Интернет безопасность по-русски
  • twitter
  • flickr
  • facebook
  • vimeo
  • Главная
  • Новости
  • Удаление вирусов
  • Спам
  • Написать нам

Удаление наиболее распространенных шифровальщиков и восстановление файлов

 

Последний месяц был довольно-таки продуктивным для кибер вымогателей, появился целый ряд новых “решений” созданных для шифрования данных пользователей с последующим требованием выкупа. Большинство из них заточено под западный и азиатский рынки (более платежеспособные жертвы) но и на рынке СНГ антивирусные лаборатории отслеживают рост количества атак и инфицированных ПК з зашифрованными данными. 

Далее мы расскажем о наиболее распространенных версиях шифровальщиков и возможных методах расшифровки Ваших данных (хотя-бы частично). Напоминаем, что ОПЛАТА ЗЛОУМЫШЛЕННИКАМ НЕ ГАРАНТИРУЕТ ТОГО ЧТО ОНИ ВЫШЛЮТ ВАМ КЛЮЧ РАСШИФРОВКИ. Мы фиксируем десятки случаев когда после оплаты “хакеры” просто переставали выходить на связь.

Явная причина того что Ваш ПК подвергся атаке шифровальщика

Явная причина того что Ваш ПК подвергся атаке шифровальщика

Мы отобрали наиболее распространенные шифровальщики в ноябре 2016 года. Часть из них – разные модификации более ранних зловредов.

  • Trojan.encoder.567 – шифрует базы данных 1С. Инфицирует ПК через электронную почту. Меняет расширения файлов на рандомные (.qqr. .xbz. .fgh..). Для связи с злоумышленниками e-mail: vpupkin3@aol.com.
  • Trojan.Encoder.94 – Меняет расширения файлов на рандомные. Для связи с злоумышленниками почта filezx@ya.ru
  • Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae (encryptss77@gmail.com, e0cryptss77@gmail.com, e0cr2 ptss77@gmail.com, 30cr0ptss77@gmail.com, 30cr1ptss77 @gma4l.com и.т.д.) Кроме шифрования файлов иногда помещает их в запароленный архив.
  • Шифровальщик Cryakl (email-ananda.parabramha@india.com.ver-CL 1.2.0.0) – меняет расширения зашифрованных файлов на .cbf. Для связи используется почта ananda.parabramha@india.com.
  • TR/Ransom.Xorist.EJ и Trojan-Ransom.Win32.Xorist.ln – шифруют базы 1С и некоторые другие типы баз данных.
  • HEUR:Trojan.Win32.Generic разных версий – связь с злоумышленниками через почту erfile@ya.ru, errorfi@ya.ru либо errorfiles@ya.ru. Меняет расширения файлов на .errorfi, .erfile или .errorfiles. Шифрует больше 40 типов файлов, в том числе базы данных и архивы.
  • HEUR:Trojan.Script.Agent.gen  или .kukaracha так как переименовывает расширения файлов таким странным именем. unlock92@india.com  для связи с “хакерами”.
  • Trojan.Win32.Dimnie.gh – более известный как Neitrino (меняет расширения файлов на .neitrino). Связь через почту mr.anders@protonmail.com
  • FRAMOZES@YANDEX.RU – один из клонов ранее известных шифровальщиков, который использует стойкий к расшифровке алгоритм RSA-2048
  • .dosfile (dosfile.exe) – связь с злоумышленниками через почту dosfile@ya.ru. Очень распространенный шифровальщик, который не поддается расшифровке. В считанные минуты шифрует документы и xls таблицы.
  • Trojan.Encoder.6674 (ISHTAR) – еще один из вариантов. Менее распространен в СНГ.
  • Cripton – (для связи с злоумышленниками CRIPTON@protonmail.com, Criolo2016@yandex.ru). Меняет расширения файлов на .cpt
  • .filezx – вариант шифровальщика, который распространен в Белоруссии.
  • meldonii@india.com, semenov34@india.com – шифрует базы 1С и некоторые другие типы файлов
  • Novikov.Vavila@gmail.com – один из вариантов зловреда, распространяемых через вложения в электронной почте.
  • .matrix – мало распространенный шифровальщик.
  • Cripttt – старый, переживший несколько модификаций шифровальщик. Шифрует в основном фото и видео файлы, а также документы. Расширение у файлов .Cripttt.

Это далеко не все шифровальщики, которые появились в ноябре 2016. Мы выбрали наиболее распространенные. Следует отметить что злоумышленники постоянно придумывают новые тактики и методы заражения. Например маскируют исполняемый файл вируса под судебный иск или уведомление из налоговой. И маскируют довольно таки умело, судя по количеству инфицированных ПК.

Один из вариантов e-mail c шифровальщиком

Один из вариантов e-mail c шифровальщиком

Кроме того злоумышленники часто прибегают к откровенному шантажу, заставляя пользователей платить на протяжении 24-48 часов (иногда даже 8 часов!).

Вариант угрозы о невозможности расшифровки файлов в случае науплаты

Вариант угрозы о невозможности расшифровки файлов в случае не уплаты

Варианты сообщений от наиболее распространенных шифровальщиков:

 

Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com
В ТЕМЕ письма укажите ваш ID: 9309624421
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 18.11.2016
Заявки обрабатываются автоматической системой.

Baшu фaйлы были зaшифрованы.
Чmoбы раcшифpoваmь ux, Bам необхoдuмо оmnpaвить код:
1597D5599D6549465E7F|0
на электрoнный aдpеc Novikov.Vavila@gmail.com .
Дaлeе вы noлучuтe вcе необхoдимыe uнстрykциu.
Попытku раcшuфpoвать сaмoсmоятельнo не nривeдуm ни k чeмy, кpомe бeзвозвраmнoй потеpи uнфoрмацuи.
Еcлu вы вcё же xоmиme пonытатьcя, mо предвaрumeльнo сделайтe резepвные kопuи фaйлов, инaчe в случae
иx uзмeнения pаcшифрoвkа cтанет невoзмoжной ни прu kakux yсловuях.
Если вы не noлyчuли omвeтa пo вышеуkaзaнному адpeсy в mеченuе 48 чacов (и только в эmом слyчаe!),
восnользуйтесь фоpмoй обpamнoй cвязu. Этo мoжно cделaть двyмя cnoсобамu:
1) Скaчайmе и ycmановиme Tor Browser no ccылke: https://www.torproject.org/download/…d-easy.html.en
В адрeснoй стpокe Tor Browser-а ввeдuте адpec:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. 3aгpyзumcя cmрaнuца c фoрмой обpатнoй связи.
2) В любoм браузерe пeрейдume пo oднoму из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
================================================== ================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
================================================== ==========================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА – ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
================================================== ==================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
================================================== ==================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!

Удалить вирус-шифровальщик с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

  1. Загрузить программу для удаления шифровальщика . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления вируса-кодера
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с разными расширениями

Как было отмечено, программа-вымогатель блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.Data Recovery Pro

Загрузить программу-дешифратор восстановления данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.previous-versions
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).Shadow Explorer

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.

Загрузить программу для удаления вируса-шифровальщика

Похожее

Leave a Reply Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Искать на сайте

Мы в Твиттере

Follow @it_bezopasnost

Свежие записи

  • Как удалить вирус Temposearch в Chrome, Firefox, IE, Safari
  • Как удалить Win Tonic вирус в Windows
  • Удаление decrypthelp@qq.com и восстановление зашифрованных файлов .java
  • Шифровальщик hola@all-ransomware.info (расширение .fairytail и другие)
  • Удаление браузерного вируса Newtab.today

Мы Вконтакте

Мы в Фейсбуке

Интернет Безопасность

Мы в Однокласниках

back up
© Copyright 2023 Интернет безопасность по-русски
 

Загружаются Комментарии...