Le moderne tecnologie consentono agli hacker di migliorare costantemente i loro metodi di frode contro gli utenti comuni. Di norma, per questi scopi viene utilizzato software antivirus che penetra nel computer. I virus di crittografia sono considerati particolarmente pericolosi. La minaccia è che il virus si diffonda molto rapidamente, crittografando i file (l'utente semplicemente non sarà in grado di aprire un singolo documento). E se è abbastanza semplice, decrittografare i dati è molto più difficile.

Cosa fare se un virus ha crittografato file sul tuo computer

Chiunque può essere attaccato dal ransomware; anche gli utenti che dispongono di un potente software antivirus non sono immuni. I trojan di crittografia dei file sono disponibili in una varietà di codici che potrebbero andare oltre le capacità di un antivirus. Gli hacker riescono ad attaccare in modo simile anche le grandi aziende che non si sono prese cura della necessaria protezione delle loro informazioni. Quindi, dopo aver scaricato un programma ransomware online, devi adottare una serie di misure.

I principali segni di infezione sono il funzionamento lento del computer e la modifica dei nomi dei documenti (visibili sul desktop).

1. Riavvia il computer per interrompere la crittografia. All'accensione, non confermare l'avvio di programmi sconosciuti.
2. Esegui il tuo antivirus se non è stato attaccato dal ransomware.
3. In alcuni casi, le copie shadow aiuteranno a ripristinare le informazioni. Per trovarli, apri le “Proprietà” del documento crittografato. Questo metodo funziona con i dati crittografati dall'estensione Vault, di cui sono disponibili informazioni sul portale.
4. Scarica l'ultima versione dell'utilità per combattere i virus ransomware. Quelli più efficaci sono offerti da Kaspersky Lab.

Virus ransomware nel 2016: esempi

Quando si combatte qualsiasi attacco di virus, è importante comprendere che il codice cambia molto spesso, integrato da una nuova protezione antivirus. Naturalmente, i programmi di sicurezza richiedono del tempo prima che lo sviluppatore aggiorni i database. Abbiamo selezionato i virus di crittografia più pericolosi degli ultimi tempi.

Ransomware Ishtar

Ishtar è un ransomware che estorce denaro all'utente. Il virus è stato notato nell'autunno del 2016, infettando un numero enorme di computer di utenti provenienti dalla Russia e da numerosi altri paesi. Distribuito via email, che contiene documenti allegati (installatori, documenti, ecc.). Ai dati infettati dal crittografo Ishtar viene assegnato il prefisso "ISHTAR" nel nome. Il processo crea un documento di prova che indica dove andare per ottenere la password. Per questo gli aggressori chiedono dai 3.000 ai 15.000 rubli.

Il pericolo del virus Ishtar è che oggi non esiste un decryptor che possa aiutare gli utenti. Le società di software antivirus hanno bisogno di tempo per decifrare tutto il codice. Ora puoi solo isolare le informazioni importanti (se di particolare importanza) su un supporto separato, in attesa del rilascio di un'utilità in grado di decrittografare i documenti. Si consiglia di reinstallare il sistema operativo.

Neitrino

Il crittografo Neitrino è apparso su Internet nel 2015. Il principio di attacco è simile a quello di altri virus di una categoria simile. Cambia i nomi di cartelle e file aggiungendo "Neitrino" o "Neutrino". Il virus è difficile da decifrare, non tutti i rappresentanti delle società antivirus lo intraprendono, citando un codice molto complesso. Alcuni utenti potrebbero trarre vantaggio dal ripristino di una copia shadow. Per fare ciò, fare clic con il tasto destro sul documento crittografato, andare su "Proprietà", scheda "Versioni precedenti", fare clic su "Ripristina". Sarebbe una buona idea utilizzare un'utilità gratuita di Kaspersky Lab.

Portafoglio o .wallet.

Il virus di crittografia Wallet è apparso alla fine del 2016. Durante il processo di infezione, cambia il nome dei dati in “Nome..portafoglio” o qualcosa di simile. Come la maggior parte dei virus ransomware, entra nel sistema tramite gli allegati nelle e-mail inviate dagli aggressori. Poiché la minaccia è apparsa di recente, i programmi antivirus non se ne accorgono. Dopo la crittografia, crea un documento in cui il truffatore indica l'e-mail per la comunicazione. Attualmente, gli sviluppatori di software antivirus stanno lavorando per decifrare il codice del virus ransomware. [e-mail protetta]. Gli utenti che sono stati attaccati possono solo aspettare. Se i dati sono importanti, si consiglia di salvarli su un'unità esterna cancellando il sistema.

Enigma

Il virus ransomware Enigma ha iniziato a infettare i computer degli utenti russi alla fine di aprile 2016. Viene utilizzato il modello di crittografia AES-RSA, che si trova oggi nella maggior parte dei virus ransomware. Il virus penetra nel computer utilizzando uno script che l'utente esegue aprendo file da un'e-mail sospetta. Non esiste ancora un mezzo universale per combattere il ransomware Enigma. Gli utenti con una licenza antivirus possono chiedere aiuto sul sito ufficiale dello sviluppatore. È stata trovata anche una piccola "scappatoia": Windows UAC. Se l'utente fa clic su "No" nella finestra che appare durante il processo di infezione del virus, potrà successivamente ripristinare le informazioni utilizzando le copie shadow.

Granito

Un nuovo virus ransomware, Granit, è apparso su Internet nell'autunno del 2016. L'infezione avviene secondo il seguente scenario: l'utente avvia il programma di installazione, che infetta e crittografa tutti i dati sul PC e le unità collegate. Combattere il virus è difficile. Per rimuoverlo è possibile utilizzare utilità speciali di Kaspersky, ma non siamo ancora riusciti a decifrare il codice. Forse sarà utile ripristinare le versioni precedenti dei dati. Inoltre, uno specialista con una vasta esperienza può decrittografare, ma il servizio è costoso.

Tyson

È stato avvistato di recente. Si tratta di un'estensione del già noto ransomware no_more_ransom, di cui potete trovare informazioni sul nostro sito web. Raggiunge i personal computer dalla posta elettronica. Molti PC aziendali sono stati attaccati. Il virus crea un documento di testo con le istruzioni per lo sblocco, offrendo di pagare un “riscatto”. Il ransomware Tyson è apparso di recente, quindi non esiste ancora una chiave di sblocco. L'unico modo per ripristinare le informazioni è restituire le versioni precedenti se non sono state eliminate da un virus. Naturalmente puoi correre il rischio di trasferire denaro sul conto indicato dagli aggressori, ma non vi è alcuna garanzia che riceverai la password.

Spora

All’inizio del 2017 diversi utenti sono rimasti vittime del nuovo ransomware Spora. In termini di principio di funzionamento non è molto diverso dai suoi omologhi, ma vanta un design più professionale: le istruzioni per ottenere la password sono scritte meglio e il sito web appare più bello. Il virus ransomware Spora è stato creato in linguaggio C e utilizza una combinazione di RSA e AES per crittografare i dati della vittima. Di norma, venivano attaccati i computer su cui veniva utilizzato attivamente il programma di contabilità 1C. Il virus, nascosto sotto le spoglie di una semplice fattura in formato .pdf, costringe i dipendenti dell'azienda a lanciarlo. Nessun trattamento è stato ancora trovato.

1C.Drop.1

Questo virus di crittografia 1C è apparso nell'estate del 2016, interrompendo il lavoro di molti dipartimenti contabili. È stato sviluppato appositamente per i computer che utilizzano il software 1C. Una volta sul PC tramite un file in una email, viene richiesto al proprietario di aggiornare il programma. Qualunque sia il pulsante premuto dall'utente, il virus inizierà a crittografare i file. Gli specialisti Dr.Web stanno lavorando agli strumenti di decrittazione, ma non è stata ancora trovata alcuna soluzione. Ciò è dovuto al codice complesso, che può subire diverse modifiche. L'unica protezione contro 1C.Drop.1 è la vigilanza dell'utente e l'archiviazione regolare di documenti importanti.

da_vinci_code

Un nuovo ransomware dal nome insolito. Il virus è apparso nella primavera del 2016. Si differenzia dai suoi predecessori per il codice migliorato e la modalità di crittografia avanzata. da_vinci_code infetta il computer grazie a un'applicazione di esecuzione (solitamente allegata a un'e-mail), che l'utente avvia autonomamente. Lo strumento di crittografia da Vinci copia il corpo nella directory di sistema e nel registro, garantendo l'avvio automatico all'accensione di Windows. Al computer di ciascuna vittima viene assegnato un ID univoco (aiuta a ottenere una password). È quasi impossibile decrittografare i dati. Puoi pagare gli aggressori, ma nessuno garantisce che riceverai la password.

[e-mail protetta] / [e-mail protetta]

Due indirizzi e-mail che nel 2016 sono stati spesso accompagnati da virus ransomware. Servono per collegare la vittima con l'aggressore. In allegato c'erano gli indirizzi di diversi tipi di virus: da_vinci_code, no_more_ransom e così via. Si consiglia vivamente di non contattare o trasferire denaro ai truffatori. Nella maggior parte dei casi gli utenti rimangono senza password. Ciò dimostra che il ransomware degli aggressori funziona, generando entrate.

Breaking Bad

È apparso all'inizio del 2015, ma si è diffuso attivamente solo un anno dopo. Il principio dell'infezione è identico a quello degli altri ransomware: installazione di un file da un'e-mail, crittografia dei dati. I programmi antivirus convenzionali, di regola, non notano il virus Breaking Bad. Alcuni codici non possono ignorare l'UAC di Windows, lasciando all'utente la possibilità di ripristinare le versioni precedenti dei documenti. Nessuna azienda che sviluppa software antivirus ha ancora presentato un decryptor.

XTBL

Un ransomware molto comune che ha causato problemi a molti utenti. Una volta sul PC, il virus modifica l'estensione del file in .xtbl nel giro di pochi minuti. Viene creato un documento in cui l'aggressore estorce denaro. Alcune varianti del virus XTBL non possono distruggere i file per il ripristino del sistema, il che consente di recuperare documenti importanti. Il virus stesso può essere rimosso da molti programmi, ma decrittografare i documenti è molto difficile. Se sei il proprietario di un antivirus con licenza, utilizza il supporto tecnico allegando campioni di dati infetti.

Kukaracha

Il ransomware Cucaracha è stato scoperto nel dicembre 2016. Il virus dal nome interessante nasconde i file degli utenti utilizzando l'algoritmo RSA-2048, che è altamente resistente. L'antivirus Kaspersky lo ha etichettato come Trojan-Ransom.Win32.Scatter.lb. Kukaracha può essere rimosso dal computer in modo che altri documenti non vengano infettati. Tuttavia, quelli infetti sono attualmente quasi impossibili da decrittografare (un algoritmo molto potente).

Come funziona un virus ransomware?

Esistono numerosi ransomware, ma funzionano tutti secondo un principio simile.

1. Accesso a un personal computer. In genere, grazie a un file allegato a un'e-mail. L'installazione viene avviata dall'utente stesso aprendo il documento.
2. Infezione dei file. Quasi tutti i tipi di file vengono crittografati (a seconda del virus). Viene creato un documento di testo che contiene i contatti per comunicare con gli aggressori.
3. Tutto. L'utente non può accedere ad alcun documento.

Agenti di controllo provenienti da laboratori popolari

L’uso diffuso del ransomware, riconosciuto come la minaccia più pericolosa per i dati degli utenti, è diventato uno stimolo per molti laboratori antivirus. Ogni azienda famosa fornisce ai propri utenti programmi che li aiutano a combattere il ransomware. Inoltre, molti di essi aiutano con la decrittografia dei documenti e la protezione del sistema.

Virus Kaspersky e ransomware

Uno dei laboratori antivirus più famosi in Russia e nel mondo offre oggi gli strumenti più efficaci per combattere i virus ransomware. La prima barriera al virus ransomware sarà Kaspersky Endpoint Security 10 con gli ultimi aggiornamenti. L'antivirus semplicemente non consentirà alla minaccia di entrare nel tuo computer (anche se potrebbe non bloccare le nuove versioni). Per decrittografare le informazioni, lo sviluppatore presenta diverse utilità gratuite: XoristDecryptor, RakhniDecryptor e Ransomware Decryptor. Aiutano a trovare il virus e a selezionare la password.

Dott. Web e ransomware

Questo laboratorio consiglia di utilizzare il proprio programma antivirus, la cui caratteristica principale è il backup dei file. L'archiviazione con copie di documenti è inoltre protetta da accessi non autorizzati da parte di intrusi. I proprietari del prodotto concesso in licenza Dr. È disponibile la funzione Web per richiedere assistenza al supporto tecnico. È vero, anche gli specialisti esperti non possono sempre resistere a questo tipo di minaccia.

ESET Nod 32 e ransomware

Anche questa azienda non si è fatta da parte, fornendo ai propri utenti una buona protezione contro i virus che entrano nel loro computer. Inoltre, il laboratorio ha recentemente rilasciato un'utilità gratuita con database aggiornati: Eset Crysis Decryptor. Gli sviluppatori affermano che aiuterà nella lotta anche contro i ransomware più recenti.

Continuo la famigerata sezione del mio sito con un'altra storia di cui io stesso sono stato vittima. Parlerò del virus ransomware Crusis (Dharma), che crittografava tutti i file su un'unità di rete e dava loro l'estensione .combo. Ha lavorato non solo su file locali, come spesso accade, ma anche su file di rete.

Decrittazione garantita dei file dopo un virus ransomware - dr-shifro.ru. I dettagli del lavoro e lo schema di interazione con il cliente sono riportati di seguito nel mio articolo o sul sito web nella sezione “Procedura di lavoro”.

introduzione

La storia sarà in prima persona, poiché i dati e l'infrastruttura da me gestita sono stati colpiti dal crittografo. Per quanto sia triste ammetterlo, sono in parte responsabile di quanto accaduto, anche se conosco i crittografi da molto tempo. A mia discolpa dirò che nessun dato è andato perso, tutto è stato ripristinato rapidamente e indagato senza indugio. Ma prima le cose principali.

La noiosa mattinata è iniziata con il fatto che alle 9:15 l'amministratore di sistema ha chiamato da un sito remoto e ha detto che c'era un crittografatore sulla rete, i dati sulle unità di rete erano già stati crittografati. Un brivido mi percorse la pelle :) Ha iniziato a controllare da solo la fonte dell'infezione e io ho iniziato a controllare con il mio. Naturalmente sono andato immediatamente al server, ho disconnesso le unità di rete e ho iniziato a consultare il registro di accesso ai dati. Le unità di rete sono configurate per, devono essere abilitate. Dal registro, ho immediatamente visto l'origine dell'infezione, l'account sotto il quale era in esecuzione il ransomware e l'ora di inizio della crittografia.

Descrizione del virus ransomware Crusis (Dharma).

Poi sono iniziate le indagini. I file crittografati hanno ricevuto l'estensione .combinato. Ce n'erano molti. Il crittografo iniziò a lavorare la sera tardi, verso le 23:00. Siamo stati fortunati: a questo punto il backup dei dischi interessati era appena stato completato. I dati non sono andati affatto persi, poiché è stato effettuato il backup alla fine della giornata lavorativa. Ho iniziato immediatamente il ripristino dal backup, che si trova su un server separato senza accesso SMB.

Durante la notte il virus è riuscito a crittografare circa 400 GB di dati sulle unità di rete. La banale cancellazione di tutti i file crittografati con l'estensione combinata ha richiesto molto tempo. All'inizio volevo cancellarli tutti in una volta, ma quando il solo conteggio di questi file durava 15 minuti, mi sono reso conto che a quel punto era inutile. Invece, ho iniziato a scaricare i dati più recenti e in seguito ho ripulito i dischi dai file crittografati.

Ti dirò subito la semplice verità. Avere backup aggiornati e affidabili rende risolvibile qualsiasi problema. Non riesco nemmeno a immaginare cosa fare se non ci sono o non sono rilevanti. Presto particolare attenzione ai backup. Mi prendo cura di loro, li apprezzo e non permetto a nessuno di accedervi.

Dopo aver avviato il ripristino dei file crittografati, ho avuto il tempo di comprendere con calma la situazione e dare un'occhiata più da vicino al virus di crittografia Crusis (Dharma). Qui mi aspettavano sorprese e sorprese. La fonte dell'infezione era una macchina virtuale con Windows 7 con abbandonato rdp porta tramite un canale di backup. La porta non era standard: 33333. Penso che sia stato l'errore principale utilizzare una porta del genere. Sebbene non sia standard, è molto popolare. Certo, è meglio non inoltrare affatto rdp, ma in questo caso era davvero necessario. A proposito, ora al posto di questa macchina virtuale viene utilizzata anche una macchina virtuale con CentOS 7, che esegue un container con xfce e un browser in Docker. Ebbene, questa macchina virtuale non ha accesso da nessuna parte, solo dove è necessaria.

Cosa c'è di spaventoso in tutta questa storia? La macchina virtuale è stata aggiornata. Il crittografo ha iniziato a lavorare alla fine di agosto. È impossibile determinare esattamente quando la macchina è stata infettata. Il virus ha cancellato molte cose nella macchina virtuale stessa. Gli aggiornamenti a questo sistema sono stati installati a maggio. Cioè, non dovrebbero esserci vecchi buchi aperti su di esso. Adesso non so nemmeno come lasciare la porta rdp accessibile da Internet. Ci sono troppi casi in cui ciò è realmente necessario. Ad esempio, un terminal server su hardware noleggiato. Non noleggerai nemmeno un gateway VPN per ciascun server.

Ora avviciniamoci al nocciolo della questione e al ransomware stesso. L'interfaccia di rete della macchina virtuale è stata disabilitata, dopodiché l'ho avviata. Sono stato accolto da un segno standard, che avevo già visto molte volte da altri crittografi.

Tutti i tuoi file sono stati crittografati! Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'e-mail [e-mail protetta] Scrivi questo ID nel titolo del tuo messaggio 501BED27 In caso di mancata risposta entro 24 ore scrivici a queste e-mail: [e-mail protetta] Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento di decrittazione che decodificherà tutti i tuoi file. Decrittazione gratuita come garanzia Prima di pagare puoi inviarci fino a 1 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 1 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.) Come ottenere Bitcoin Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo. https://localbitcoins.com/buy_bitcoins Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui: Attenzione! Non rinominare i file crittografati. Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati. La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.

C'erano 2 file di testo sul desktop denominati FILE CRIPTATI.TXT il seguente contenuto:

Tutti i tuoi dati ci sono stati bloccati Vuoi tornare? scrivere e-mail [e-mail protetta]

È interessante che i permessi della directory siano cambiati Desktop. L'utente non disponeva delle autorizzazioni di scrittura. Apparentemente, il virus ha fatto questo per impedire all'utente di eliminare accidentalmente le informazioni nei file di testo dal desktop. C'era una directory lì sul desktop troia, che conteneva il virus stesso: un file l20VHC_playload.exe.

Come il virus ransomware Crusis (Dharma) crittografa i file

Dopo aver capito tutto con calma e aver letto messaggi simili sul tema del ransomware su Internet, ho appreso di aver catturato una versione del famoso virus ransomware Crusis (Dharma). Kaspersky lo rileva così Trojan-Ransom.Win32.Crusis.to. Mette diverse estensioni sui file, incluso and.combo. Il mio elenco di file era simile a questo:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Ti dirò qualche dettaglio in più su come ha funzionato il ransomware. Non ho detto una cosa importante. Questo computer era in un dominio. I file sono stati crittografati da un utente di dominio!!! È qui che sorge la domanda: da dove ha preso il virus? Non ho visto informazioni sui log del controller di dominio e sulla selezione della password dell'utente. Non ci sono stati molti accessi falliti. O è stata sfruttata qualche vulnerabilità oppure non so cosa pensare. È stato utilizzato un account che non ha mai effettuato l'accesso a questo sistema. C'era l'autorizzazione tramite rdp da un account utente di dominio e quindi la crittografia. Inoltre, non sono state trovate tracce di attacchi di forza bruta contro utenti e password sul sistema stesso. Quasi immediatamente ho avuto un accesso utilizzando l'account di dominio rdp. Come minimo era necessario scegliere non solo una password, ma anche un nome.

Sfortunatamente, l'account aveva la password 123456. Questo era l'unico account con quella password che gli amministratori locali non avevano notato. Fattore umano. Questo era il manager e per qualche motivo tutta una serie di amministratori di sistema conosceva questa password, ma non l'ha cambiata. Ovviamente, questo è il motivo per utilizzare questo particolare account. Tuttavia, il meccanismo per ottenere anche una password e un nome utente così semplici rimane sconosciuto.

Ho spento ed eliminato la macchina virtuale infettata da Encryptor, avendo prima preso l'immagine del disco. Il virus stesso ne ha estratto l'immagine per osservarne il lavoro. L'ulteriore storia si baserà sull'esecuzione del virus in una macchina virtuale.

Ancora un piccolo dettaglio. Il virus ha scansionato l'intera rete locale e allo stesso tempo ha crittografato le informazioni sui computer in cui erano presenti cartelle condivise accessibili a tutti. Questa è la prima volta che vedo una tale modifica del crittografo. Questa è davvero una cosa spaventosa. Un tale virus può semplicemente paralizzare il lavoro dell'intera organizzazione. Diciamo che, per qualche motivo, hai avuto accesso alla rete ai backup stessi. Oppure hanno utilizzato una password debole per l'account. Può succedere che tutto venga crittografato, sia i dati che le copie archiviate. In generale, ora sto pensando di archiviare i backup non solo in un ambiente di rete isolato, ma in generale su apparecchiature spente che vengono avviate solo per eseguire un backup.

Come trattare il tuo computer e rimuovere il ransomware Crusis (Dharma).

Nel mio caso il virus ransomware Crusis (Dharma) non era particolarmente nascosto e rimuoverlo non dovrebbe comportare alcun problema. Come ho detto, era in una cartella sul mio desktop. Inoltre, ha registrato se stesso e un messaggio informativo nell'esecuzione automatica.

Il corpo del virus stesso è stato duplicato nella sezione di lancio Avviare per tutti gli utenti e finestre/sistema32. Non ho guardato più da vicino perché non ne vedo il punto. Dopo essere stato infettato da un ransomware, consiglio vivamente di reinstallare il sistema. Questo è l’unico modo per essere sicuri di rimuovere il virus. Non sarai mai completamente sicuro che il virus sia stato rimosso, poiché potrebbe aver sfruttato alcune vulnerabilità ancora inedite e sconosciute per lasciare un segnalibro nel sistema. Dopo un po ', attraverso questo mutuo puoi contrarre un nuovo virus e tutto si ripeterà in circolo.

Quindi ti consiglio, subito dopo aver rilevato il ransomware, di non trattare il tuo computer, ma di reinstallare il sistema, salvando i dati rimanenti. Forse il virus non è riuscito a crittografare tutto. Queste raccomandazioni si applicano a coloro che non intendono tentare di recuperare i file. Se disponi di backup attuali, reinstalla semplicemente il sistema e ripristina i dati.

Se non disponi di backup e sei pronto a ripristinare i file ad ogni costo, proviamo a non toccare affatto il computer. Prima di tutto è sufficiente scollegare il cavo di rete, scaricare un paio di file crittografati e un file di testo con le informazioni relative pulito unità flash, quindi spegnere il computer. Non è più possibile accendere il computer. Se non capisci affatto le questioni informatiche, non sarai in grado di affrontare il virus da solo, tanto meno di decrittografare o ripristinare i file. Contatta qualcuno che lo sa. Se pensi di poter fare qualcosa da solo, continua a leggere.

Dove scaricare il decrittatore Crusis (Dharma).

Quello che segue è il mio consiglio universale su tutti i virus ransomware. Esiste un sito Web: https://www.nomoreransom.org Potrebbe teoricamente contenere un decrittografatore per Crusis o Dharma o alcune altre informazioni sulla decrittografia dei file. Nella mia pratica, questo non è mai successo prima, ma forse sarai fortunato. Vale la pena provarlo. Per fare ciò, nella pagina principale accettiamo facendo clic SÌ.

Allega 2 file e incolla il contenuto del messaggio informativo del ransomware e fai clic Controllo.

Se sei fortunato, otterrai alcune informazioni. Nel mio caso non è stato trovato nulla.

Tutti i decryptor esistenti per ransomware sono raccolti in una pagina separata - https://www.nomoreransom.org/ru/decryption-tools.html L'esistenza di questo elenco ci consente di aspettarci che ci sia ancora un certo senso in questo sito e servizio. Kaspersky ha un servizio simile: https://noransom.kaspersky.com/ru/ Puoi tentare la fortuna lì.

Non penso che valga la pena cercare decryptor altrove tramite una ricerca su Internet. È improbabile che vengano ritrovati. Molto probabilmente si tratterà nella migliore delle ipotesi di una normale truffa con software spazzatura o di un nuovo virus.

Aggiunta importante. Se è installata una versione con licenza di un antivirus, assicurati di creare una richiesta al TP dell'antivirus per la decrittografia dei file. A volte aiuta davvero. Ho visto recensioni di decrittazione riuscita da parte del supporto antivirus.

Come decrittografare e recuperare i file dopo il virus Crusis (Dharma).

Cosa fare quando il virus Crusis (Dharma) ha crittografato i tuoi file, nessuno dei metodi descritti in precedenza ha aiutato e hai davvero bisogno di ripristinare i file? L'implementazione tecnica della crittografia non consente di decrittografare i file senza una chiave o un decrittatore di cui dispone solo l'autore del crittografatore. Forse c'è un altro modo per ottenerlo, ma non ho queste informazioni. Possiamo solo provare a recuperare i file utilizzando metodi improvvisati. Questi includono:

• Attrezzo copie ombra finestre.
• Programmi di recupero dati cancellati

Prima di ulteriori manipolazioni, consiglio di creare un'immagine del disco settore per settore. Ciò ti consentirà di registrare lo stato corrente e se non funziona nulla, almeno potrai tornare al punto di partenza e provare qualcos'altro. Successivamente, è necessario rimuovere il ransomware stesso utilizzando qualsiasi antivirus con l'ultima serie di database antivirus. Andrà bene Curarla O Strumento di rimozione virus Kaspersky. Puoi installare qualsiasi altro antivirus in modalità di prova. Questo è sufficiente per rimuovere il virus.

Successivamente, avviamo il sistema infetto e controlliamo se sono abilitate le copie shadow. Questo strumento funziona per impostazione predefinita in Windows 7 e versioni successive, a meno che non lo disabiliti manualmente. Per verificare, apri le proprietà del computer e vai alla sezione Protezione del sistema.

Se durante l'infezione non hai confermato la richiesta UAC di eliminare i file nelle copie shadow, alcuni dati dovrebbero rimanere lì. Per ripristinare facilmente i file dalle copie shadow, suggerisco di utilizzare un programma gratuito per questo: ShadowExplorer. Scarica l'archivio, decomprimi il programma ed eseguilo.

Si aprirà l'ultima copia dei file e la radice dell'unità C. Nell'angolo in alto a sinistra, puoi selezionare una copia di backup se ne hai diverse. Controllare copie diverse per i file richiesti. Confronta per data la versione più recente. Nel mio esempio qui sotto, ho trovato 2 file sul mio desktop di tre mesi fa, quando sono stati modificati l'ultima volta.

Sono riuscito a recuperare questi file. Per fare ciò, li ho selezionati, ho fatto clic con il tasto destro, ho selezionato Esporta e ho specificato la cartella in cui ripristinarli.

È possibile ripristinare immediatamente le cartelle utilizzando lo stesso principio. Se avevi delle copie shadow funzionanti e non le hai eliminate, hai buone possibilità di recuperare tutti, o quasi, i file crittografati dal virus. Forse alcuni di essi saranno una versione più vecchia di quanto vorremmo, ma è comunque meglio di niente.

Se per qualche motivo non disponi di copie shadow dei tuoi file, l'unica possibilità di ottenere almeno qualcosa dai file crittografati è ripristinarli utilizzando gli strumenti di recupero file eliminati. Per fare ciò, suggerisco di utilizzare il programma gratuito Photorec.

Avvia il programma e seleziona il disco su cui ripristinerai i file. L'avvio della versione grafica del programma esegue il file qphotorec_win.exe. È necessario selezionare una cartella in cui verranno posizionati i file trovati. È meglio se questa cartella non si trova sulla stessa unità in cui stiamo cercando. Per farlo, collega un'unità flash o un disco rigido esterno.

Il processo di ricerca richiederà molto tempo. Alla fine vedrai le statistiche. Ora puoi andare alla cartella precedentemente specificata e vedere cosa si trova lì. Molto probabilmente ci saranno molti file e la maggior parte di essi sarà danneggiata o sarà una sorta di file di sistema e inutile. Tuttavia, in questo elenco è possibile trovare alcuni file utili. Non ci sono garanzie qui, quello che trovi è quello che troverai. Le immagini vengono solitamente ripristinate meglio.

Se il risultato non ti soddisfa, esistono anche programmi per recuperare file cancellati. Di seguito è riportato un elenco di programmi che utilizzo solitamente quando ho bisogno di recuperare il numero massimo di file:

• R.saver
• Recupero file Starus
• Ripristino JPEG Pro
• Professionista del recupero file attivo

Questi programmi non sono gratuiti, quindi non fornirò collegamenti. Se vuoi davvero, puoi trovarli tu stesso su Internet.

L'intero processo di recupero dei file utilizzando i programmi elencati è mostrato in dettaglio nel video alla fine dell'articolo.

Kaspersky, eset nod32 e altri nella lotta contro il ransomware Crusis (Dharma)

Come al solito, ho esplorato i forum degli antivirus più diffusi alla ricerca di informazioni sul ransomware che installa l'estensione .combo. C’è una chiara tendenza alla diffusione del virus. Molte richieste partono da metà agosto. Ora sembra che non siano visibili, ma forse temporaneamente, oppure l'estensione dei file crittografati è semplicemente cambiata.

Ecco un esempio di una tipica richiesta dal forum Kaspersky.

C'è anche un commento del moderatore qui sotto.

Il forum EsetNod32 conosce da tempo il virus che installa l'estensione .combo. A quanto ho capito, il virus non è unico e non è nuovo, ma una variazione della nota serie di virus Crusis (Dharma). Ecco una tipica richiesta di decrittografia dei dati:

Ho notato che sul forum Eset ci sono molte recensioni secondo cui il virus è penetrato nel server tramite rdp. Sembra che questa sia una minaccia davvero forte e non puoi lasciare rdp senza copertura. L'unica domanda che sorge è: come entra il virus tramite rdp? Indovina una password, si connette con un utente e una password conosciuti o qualcos'altro.

Dove andare per una decrittazione garantita

Mi è capitato di incontrare un'azienda che in realtà decodifica i dati dopo il lavoro di vari virus di crittografia, tra cui Crusis (Dharma). Il loro indirizzo è http://www.dr-shifro.ru. Pagamento solo dopo la decrittazione e la verifica. Ecco uno schema approssimativo di lavoro:

1. Uno specialista dell'azienda viene nel tuo ufficio o a casa e firma con te un accordo in cui stabilisce il costo del lavoro.
2. Avvia il decryptor sul tuo computer e decrittografa alcuni file.
3. Ti assicuri che tutti i file siano aperti, firmi il certificato di accettazione per il lavoro completato e ricevi un decryptor.
4. Decifri i tuoi file e completi i documenti rimanenti.

Non rischi nulla. Pagamento solo dopo dimostrazione del funzionamento del decoder. Per favore scrivi una recensione sulla tua esperienza con questa azienda.

Metodi di protezione contro il virus ransomware

Non elencherò le cose ovvie sull'avvio di programmi sconosciuti da Internet e sull'apertura degli allegati alla posta. Lo sanno tutti ormai. Inoltre, ne ho scritto molte volte nei miei articoli nella sezione informazioni. Farò attenzione ai backup. Non solo devono esistere, ma essere inaccessibili dall’esterno. Se si tratta di una sorta di unità di rete, è necessario che un account separato con una password complessa possa accedervi.

Se esegui il backup dei file personali su un'unità flash o un'unità esterna, non mantenerli costantemente collegati al sistema. Dopo aver creato le copie di backup, scollegare i dispositivi dal computer. Vedo il backup ideale su un dispositivo separato, che viene acceso solo per effettuare un backup, e poi nuovamente disconnesso fisicamente dalla rete scollegando il cavo di rete o semplicemente spegnendo il lavoro.

I backup devono essere incrementali. Ciò è necessario per evitare una situazione in cui il crittografatore ha crittografato tutti i dati senza che tu te ne accorga. È stato eseguito un backup che ha sostituito i vecchi file con quelli nuovi, ma già crittografati. Di conseguenza, hai un archivio, ma non serve. È necessario disporre di una profondità di archivio di almeno diversi giorni. Penso che in futuro ci saranno, se non sono ancora apparsi, dei ransomware che crittograferanno silenziosamente parte dei dati e attenderanno per un po' di tempo senza rivelarsi. Ciò verrà fatto nell'aspettativa che i file crittografati finiscano negli archivi e lì, nel tempo, sostituiscano i file reali.

Sarà un momento difficile per il settore aziendale. Ho già fornito un esempio sopra dal forum eset, in cui sono state crittografate unità di rete con 20 TB di dati. Ora immagina di avere un'unità di rete di questo tipo, ma solo 500 GB di dati sono crittografati in directory a cui non si accede costantemente. Passano un paio di settimane e nessuno si accorge dei file crittografati, perché si trovano nelle directory di archivio e non vengono costantemente elaborati. Ma alla fine del periodo di riferimento, sono necessari dati. Vanno lì e vedono che tutto è crittografato. Vanno all'archivio e lì la profondità di archiviazione è, diciamo, di 7 giorni. E questo è tutto, i dati sono spariti.

Ciò richiede un approccio separato e attento agli archivi. Hai bisogno di software e risorse per l'archiviazione dei dati a lungo termine.

Video sulla decrittografia e il ripristino dei file

Ecco un esempio di una modifica simile del virus, ma il video è completamente rilevante per combo.

Ti è mai successo di ricevere un messaggio via e-mail, Skype o ICQ da un mittente sconosciuto con un collegamento a una foto del tuo amico o congratulazioni per le prossime vacanze? Sembra che tu non ti aspetti alcun tipo di installazione e all'improvviso, quando fai clic sul collegamento, sul tuo computer viene scaricato un software dannoso serio. Prima che tu te ne accorga, il virus ha già crittografato tutti i tuoi file. Cosa fare in una situazione del genere? È possibile ripristinare i documenti?

Per capire come affrontare il malware, è necessario sapere cos'è e come penetra nel sistema operativo. Inoltre, non importa quale versione di Windows utilizzi: il virus Critroni mira a infettare qualsiasi sistema operativo.

Virus informatico di crittografia: definizione e algoritmo di azione

Su Internet è apparso un nuovo software antivirus, noto a molti come CTB (Curve Tor Bitcoin) o Critroni. Si tratta di un ransomware Trojan migliorato, simile in linea di principio al software dannoso precedentemente noto CriptoLocker. Se un virus ha crittografato tutti i file, cosa dovresti fare in questo caso? Prima di tutto, devi comprendere l'algoritmo del suo funzionamento. L'essenza del virus è crittografare tutti i tuoi file con le estensioni .ctbl, .ctb2, .vault, .xtbl o altri. Tuttavia, non potrai aprirli finché non pagherai la somma di denaro richiesta.

I virus Trojan-Ransom.Win32.Shade e Trojan-Ransom.Win32.Onion sono comuni. Sono molto simili a STV nella loro azione locale. Possono essere distinti dall'estensione dei file crittografati. Trojan-Ransom codifica le informazioni in formato .xtbl. Quando apri un file, sullo schermo viene visualizzato un messaggio che informa che i tuoi documenti personali, database, foto e altri file sono stati crittografati dal malware. Per decrittografarli, devi pagare una chiave univoca, che viene archiviata su un server segreto, e solo in questo caso potrai eseguire operazioni di decrittografia e crittografia con i tuoi documenti. Ma non preoccuparti e tanto meno invia denaro al numero specificato: esiste un altro modo per combattere questo tipo di crimine informatico. Se un virus del genere entrasse nel tuo computer e crittografasse tutti i file .xtbl, cosa dovresti fare in una situazione del genere?

Cosa non fare se un virus di crittografia penetra nel tuo computer

Succede che in preda al panico installiamo un programma antivirus e, con il suo aiuto, rimuoviamo automaticamente o manualmente il software antivirus, perdendo con esso documenti importanti. Questo è spiacevole, inoltre, il computer potrebbe contenere dati su cui stai lavorando da mesi. È un peccato perdere tali documenti senza possibilità di recuperarli.

Se il virus ha crittografato tutti i file .xtbl, alcuni provano a cambiare la loro estensione, ma anche questo non porta a risultati positivi. La reinstallazione e la formattazione del disco rigido rimuoveranno definitivamente il programma dannoso, ma allo stesso tempo perderai ogni possibilità di recupero dei documenti. In questa situazione, i programmi di decrittazione creati appositamente non saranno d'aiuto, perché il software ransomware è programmato utilizzando un algoritmo non standard e richiede un approccio speciale.

Quanto è pericoloso un virus ransomware per un personal computer?

È assolutamente chiaro che nessun programma dannoso porterà benefici al tuo personal computer. Perché viene creato questo software? Stranamente, tali programmi sono stati creati non solo con lo scopo di frodare gli utenti quanto più denaro possibile. In effetti, il marketing virale è piuttosto redditizio per molti inventori di antivirus. Dopotutto, se un virus crittografasse tutti i file sul tuo computer, a chi ti rivolgeresti per primo? Naturalmente, cerca l'aiuto di professionisti. Cos'è la crittografia per il tuo laptop o personal computer?

Il loro algoritmo operativo non è standard, quindi sarà impossibile curare i file infetti con i tradizionali software antivirus. La rimozione di oggetti dannosi comporterà la perdita di dati. Solo il passaggio alla quarantena consentirà di proteggere altri file che il virus dannoso non è ancora riuscito a crittografare.

Data di scadenza del malware di crittografia

Se il tuo computer è stato infettato da Critroni (malware) e il virus ha crittografato tutti i tuoi file, cosa dovresti fare? Non puoi decrittografare da solo i formati .vault-, .xtbl-, .rar modificando manualmente l'estensione in .doc, .mp3, .txt e altri. Se non paghi l'importo richiesto ai criminali informatici entro 96 ore, ti invieranno una corrispondenza intimidatoria via e-mail in cui ti verrà comunicato che tutti i tuoi file verranno eliminati definitivamente. Nella maggior parte dei casi, le persone sono influenzate da tali minacce e con riluttanza ma obbedienza eseguono le azioni indicate, temendo di perdere informazioni preziose. È un peccato che gli utenti non comprendano che i criminali informatici non sempre mantengono la parola data. Una volta ricevuti i soldi, spesso non si preoccupano più di decrittografare i file bloccati.

Quando il timer scade, si chiude automaticamente. Ma hai ancora la possibilità di recuperare documenti importanti. Sullo schermo verrà visualizzato un messaggio che indica che il tempo è scaduto e sarà possibile visualizzare informazioni più dettagliate sui file nella cartella documenti in un file di blocco note appositamente creato DecryptAllFiles.txt.

Modi in cui il malware di crittografia penetra nel sistema operativo

In genere, i virus ransomware entrano in un computer tramite messaggi e-mail infetti o tramite download falsi. Potrebbero trattarsi di falsi aggiornamenti flash o lettori video fraudolenti. Non appena il programma viene scaricato sul tuo computer utilizzando uno di questi metodi, crittografa immediatamente i dati senza possibilità di recupero. Se il virus ha crittografato tutti i file .cbf, .ctbl, .ctb2 in altri formati e non disponi di una copia di backup del documento archiviato su un supporto rimovibile, presumi che non sarai più in grado di recuperarli. Al momento, i laboratori antivirus non sanno come decifrare tali virus di crittografia. Senza la chiave richiesta, puoi solo bloccare i file infetti, spostarli in quarantena o eliminarli.

Come evitare di prendere un virus sul tuo computer

Inquietanti tutti i file .xtbl. Cosa fare? Hai già letto molte informazioni non necessarie scritte sulla maggior parte dei siti Web e non riesci a trovare la risposta. Accade così che nel momento più inopportuno, quando devi presentare urgentemente una relazione di lavoro, una tesi all'università o difendere la laurea del tuo professore, il computer inizia a vivere di vita propria: si rompe, si infetta con virus e si blocca. È necessario essere preparati per tali situazioni e conservare le informazioni sul server e sui supporti rimovibili. Ciò ti consentirà di reinstallare il sistema operativo in qualsiasi momento e dopo 20 minuti di lavorare al computer come se nulla fosse successo. Ma sfortunatamente non siamo sempre così intraprendenti.

Per evitare di infettare il tuo computer con un virus, devi prima installare un buon programma antivirus. È necessario disporre di un Windows Firewall configurato correttamente, che protegga da vari oggetti dannosi che penetrano nella rete. E la cosa più importante: non scaricare software da siti non verificati o tracker torrent. Per evitare di infettare il tuo computer con virus, fai attenzione a quali collegamenti fai clic. Se ricevi un'e-mail da un destinatario sconosciuto con una richiesta o un'offerta per vedere cosa si nasconde dietro il collegamento, è meglio spostare il messaggio nello spam o eliminarlo del tutto.

Per evitare che un giorno il virus crittografi tutti i file .xtbl, i laboratori di software antivirus consigliano un modo gratuito per proteggersi dalle infezioni tramite virus di crittografia: controllarne lo stato una volta alla settimana.

Il virus ha crittografato tutti i file sul computer: metodi di trattamento

Se sei diventato vittima di un crimine informatico e i dati sul tuo computer sono stati infettati da uno dei tipi di malware crittografati, allora è il momento di provare a recuperare i tuoi file.

Esistono diversi modi per trattare gratuitamente i documenti infetti:

1. Il metodo più comune, e probabilmente il più efficace al momento, è eseguire il backup dei documenti e ripristinarli in caso di infezione imprevista.
2. L'algoritmo software del virus CTB funziona in modo interessante. Una volta sul computer, copia i file, li crittografa e cancella i documenti originali, eliminando così la possibilità del loro recupero. Ma con l'aiuto del software Photorec o R-Studio, puoi riuscire a salvare alcuni file originali intatti. Dovresti sapere che più a lungo utilizzi il tuo computer dopo che è stato infettato, meno è probabile che tu possa recuperare tutti i documenti necessari.
3. Se il virus ha crittografato tutti i file .vault, esiste un altro buon modo per decrittografarli: utilizzare i volumi delle copie shadow. Naturalmente, il virus tenterà di eliminarli tutti in modo permanente e irrevocabile, ma succede anche che alcuni file rimangano intatti. In questo caso, avrai una piccola ma possibilità di ripristinarli.
4. È possibile archiviare dati su servizi di file hosting come DropBox. Può essere installato sul tuo computer come mappatura del disco locale. Naturalmente il virus di crittografia infetterà anche lui. Ma in questo caso è molto più realistico ripristinare documenti e file importanti.

Prevenzione software dell'infezione da virus del computer personale

Se temi che software dannoso possa entrare nel tuo computer e non vuoi che un virus insidioso crittografi tutti i tuoi file, dovresti utilizzare l'editor dei criteri locali o l'editor dei gruppi di Windows. Grazie a questo software integrato potete impostare una politica di restrizione dei programmi e non avrete più paura che il vostro computer venga infettato.

Come recuperare file infetti

Se il virus CTB ha crittografato tutti i file, cosa dovresti fare in questo caso per ripristinare i documenti necessari? Sfortunatamente, al momento, nessun laboratorio antivirus può offrire la decrittazione dei file, ma è possibile neutralizzare l'infezione e rimuoverla completamente dal personal computer. Tutti i metodi efficaci per il recupero delle informazioni sono elencati sopra. Se i tuoi file sono troppo preziosi per te e non ti sei preoccupato di eseguirne il backup su un'unità rimovibile o su un'unità Internet, dovrai pagare la somma di denaro richiesta dai criminali informatici. Ma non c'è alcuna possibilità che la chiave di decrittazione ti venga inviata anche dopo il pagamento.

Come trovare file infetti

Per vedere l'elenco dei file infetti potete andare in questo percorso: “Documenti”\.html oppure “C:”\”Utenti”\”Tutti gli utenti”\.html. Questo foglio html contiene dati non solo sulle istruzioni casuali, ma anche sugli oggetti infetti.

Come bloccare un virus di crittografia

Una volta che il computer è stato infettato dal malware, la prima azione necessaria da parte dell'utente è accendere la rete. Questo viene fatto premendo il tasto F10 della tastiera.

Se il virus Critroni è entrato accidentalmente nel tuo computer e ha crittografato tutti i file in formato .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf o qualsiasi altro formato, è già difficile recuperarli. Ma se il virus non ha ancora apportato molte modifiche, è probabile che venga bloccato utilizzando una politica di restrizione del software.

Virus ransomware: conviene pagare i truffatori oppure no?

Questo giorno oscuro è arrivato. Un virus di crittografia stava lavorando attivamente su una delle macchine da lavoro più importanti, dopodiché tutti i file di ufficio, grafici e molti altri hanno accettato l'autorizzazione crypted000007, che al momento della stesura di questo articolo era impossibile da decrittografare.

Inoltre, sul desktop appariva uno sfondo con una scritta del tipo "I tuoi file sono crittografati" e nella root delle unità locali apparivano documenti di testo readme con le informazioni di contatto del truffatore. Naturalmente, vuole un riscatto per la decrittazione.

Personalmente, non ho contattato questi stronzi per scoraggiare tale attività, ma so che il prezzo medio parte da $ 300 in su. Quindi pensa tu stesso cosa fare. Ma se hai file molto importanti crittografati, ad esempio database 1C, e non esiste una copia di backup, allora questo è il crollo della tua carriera.

Vorrei andare avanti e dire che se hai speranze di decrittazione, non eliminare in nessun caso il file che richiede denaro e non fare nulla con i file crittografati (non modificare il nome, l'estensione, ecc.). Ma parliamo di tutto in ordine.

Virus ransomware: che cos'è?

Si tratta di un software dannoso (ransomware) che crittografa i dati su un computer utilizzando un algoritmo molto potente. Successivamente fornirò un’analogia approssimativa. Immagina di aver impostato una password lunga diverse migliaia di caratteri per accedere a Windows e di averla dimenticata. D'accordo, è impossibile da ricordare. Quante vite ci vorranno per la ricerca manuale?

È il caso di un ransomware che utilizza metodi crittografici legali per scopi illegali. Tali virus, di norma, utilizzano la crittografia asincrona. Ciò significa che viene utilizzata una coppia di chiavi.

I file vengono crittografati utilizzando una chiave pubblica e possono essere decrittografati utilizzando una chiave privata di cui dispone solo il truffatore. Tutte le chiavi sono univoche perché vengono generate separatamente per ciascun computer.

Ecco perché all'inizio dell'articolo ho detto che non è possibile eliminare il file readme.txt nella root del disco con una richiesta di riscatto. È in esso che è indicata la chiave pubblica.

Nel mio caso l'indirizzo e-mail del ransomware: se lo digiti durante una ricerca, diventa chiara la reale portata della tragedia. Molte persone si sono fatte male.

Pertanto, lo ripeto: in nessun caso modificare i file danneggiati. Altrimenti perderai anche la minima possibilità di ripristinarli in futuro.

Si sconsiglia inoltre di reinstallare il sistema operativo e di pulire le directory temporanee e di sistema. Insomma, finché non saranno chiarite tutte le circostanze, non tocchiamo nulla, per non complicarci la vita. Anche se sembrerebbe molto peggio.

Questa infezione arriva molto spesso al tuo computer tramite e-mail con un argomento caldo come "Urgente, al direttore. Lettera dalla banca" e simili. Il nemico è nascosto nell'allegato, che può sembrare un innocuo file pdf o jpg.

Una volta avviato, a prima vista non succede nulla di terribile. Su un PC da ufficio debole, l'utente potrebbe notare una certa "lentezza". Questo virus, mascherato da processo di sistema, sta già facendo il suo lavoro sporco.

Su Windows 7 e versioni successive, quando viene avviato il parassita, verrà costantemente visualizzata la finestra Controllo account utente chiedendoti di consentire le modifiche. Naturalmente, un utente inesperto sarà d'accordo con tutto, firmando così la propria condanna a morte.

Sì, in effetti, il virus sta già bloccando l'accesso ai file e una volta terminato, sul desktop verrà visualizzato il messaggio di avviso "I tuoi file sono crittografati". In generale, è un culo. Poi inizia la brutalità.

Come curare un virus ransomware

Sulla base di quanto sopra, possiamo concludere che se la terribile iscrizione sul desktop non è ancora apparsa e hai già visto i primi file con nomi lunghi incomprensibili da un insieme caotico di vari caratteri, rimuovi immediatamente il computer dalla presa.

Esatto, scortese e intransigente. In questo modo, fermerai l’algoritmo del malware e sarai in grado di salvare almeno qualcosa. Purtroppo nel mio caso il dipendente non lo sapeva e ha perso tutto. Tua madre...

La ciliegina sulla torta per me è stata il fatto che, a quanto pare, questo virus crittografa facilmente tutti i supporti rimovibili e le unità di rete collegate al PC con diritti di accesso in scrittura. Ecco dov'erano i backup.

Ora riguardo al trattamento. La prima cosa che devi capire è che il virus viene curato, ma i file rimarranno crittografati. Forse per sempre. Il processo di trattamento in sé non è complicato.

Per fare ciò, è necessario collegare il disco rigido a un altro computer ed eseguirne la scansione con utilità come Kaspersky Virus Removal Tool. Per sicurezza, puoi usarne due a turno. Se non vuoi portare una vite infetta su un altro computer, avvia da un Live CD.

Di norma, tali soluzioni antivirus trovano e rimuovono il crittografo senza problemi. Ma a volte non rilevano nulla, perché il virus, una volta svolto il suo lavoro, può rimuoversi dal sistema. Questo è un pezzo di merda che copre ogni traccia e rende difficile lo studio.

Prevedo la domanda: perché l'antivirus non ha impedito immediatamente l'ingresso di software indesiderato nel computer? Allora non ci sarebbero problemi. Secondo me in questo momento gli antivirus stanno perdendo la battaglia con i crittografi e questo è molto triste.

Inoltre, come ho già detto, questo malware funziona sulla base di metodi crittografici legali. Cioè, si scopre che il loro lavoro non è illegale dal punto di vista tecnico. Questa è la difficoltà di identificarli.

Vengono costantemente rilasciate nuove modifiche, che vengono incluse nei database antivirus solo dopo l'infezione. Quindi, ahimè, in questo caso non può esserci una protezione al 100%. Solo comportamento vigile quando si lavora su un PC, ma ne parleremo più avanti.

Come decrittografare i file dopo un virus

Tutto dipende dal caso specifico. È stato scritto sopra che le modifiche del virus di crittografia possono essere qualsiasi cosa. A seconda di ciò, i file crittografati hanno estensioni diverse.

La buona notizia è che per molte versioni dell'infezione le aziende antivirus hanno già messo a punto dei decrittatori (decryptor). Il leader nel mercato in lingua russa è Kaspersky Lab. A tal fine è stata creata la seguente risorsa:

Su di esso, nella barra di ricerca, inseriamo le informazioni sull'estensione o sull'e-mail dalla richiesta di riscatto, facciamo clic su "Cerca" e vediamo se esiste un'utilità di salvataggio per noi.

Se sei fortunato, scarica il programma dall'elenco ed eseguilo. La descrizione di alcuni decrittatori afferma che quando si lavora su un computer è necessario avere accesso a Internet per poter eseguire una ricerca avanzata delle chiavi nel database online.

Altrimenti, tutto è semplice. Seleziona un file o un disco specifico nella sua interezza e avvia la scansione. Se attivi la voce "Elimina file crittografati", dopo la decrittografia tutti i file originali verranno eliminati. Oh, non avrei tanta fretta, devo vedere subito il risultato.

Per alcuni tipi di virus, il programma potrebbe richiedere due versioni del file: quella originale e quella crittografata. Se il primo non c’è, allora è una causa persa.

Inoltre, gli utenti dei prodotti Kaspersky Lab con licenza hanno l'opportunità di contattare il forum ufficiale per ricevere assistenza con la decrittazione. Ma dopo averlo esaminato con la mia estensione (crypted000007) mi sono reso conto che non c'era alcun aiuto. Lo stesso si può dire di Dr.Web.

C'è un altro progetto simile, ma questa volta internazionale. Secondo le informazioni provenienti da Internet, è supportato dai principali produttori di antivirus. Ecco il suo indirizzo:

Naturalmente questo può essere vero, ma il sito non funziona correttamente. La pagina principale ti chiede di scaricare due file crittografati e un file di riscatto, dopodiché il sistema ti risponderà se il decrittatore è disponibile o meno.

Invece si passa alla sezione con la scelta della lingua e basta. Pertanto, puoi andare autonomamente alla sezione "Decryptor-Utilities" e provare a trovare il programma di cui hai bisogno.

Ciò non è molto conveniente, poiché la breve descrizione del software disponibile non indica chiaramente le estensioni supportate dai file crittografati. Per fare ciò, è necessario leggere le istruzioni estese per ciascun tipo di decryptor.

Durante la stesura di questa pubblicazione, ho trovato un servizio simile che funziona correttamente secondo lo stesso principio. Ti aiuterà a identificare il nome della minaccia e ti offrirà una “pillola magica” se ce n’è una. C'è un pulsante traduttore nell'angolo in alto a destra del sito per comodità dell'utente.

Cosa fare? Pagare o non pagare

Se hai letto fin qui, significa che i tuoi file sono ancora crittografati in modo sicuro. E qui la domanda è: cosa fare dopo? Infatti, se i file estremamente importanti vengono crittografati, il lavoro anche delle grandi imprese, per non parlare delle piccole imprese, può essere paralizzato.

Innanzitutto, puoi seguire le istruzioni del truffatore e pagare il riscatto. Ma le statistiche di Kaspersky Lab mostrano che un’azienda su cinque non ha mai ricevuto la chiave di decrittazione dopo il pagamento.

Ciò può accadere per vari motivi. Ad esempio, il virus potrebbe essere stato utilizzato non dagli stessi creatori, che possiedono la chiave privata, ma da intermediari fraudolenti.

Hanno semplicemente modificato il codice del malware, indicando i propri dati nel file di riscatto, ma non hanno una seconda chiave. Hanno ricevuto i soldi e se ne sono andati. E continui a cucinare.

In generale, non mentiranno, io stesso non conosco tutte le sfumature tecniche. Ma in ogni caso, pagando gli estorsori, li motivi a continuare tali attività. Dopotutto, dal momento che funziona e fa soldi, perché no.

Ma su Internet ho trovato almeno due aziende che promettono di aiutare con questo problema e persino di decriptare i file con l'estensione crypted000007. Ho contattato uno di loro con grande paura.

Ad essere onesti, i ragazzi non mi hanno aiutato, perché hanno subito detto che non avevano un decryptor, ma potevano provare a ripristinare circa il 30% dei file originali che il virus aveva cancellato utilizzando una scansione di basso livello.

Ci ho pensato e ho rifiutato. Ma grazie a loro per non essersi presi in giro, per aver dedicato del tempo e aver spiegato tutto con sobrietà. Bene, poiché non hanno una chiave, significa che non dovrebbero interagire con i truffatori.

Ma esiste un'altra società, più “interessante”, che garantisce al 100% la riuscita dell'operazione. Il suo sito web si trova a questo indirizzo:

Ho provato a navigare nei forum specializzati, ma non sono riuscito a trovare recensioni di clienti reali. Cioè, tutti lo sanno, ma pochi lo hanno usato. Circolo vizioso.

Questi ragazzi lavorano in base ai risultati ricevuti, non sono previsti pagamenti anticipati. Ancora una volta, ripeto, forniscono una garanzia per la decrittazione anche crypted000007. Ciò significa che hanno una chiave e un decryptor. Da qui la domanda: da dove prendono questa bontà? O mi sta sfuggendo qualcosa?

Non voglio dire niente di negativo, forse sono gentili e morbidi, lavorano onestamente e aiutano le persone. Anche se tecnicamente questo è semplicemente impossibile senza una chiave principale. In ogni caso, nei loro confronti è stato accertato qualcosa di compromettente.

Come proteggersi da un virus ransomware

Fornirò alcuni postulati di base che ti aiuteranno a rimanere al sicuro e, in caso di penetrazione di tale malware, a ridurre al minimo le perdite. Dopotutto, tutto questo l'ho vissuto sulla mia pelle.

Effettuare backup regolari su supporti rimovibili (isolati dalla rete). Senza esagerare, posso dire che questa è la cosa più importante.

Non lavorare con un account con diritti di amministratore per ridurre al minimo le perdite in caso di infezione.

Monitora attentamente i destinatari delle lettere in arrivo e dei link abbandonati sui social media. reti. Nessun commento qui.

Mantieni aggiornato il tuo programma antivirus. Potrebbe salvarti, ma non è sicuro.

Assicurati di abilitare i file in Windows 7/10. Ne parleremo approfonditamente nei prossimi numeri.

Non disabilitare il controllo dell'account utente in Windows 7 e versioni successive.

A mia volta, mi ritrovo con i file di Office completamente crittografati dal virus. Guarderò periodicamente tutte le risorse indicate nell'articolo, sperando di vedere un giorno un decryptor lì. Forse la fortuna sorriderà in questa vita, chi lo sa.

Una cosa è quando i file dell'utente su un computer di casa, come film, musica e così via, vengono crittografati. La situazione è completamente diversa quando si perde l’accesso all’intera gestione dei record di un’azienda per almeno 5-7 anni. Fa male, lo so già.

Se il sistema è stato infettato dal malware Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan -Famiglie di riscatto Win32.CryptXXX, tutti i file sul computer verranno crittografati come segue:

• Quando Trojan-Ransom.Win32.Rannoh viene infettato, i nomi e le estensioni cambieranno in base allo schema bloccato-<оригинальное_имя>.<4 произвольных буквы>.
• Quando Trojan-Ransom.Win32.Cryakl viene infettato, alla fine del contenuto del file viene aggiunta un'etichetta (CRYPTENDBLACKDC).
• Quando viene infettato da Trojan-Ransom.Win32.AutoIt, l'estensione cambia in base al modello<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Per esempio, [e-mail protetta] _.RZWDTDIC.
• Quando viene infettato da Trojan-Ransom.Win32.CryptXXX, l'estensione cambia in base ai modelli<оригинальное_имя>.cripta,<оригинальное_имя>.cryptz e<оригинальное_имя>.cryp1.

L'utilità RannohDecryptor è progettata per decrittografare i file dopo l'infezione da Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl o Trojan-Ransom.Win32.CryptXXX versioni 1, 2 e 3.

Come curare il sistema

Per curare un sistema infetto:

1. Scarica il file RannohDecryptor.zip.
2. Esegui RannohDecryptor.exe sulla macchina infetta.
3. Nella finestra principale, fare clic su Inizia a controllare.

1. Specificare il percorso del file crittografato e non crittografato.
   Se il file è crittografato con Trojan-Ransom.Win32.CryptXXX, specificare la dimensione del file più grande. La decrittografia sarà disponibile solo per file di dimensioni uguali o inferiori.
2. Attendi fino alla fine della ricerca e della decrittografia dei file crittografati.
3. Riavvia il computer, se necessario.
4. dopo aver bloccato-<оригинальное_имя>.<4 произвольных буквы>Per eliminare una copia dei file crittografati dopo averla decrittografata con successo, selezionare .

Se il file è stato crittografato da Trojan-Ransom.Win32.Cryakl, l'utilità salverà il file nella sua vecchia posizione con l'estensione .decryptedKLR.original_extension. Se hai scelto Elimina i file crittografati dopo aver eseguito correttamente la decrittografia, il file trascritto verrà salvato dall'utilità con il nome originale.

1. Per impostazione predefinita, l'utilità genera un rapporto di lavoro nella radice del disco di sistema (il disco su cui è installato il sistema operativo).

   Il nome del report è il seguente: UtilityName.Version_Date_Time_log.txt

   Ad esempio, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Su un sistema infetto da Trojan-Ransom.Win32.CryptXXX, l'utilità esegue la scansione di un numero limitato di formati di file. Se un utente seleziona un file interessato da CryptXXX v2, il ripristino della chiave potrebbe richiedere molto tempo. In questo caso, l'utilità visualizza un avviso.