

Recentelijk is er een toename van het werk van de nieuwe generatie van kwaadaardige computerprogramma's is geweest. Ze is verschenen voor een lange tijd (6-8 jaar geleden), maar het tempo van de uitvoering ervan piekte nu. Het wordt in toenemende mate geconfronteerd met het feit dat het virus bestand is gecodeerd.

We weten al dat dit niet alleen een primitieve kwaadaardige software, bijvoorbeeld het blokkeren van de computer (waardoor blauw scherm), en ernstige programma's gericht op schade, in de regel, de boekhoudkundige gegevens. Ze versleutelen alle bestanden die zijn binnen handbereik, waaronder gegevens 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Speciale gevaren beschouwd virussen

Het ligt in het feit dat dit voor RSA-sleutel, die is verbonden met de computer van een bepaalde gebruiker, dientengevolge is de universele decodeerinrichting (decoder) ontbreekt. Virussen die in een van de computers actief zijn, kan niet werken in een andere.

Het gevaar is ook in het feit dat meer dan een jaar op het internet geplaatst klaar programma-bouwers (Builder), het mogelijk maakt om een dergelijk virus, zelfs kulhatskeram (individuen die zichzelf als hackers, maar niet om te leren programmeren) te ontwikkelen.

Momenteel zijn er meer krachtige modificatie.

Malware-database implementatiemethode

Nieuwsbrief virus doelbewust geproduceerd, in de regel, de boekhouding van het bedrijf. In de eerste plaats verzamelt e-mails personeelsafdelingen, rekeningen afdelingen van dergelijke databases, bijvoorbeeld hh.ru. Vervolgens wordt het versturen van brieven. Ze bevatten vaak een verzoek met betrekking tot de vaststelling van een bepaalde positie. Een dergelijke brief bijgevoegd bestand met een samenvatting, waarin het eigenlijke document met een geïmplanteerde OLE-object (pdf-bestand met een virus).

In situaties waarin de boekhouding personeel onmiddellijk het document gelanceerd, na een herstart gebeurt het volgende: een virus en omgedoopt tot het versleutelde bestand en zelfvernietiging.

Dit soort brief is meestal voldoende geschreven en verstuurd naar box nespamerskogo (naam overeenkomt met de handtekening). Vacature wordt altijd gevraagd op basis van profilering activiteiten van het bedrijf, dat is de reden waarom de verdenkingen zich niet voordoen.

Geen licentie "Kaspersky" (antivirus software) of "Virus Total" (online-service check attachments op virussen) kan uw computer niet beschermen in dit geval. Af en toe, sommige antivirusprogramma's tot einde te scannen dat de bijlage is Gen: Variant.Zusy.71505.

Hoe om te voorkomen dat besmet met het virus?

Het is noodzakelijk om elk ontvangen bestand te controleren. Bijzondere aandacht wordt besteed vordovsky documenten die pdf hebben ingebed.

Varianten van de "besmette" berichten

Veel van hen. De meest voorkomende varianten van het virus versleutelt bestanden worden hieronder weergegeven. In alle gevallen is de volgende documenten komen via e-mail:

1. De melding over de start van het herzieningsproces toegepast op een specifiek bedrijf juridische stappen (de letter dient om de gegevens te controleren door te klikken op de link).
2. Brief van de SAC voor het herstel van de schuld.
3. Bericht van Sberbank voor een verhoging van de bestaande schuld.
4. Kennisgeving van de vaststelling van verkeersovertredingen.
5. Een brief van een incassobureau met de maximaal mogelijke vertraging van betaling.

Kennisgeving van bestandscodering

Het zal verschijnen na de infectie in de hoofdmap van station C. Soms alle mappen met een beschadigd soort tekst geplaatst ChTO_DELAT.txt bestanden, CONTACT.txt. Daar wordt de gebruiker op de hoogte over hoe u de bestanden die wordt gedaan door betrouwbare cryptografische algoritmes te versleutelen. En het waarschuwde het oneigenlijk gebruik van tools van derden, omdat dit schade aan de definitieve bestanden, die op zijn beurt zal leiden tot de onmogelijkheid van het achteraf decoderen kan veroorzaken.

De aankondiging wordt aanbevolen om de computer te verlaten in ongewijzigde staat. Het geeft de opslagcapaciteit van een sleutel (over het algemeen is 2 dagen). Gespeld de exacte datum, waarna elke vorm van behandeling zal worden genegeerd.

Aan het eind van het opgegeven e-mail. Het bepaalt ook dat de gebruiker uw ID moet invoeren en dat een van de volgende acties kunnen resulteren in de eliminatie van de belangrijkste, te weten:

• beledigingen;
• de details van het verzoek zonder verdere betaling;
• bedreiging.

Hoe om bestanden gecodeerd virus te decoderen?

Deze vorm van encryptie is zeer krachtig: het bestand is toegewezen aan een uitbreiding zo perfect, nochance etc. Crack is simpelweg onmogelijk, maar je kunt proberen om een cryptanalyst sluiten en op zoek naar een maas in de wet (in sommige situaties te helpen Dr. WEB) ..

Er is 1 manier om versleutelde bestanden virus te herstellen, maar het is niet geschikt voor alle virussen, moeten ook de oorspronkelijke exe verwijderen met deze schadelijke programma's, wat genoeg is het moeilijk om na zelfvernietiging te implementeren.

Gelieve betrekking tot de insleep van het virus van een speciale code - een kleine controle, omdat het bestand op dit moment al een decoder (code van, bij wijze van spreken, de aanvaller hoeft niet). De essentie van deze methode - inschrijving in het virus doorgedrongen (in plaats van de vergelijking inputcode zelf) leeg teams. Het resultaat - een kwaadaardig programma zelf draait de decryptie van bestanden en herstelt zo ze volledig.

In elk virus heeft zijn eigen speciale encryptie-functie, en daarom is een third-party executables (bestandsformaat exe) niet zal decoderen, of je kunt proberen om de bovenstaande functie, die alle handelingen uitgevoerd op WinAPI vereist kiezen.

Het virus versleutelt bestanden: wat te doen?

Om uit de decryptie procedure vereist is aangebracht:

1. Maak back-ups (back-ups van bestaande bestanden). Aan het einde van het decoderen van alles wat het verwijdert zich.
2. Op de computer (het slachtoffer), moet u dit kwaadaardige programma uitvoert, wacht dan, bevat een eis met betrekking tot de introductie van de code wanneer het venster wordt weergegeven.
3. Vervolgens moet je om te beginnen uit de bijgevoegde archiefbestand Patcher.exe.
4. De volgende stap is een aantal virussen proces voeren, dan is het nodig om op "Enter-".
5. Zal «gepatcht» bericht, wat betekent dat het wrijven vergelijking instructies.
6. Dit wordt gevolgd door de introductie van de code in typt een van de personages, en klik vervolgens op "OK".
7. Het virus begint het proces van het ontsleutelen van het bestand, waarna hij zichzelf overbodig maakt.

Hoe kan ik verlies van gegevens inachtneming van malware te voorkomen?

Het is de moeite waard om te weten dat in een situatie waarin het virus versleutelt bestanden voor het proces van decryptie de tijd nemen. Het belangrijkste punt in het voordeel is dat de bovengenoemde malware is er een bug die het mogelijk maakt om een aantal bestanden op te slaan, als de computer (trek de stekker uit het stopcontact, schakel de snel los te koppelen stekkerdoos, verwijder de batterij in geval van een laptop), zodra een groot aantal van de eerder opgegeven extensiebestanden .

Eens te meer moet worden benadrukt dat het belangrijkste - is om een back-up voortdurend te maken, maar niet in een andere map, niet op verwijderbare media die in de computer is geplaatst, omdat de wijziging van het virus en zullen deze plaatsen te bereiken. Het is de moeite waard om back-ups op een andere computer, een harde schijf, die niet permanent is aangesloten op de computer te houden, en in de cloud.

Moeten worden behandeld met argwaan naar alle documenten die komen in de e-mail van onbekende mensen (in beknopte vorm, factuur, Resolutie van de SAC of de fiscale en anderen.). Zij mogen niet worden uitgevoerd op uw computer (voor dit doel de netbook, geen belangrijke data bevatten, kunnen worden geïdentificeerd).

*.paycrypt@gmail.com kwaadaardig programma: Remedies

.. In een situatie waarin de bovengenoemde gecodeerde virus cbf-bestanden, doc, jpg, enz., Zijn er slechts drie scenario's:

1. De makkelijkste manier om zich te ontdoen van het - verwijder alle geïnfecteerde bestanden (het is acceptabel, als de gegevens is niet erg belangrijk).
2. Bekijk lab antivirus programma, bijvoorbeeld, Dr. WEB. E-mail ontwikkelaars een aantal geïnfecteerde bestanden met de noodzakelijke sleutel tot decoderen, gelegen op de computer als KEY.PRIVATE.
3. De duurste manier. Hij gaat uit van de betaling van het gevraagde bedrag voor de hackers decoderen van geïnfecteerde bestanden. Kenmerkend is dat de kosten van deze dienst is tussen 200 - 500 dollar .. Dit is in een situatie waarin het virus versleutelt bestanden van een groot bedrijf, waarin een aanzienlijke stroom van informatie vindt plaats op een dagelijkse basis aanvaardbaar, en deze schadelijke programma kan in enkele seconden veroorzaken enorme schade. In verband met deze betaling - de snelste versie van het herstel van de geïnfecteerde bestanden.

Soms is het effectief en een extra optie. In het geval dat het virus versleutelt bestanden (paycrypt @ gmail_com of andere kwaadaardige software) kan helpen bij het systeem rolt weer een paar dagen geleden.

Programma om RectorDecryptor decoderen

Als het virus versleutelt bestanden jpg, doc, CBF en ga zo maar door. N., kan helpen een speciaal programma. Hiervoor moeten we eerst naar het opstarten en uitschakelen van alle, maar de antivirus. Vervolgens moet je de computer opnieuw opstarten. Bekijk alle bestanden, markeert verdachte. In het veld onder de naam "Team", aldus de locatie van een bepaald bestand (moeten aandacht besteden aan toepassingen die niet een handtekening hebben: de fabrikant - geen gegevens).

Alle verdachte bestanden worden verwijderd, dan is de noodzaak om de caches te reinigen browsers tijdelijke map (CCleaner programma is geschikt voor dit doel).

Om de decryptie te starten, moet u de bovenstaande programma te downloaden. Vervolgens voer het uit en klik op "Start Scan", met vermelding van gewijzigde bestanden en hun extensie. In de moderne versies van het programma kan alleen zichzelf opgeven het geïnfecteerde bestand en klik op "Open". Daarna worden de bestanden worden gedecodeerd.

Vervolgens heeft de hulpprogramma scant automatisch alle computergegevens, met inbegrip van bestanden die zijn opgeslagen op het aangesloten netwerk drive, en decodeert hen. Dit herstelproces kan enkele uren duren (afhankelijk van de werklast en de snelheid van de computer).

Als gevolg daarvan worden alle beschadigde bestanden worden gedecodeerd in dezelfde map waar ze oorspronkelijk waren geïnstalleerd. Aan het eind zal het alleen moeten alle bestaande bestanden te verwijderen met verdachte uitbreiding, die kunt u naar beneden een vinkje in de query "versleutelde bestanden na een succesvolle decodering wissen" gezet door het indrukken van een pre-button "Scaninstellingen wijzigen". Het is echter beter niet te zetten, zoals in het geval van een mislukte decryptie van bestanden die ze zich kunnen terugtrekken, en dan moeten ze eerst herstellen.

Dus, als het virus versleutelt bestanden doc, cbf, jpg t. E., moet niet haasten om de betaling code. Misschien heeft hij niet nodig.

Nuances verwijdering van gecodeerde bestanden

Wanneer je probeert om alle beschadigde bestanden met behulp van een standaard zoekmachine en de daarop volgende verwijdering kan beginnen opknoping en het vertragen van uw computer te verwijderen. Daarom is voor deze procedure moet u een speciale gebruiken command line. Na de lancering is het noodzakelijk om het volgende in te voeren: del «: \ *. » / f / s.

Zorg ervoor dat u wilt verwijderen van deze bestanden als "Read-menya.txt", die in dezelfde command line moet worden vermeld: del ": \ * » / f / s..

Zo kan worden opgemerkt dat als het virus de naam en het versleutelen van bestanden veranderd, moet je niet alleen geld te besteden aan de aankoop van cybercriminelen sleutel eerst nodig om te proberen om het probleem op hun eigen begrijpen. Het is beter om te investeren in de aankoop van een speciaal programma om de beschadigde bestanden te decoderen.

Ten slotte zij eraan herinnerd dat in dit artikel wordt de vraag over hoe om bestanden te decoderen gecodeerde virus.