Windows

Ihre Dateien wurden verschlüsselt - was zu tun ist?

Ihre Dateien wurden verschlüsselt - was zu tun ist?

Eines der heutigen problematischsten schädlichen Programme sind Trojaner oder Virenverschlüsseln auf der Benutzerdiskette. Einige dieser Dateien können entschlüsselt werden, andere sind noch nicht. Das Handbuch bietet mögliche Algorithmen von Aktionen in beiden Situationen, Möglichkeiten zur Bestimmung der spezifischen Verschlüsselungsart für keine mehr Ransom- und ID -Ransomware -Dienste sowie einen kurzen Überblick über Programme zum Schutz vor ausgefeilten Viren (Ransomware).

Es gibt verschiedene Modifikationen solcher oder dreier Dreier (und neuen) Viren oder Triangs-Carriers, aber die allgemeine Essenz der Arbeit läuft darauf hinaus Verschlüsselt mit einer Änderung der Erweiterung und Entfernen von Originaldateien, erhalten Sie eine Nachricht in der Readme -Datei.Txt, dass alle Ihre Dateien verschlüsselt wurden, und für ihre Entschlüsselung müssen Sie einen bestimmten Betrag an den Angreifer senden. HINWEIS: In Windows 10 Herbst-Ersteller-Update gab es einen integrierten Schutz gegen Siphesis-Viren.

Was tun, wenn alle wichtigen Daten verschlüsselt werden?

Für den Anfang einige allgemeine Informationen zum Verschlingen wichtiger Dateien auf ihrem Computer. Wenn wichtige Daten auf Ihrem Computer verschlüsselt wurden, sollten Sie zunächst keine Panik in Panik.

Wenn Sie eine solche Gelegenheit haben, von einer Computerscheibe, auf der ein Zauberer -Virus erschien (Ransomware), irgendwo auf einem externen Laufwerk (Flash -Laufwerk) ein Beispiel für eine Datei mit einer Textanforderung für einen Angreifer zum Dekodieren sowie eine Kopie von kopieren Eine verschlüsselte Datei und dann nach Möglichkeiten den Computer ausschalten, damit das Virus die Datenverschlüsselung nicht fortsetzen und die restlichen Aktionen auf einem anderen Computer ausführen kann.

Der nächste Schritt besteht darin Einige - es gibt noch nicht. Aber auch in diesem Fall können Sie Beispiele für verschlüsselte Dateien an Antivirenlabors senden (Kaspersky, Dr. Web) zu studieren.

Wie man es herausfindet? Sie können dies mit Google tun, indem Sie Diskussionen oder Art der Verschlüsselung finden, um die Datei zu erweitern. Die Dienste schienen auch die Art der Ransomware zu bestimmen.

Kein Lösegeld mehr

Kein Lösegeld mehr ist eine aktiv entwickelnde Ressource, die von Sicherheitsentwicklern unterstützt und in der Version auf Russisch zugänglich ist, um die Viren mit Verschlüssen zu bekämpfen (Trojaner -Robbers).

Mit Glück kann kein Lösegeld mehr dazu beitragen.

Bei No More Ransom können Sie versuchen, Ihre Dateien zu entschlüsseln und die Art des Sipper -Virus wie folgt zu bestimmen:

  1. Klicken Sie auf der Hauptseite des Dienstes https: // www auf "Ja".Nomoreansom.Org/ru/index.Html
  2. Die Seite „Crypto-Sheep“ öffnet Ein Kauf (oder laden Sie die Readme -Datei hoch.Txt mit einer Nachfrage). 
  3. Klicken Sie auf die Schaltfläche "Überprüfen" und warten Sie auf die Fertigstellung des Schecks und des Ergebnisses.

Darüber hinaus sind auf der Website nützliche Abschnitte verfügbar:

  • Dekritoren sind fast alle Versorgungsunternehmen, die zum aktuellen Zeitpunkt vorhanden sind, um verschlüsselte Viren zu entschlüsseln. 
  • Infektionsprävention - Informationen, die hauptsächlich auf Anfänger ausgerichtet sind, die dazu beitragen können, in Zukunft eine Infektion zu vermeiden.
  • Fragen und Antworten - Informationen für diejenigen, die die Arbeit von Verschlüsselungsviren und -aktionen in Fällen, in denen Sie mit der Tatsache konfrontiert sind, besser verstehen möchten, dass die Dateien auf dem Computer verschlüsselt wurden.

Heute ist kein Lösegeld mehr die relevanteste und nützlichste Ressource im Zusammenhang mit der Entschlüsselung von Dateien für einen russischsprachigen Benutzer.

ID Ransomware

Ein weiterer solcher Dienst ist https: // id -ransomware.MALWAREHUNTERTEAM.Com/(wahr, ich weiß nicht, wie gut es für russische Varianten des Virus funktioniert, aber es lohnt sich, dem Dienst ein Beispiel für eine verschlüsselte Datei und eine Textdatei zu füttern, die einen Kauf fordert).

Versuchen Sie, die Art der Verschlüsselung zu ermitteln, wenn Sie erfolgreich waren. Solche Versorgungsunternehmen werden von Antivirenentwicklern kostenlos und produziert. Zum Beispiel können mehrere solcher Versorgungsunternehmen auf der Kaspersky Https: // Support -Website zu finden sind.Kaspersky.RU/Viren/Nutzen (andere Dienstprogramme sind näher am Ende des Artikels). Und wie bereits erwähnt, zögern Sie nicht, sich an die Entwickler von Antiviren in ihren Foren oder an den Support -Service per Post zu kontaktieren.

Leider hilft dies nicht immer und verfügt nicht immer über Arbeitsdatei -Decoder. In diesem Fall sind Skripte unterschiedlich: Viele zahlen Angreifer und ermutigen sie, diese Aktivität fortzusetzen. Einige Benutzer werden von Programmen geholfen, um Daten auf dem Computer wiederherzustellen (da das Virus eine verschlüsselte Datei erstellt, delektiert eine regelmäßige wichtige Datei, die theoretisch wiederhergestellt werden kann).

Computerdateien sind in XTBL verschlüsselt

Eine der letzten Optionen für das Monitor -Virus verschlüsselt Dateien und ersetzt sie durch Dateien mit Erweiterung .XTBL und ein Name, der aus einem zufälligen Satz von Zeichen besteht.

Gleichzeitig wird eine Textdatei auf dem Computer veröffentlicht.TXT mit ungefähr dem folgenden Inhalt: "Ihre Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code an die E -Mail -Adresse deshifrator01@gmail senden.com, [email protected] oder [email protected]. Als nächstes erhalten Sie alle erforderlichen Anweisungen. Versuche, die Dateien zu entschlüsseln, führen unabhängig voneinander zu einem unwiderruflichen Informationsverlust “(die Adresse von Mail und Text kann unterschiedlich sein).

Leider eine Möglichkeit zu entschlüsseln .XTBL ist derzeit nicht (sobald es erscheint, wird die Anweisung aktualisiert). Einige Benutzer, die wirklich wichtige Informationen über den Computerbericht in Antivirenforen haben, den sie 5000 Rubel oder anderen erforderlichen Anforderungen an die Autoren des Virus gesendet haben und einen Decoder erhalten haben, aber dies ist sehr riskant: Sie können nichts bekommen.

Was tun, wenn die Dateien in verschlüsselt wurden .XTBL? Meine Empfehlungen sehen wie folgt aus (aber sie unterscheiden. Meiner Meinung nach ist dies überflüssig, und in einer Kombination von Umständen kann es sogar schädlich sein, aber Sie entscheiden.):

  1. Wenn Sie wissen, wie Sie den Verschlüsselungsprozess unterbrechen, indem Sie die entsprechenden Aufgaben in den Aufgabenspender entfernen und den Computer aus dem Internet ausschalten (dies kann eine erforderliche Bedingung für die Verschlüsselung sein)
  2. Denken Sie daran oder schreiben Sie den Code auf, den Angreifer verlangen, an die E -Mail -Adresse zu senden (nur an die Textdatei auf dem Computer, nur für den Fall, dass er auch nicht verschlüsselt ist).
  3. Verwendung von Malwarebytes Antimalware, einer Testversion von Kaspersky Internet Security oder DR.Web heilen Sie das Virus und verschlüsseln Sie Dateien (alle diese Tools sind mit diesem Brunnen fertig). Ich empfehle Ihnen, sich abwechselnd mit dem ersten und zweiten Produkt aus der Liste abzuwenden (wenn Sie jedoch ein Antivirus installiert haben, ist es unerwünscht, das zweite „von oben“ zu installieren, da dies zu Problemen im Computer führen kann.)
  4. Warten Sie auf einen Decoder von einer antiviralen Firma. An der Spitze hier Kaspersky Lab.
  5. Sie können auch ein Beispiel für eine verschlüsselte Datei und den erforderlichen Code für senden [email protected], Wenn Sie eine Kopie derselben Datei in einem unverschlüsselten Formular haben, senden Sie sie auch. Theoretisch kann dies das Erscheinungsbild des Decoders beschleunigen.

Was sollte nicht getan werden:

  • Benennen Sie verschlüsselte Dateien um, ändern Sie die Erweiterung und löschen Sie sie, wenn sie wichtig sind.

Dies ist vielleicht alles, was ich über verschlüsselte Dateien mit Erweiterung sagen kann .XTBL zu einem bestimmten Zeitpunkt.

Dateien werden verschlüsselt besser_call_saul

Der letzten Chiffre -Viren - Besser Saul (Trojaner -Ransom.Win32.Schatten), eine Erweiterung setzen .Better_call_saul für verschlüsselte Dateien. Wie man solche Dateien entschlüsselt, ist noch nicht klar. Diejenigen Benutzer, die mit dem Kaspersky Laboratory und Dr.Web erhalten Informationen, die Sie vorerst nicht tun können (aber versuchen Sie es trotzdem, sie zu senden - mehr Beispiele für verschlüsselte Dateien von Entwicklern = Häufiger die Methode finden).

Wenn sich herausstellt, dass Sie eine Entschlüsselungsmethode gefunden haben (t.e. Er wurde irgendwo ausgelegt, aber ich habe nicht den Überblick behalten), bitte teilen Sie Informationen in den Kommentaren weiter.

Trojaner-Ransom.Win32.Aura und Trojaner-Ransom.Win32.Rakhni

Der nächste Trojaner, verschlüsseln Dateien und setzen sie Erweiterungen aus dieser Liste fest:

  • .Gesperrt
  • .Krypto
  • .Krake
  • .AES256 (nicht unbedingt dieser Trojaner, es gibt andere, die dieselbe Erweiterung festlegen).
  • .Codercsu@gmail_com
  • .Enc
  • .Oshit
  • Und andere.

Um Dateien nach dem Betrieb dieser Viren zu entschlüsseln, verfügt die Website von Kaspersky über ein kostenloses Rakhnidecryptor -Dienstprogramm auf der offiziellen Seite http: // Support.Kaspersky.RU/Viren/Desinfektion/10556.

Es gibt auch detaillierte Anweisungen für die Verwendung dieses Dienstprogramms, das zeigt die SET -Option).

Wenn Sie eine Dr. Antivirus -Lizenz haben.Web Sie können die kostenlose Entschlüsselung dieses Unternehmens auf der Seite http: // Support verwenden.Drweb.Com/new/free_unlocker/

Eine weitere Option für das Sipper -Virus

Weniger häufig finden sich auch die folgenden Trojaner, Verschlüsseln von Dateien und sind auch Geld für die Dekodierung erforderlich. Nach diesen Links gibt es nicht nur Versorgungsunternehmen, Ihre Dateien zurückzugeben, sondern auch eine Beschreibung der Zeichen, die feststellen, dass Sie dieses Virus haben. Obwohl im Allgemeinen der optimale Pfad: Verwendung von Kaspersky Antivirus, scannen Sie das System, finden Sie den Namen Trojaner durch die Klassifizierung dieses Unternehmens und suchen Sie dann nach einem Dienstprogramm mit diesem Namen.

  • Trojaner-Ransom.Win32.Rektor - kostenloses Gerät für Dekodierung und Verwendung von RectordeCryptor finden Sie hier: http: // Support.Kaspersky.RU/Viren/Desinfektion/4264
  • Trojaner-Ransom.Win32.Xorist ist ein ähnlicher Trojaner, der das Fenster mit einer Anfrage zum Senden einer bezahlten SMS oder des Kontakts per E -Mail anschreibt, um Anweisungen zur Entschlüsselung zu erhalten. Anweisungen zur Wiederherstellung verschlüsselter Dateien und des Xoristdecryptor -Dienstprogramms dafür finden Sie auf der Seite http: // Support -Seite.Kaspersky.RU/Viren/Desinfektion/2911
  • Trojaner-Ransom.Win32.Rannoh, Trojaner-Ransom.Win32.Fury - Rannochdecryptor Utility http: // Support.Kaspersky.RU/Viren/Desinfektion/8547
  • Trojaner.Encoder.858 (XTBL), Trojaner.Encoder.741 und andere mit demselben Namen (bei der Suche durch Antivirus dr.Web oder heilen Sie es) und verschiedene Zahlen - Versuchen Sie, im Internet namens Troyan zu suchen. Für einige von ihnen gibt es Dshpenth -Dienstprogramme von Dr.Web, auch wenn Sie das Dienstprogramm nicht finden konnten, aber es gibt eine DR -Lizenz.Web, Sie können die offizielle Seite http: // unterstützen.Drweb.Com/new/free_unlocker/
  • Cryptolocker - Um Dateien nach der Arbeit Cryptolocker zu entschlüsseln, können Sie die Website http: // decryptcryptolocker verwenden.com - Nach dem Senden eines Beispiels einer Datei erhalten Sie einen Schlüssel und ein Dienstprogramm zur Wiederherstellung Ihrer Dateien.
  • Auf der Seite https: // bitbucket.Org/jadacyrus/ransomwarereramovalkit/Downloads Access Ransomware Entfernungskit - Ein großes Archiv mit Informationen zu verschiedenen Arten von Verschlüsselungen und Entschlüsselungsversorgungsunternehmen (in englischer Sprache)

Nun, aus den neuesten Nachrichten - Kaspersky Laboratory, entwickelte zusammen mit Strafverfolgungsbeamten aus den Niederlanden Ransomware Decryptor (http: // noransom.Kaspersky.Com) zu entschlüsseln Dateien nach Coinvault, aber in unseren Breiten ist diese Erpressung noch nicht gefunden.

Schutz gegen Verschlüsselungsviren oder Ransomware

Während sich Ransomware ausbreitet, begannen viele Antivirenhersteller und Mittel zur Bekämpfung von böswilligen Programmen ihre Lösungen, um die Arbeit von Verschlüssen auf einem Computer zu verhindern, darunter sie können unterschieden werden:
  • Malwarebytes Anti-Ransomware 
  • Bitdefender Anti-Ransomware 
  • Winantiransom
Die ersten beiden sind noch in Beta -Versionen, aber kostenlos (sie unterstützen die Definition nur ein begrenzter Satz von Viren dieses Typs - Teslacrypt, Ctblocker, Locky, Cryptolocker. Winantiransom - ein bezahltes Produkt, das verspricht, Verschlüsselung durch fast alle Ransomware -Stichproben zu verhindern, was sowohl lokale als auch Netzwerk -Discs schützt.

Aber: Diese Programme sind nicht für die Dekodierung ausgelegt, sondern nur um die Verschlüsselung wichtiger Dateien auf dem Computer zu verhindern. Wie auch immer, es scheint mir, dass diese Funktionen in Antivirenprodukten implementiert werden sollten, sonst wird eine seltsame Situation erhalten: Der Benutzer muss das Antiviren auf dem Computer halten, ein Mittel zur Bekämpfung von Adware und Malware und jetzt auch Anti-Ransomware ein Anti-Exploit.

Wenn Sie sich plötzlich herausstellen, dass Sie etwas hinzufügen haben (weil ich keine Zeit haben kann, zu überwachen, was mit den Entschlüsselungsmethoden passiert), werden diese Informationen für andere Benutzer nützlich sein, die angetroffen sind, nützlich sein das Problem.