Un dels programes maliciosos més problemàtics d'avui és un troià o virus que xifra fitxers del disc d'un usuari. Alguns d’aquests fitxers es poden desxifrar i alguns encara no. El manual conté possibles algoritmes per a accions en ambdues situacions, maneres de determinar el tipus de xifratge específic dels serveis No More Ransom i ID Ransomware, així com un breu resum del programari de xifratge antivirus (ransomware).
Hi ha diverses modificacions d’aquests virus o troians de ransomware (i apareixen constantment altres), però l’essència general del treball és que, després d’instal·lar els fitxers de documents, imatges i altres fitxers que siguin potencialment importants, queden encriptats amb l’extensió i la supressió dels fitxers originals. després del qual rebeu un missatge al fitxer readme.txt indicant que tots els vostres fitxers han estat xifrats i que per desxifrar-los heu d'enviar una certa quantitat a l'atacant. Nota: Actualització de Windows 10 Fall Creator ara té una protecció integrada contra els virus de xifrat.
Què passa si totes les dades importants es xifren
Per començar, algunes informacions generals per xifrar fitxers importants al’ordinador. Si les dades importants de l’ordinador s’han xifrat, en primer lloc no s’hauria de pànic.
Si teniu aquesta oportunitat, copieu un fitxer de mostra amb una sol·licitud de text de l’atacant per desxifrar-lo, a més d’una instància del fitxer xifrat, a la unitat externa (unitat flaix) des del disc d’ordinador en què va aparèixer el virus-encryptor (ransomware). Apagueu l'ordinador de manera que el virus no pugui continuar xifrant les dades i realitzi les accions restants en un altre ordinador.
La següent etapa consisteix a esbrinar quin tipus de virus xifren les vostres dades utilitzant els fitxers xifrats disponibles: per a alguns d’ells hi ha descramblers (alguns els indicaré aquí, alguns s’indiquen més a prop del final de l’article), per a alguns, encara no. Però fins i tot en aquest cas, podeu enviar exemples de fitxers xifrats a laboratoris antivirus (Kaspersky, Dr. Web) per estudiar-los.
Com es pot saber exactament? Podeu fer-ho mitjançant Google, cercar discussions o un tipus de criptògraf per extensió de fitxers. També va començar a aparèixer serveis per determinar el tipus de ransomware.
No hi ha més rescat
No More Ransom és un recurs que desenvolupa activament el suport de desenvolupadors d'eines de seguretat i està disponible a la versió russa, destinat a combatre els virus per criptògrafs (troians-extortionists).
Amb sort, No More Ransom pot ajudar a desxifrar els vostres documents, bases de dades, fotos i altres informacions, descarregar els programes necessaris per al desxifrat i obtenir informació que eviti aquestes amenaces en el futur.
A No More Ransom, podeu provar de desxifrar els fitxers i determinar el tipus de virus de xifrat de la manera següent:
- Feu clic a "Sí" a la pàgina principal del servei //www.nomoreransom.org/ru/index.html
- S'obrirà la pàgina de Crypto Sheriff, on podeu descarregar exemples de fitxers xifrats no superiors a 1 Mb (no recomano carregar dades confidencials) i també especificar adreces de correu electrònic o llocs als quals els defraudadors sol·liciten un rescat (o baixeu el fitxer readme.txt de requisit).
- Feu clic al botó "Comproveu" i espereu que la comprovació i el resultat es completin.
A més, el lloc té seccions útils:
- Descriptors: gairebé totes les utilitats existents actualment per desxifrar fitxers xifrats per virus.
- Prevenció de la infecció: informació dirigida principalment als usuaris novells, que poden ajudar a evitar infeccions en el futur.
- Preguntes i respostes: informació per a aquells que vulguin entendre millor el treball dels virus i les accions de xifrat en els casos en què s’enfronten al fet que els fitxers del vostre equip s’han xifrat.
Avui, No More Ransom és probablement el recurs més rellevant i útil associat amb el desxifrat de fitxers per a un usuari rus.
Id ransomware
Un altre d'aquests serveis és //id-ransomware.malwarehunterteam.com/ (tot i que no sé què tan bé funciona per a les variants del virus en llengua russa, però val la pena provar-ho mitjançant l’alimentació del servei d’un exemple de fitxer xifrat i un fitxer de text amb petició de rescat).
Després de determinar el tipus de criptògraf, si teniu èxit, proveu de trobar una utilitat per desxifrar aquesta opció per a consultes com: Decryptor Type_Chiler. Aquestes utilitats són gratuïtes i són produïdes per desenvolupadors antivirus, per exemple, es poden trobar diverses d'aquestes utilitats al lloc Kaspersky //support.kaspersky.ru/viruses/utility (altres utilitats estan més a prop del final de l’article). I, com ja s'ha esmentat, no dubteu a posar-vos en contacte amb els desenvolupadors de programes antivirus als seus fòrums o al servei de suport per correu electrònic.
Malauradament, tot això no sempre ajuda i no sempre es treballen els desxifradors d’arxius. En aquest cas, els escenaris són diferents: molts paguen intrusos i els animen a continuar aquesta activitat. Alguns usuaris reben ajuda d’un programa per recuperar dades d’un ordinador (ja que un virus, fent un fitxer xifrat, suprimeix un fitxer important i normal que pot ser recuperat teòricament).
Els fitxers de l’ordinador es xifren en xtbl
Una de les últimes variants del virus ransomware xifra fitxers, substituint-los per fitxers amb l’extensió .xtbl i un nom que consisteix en un conjunt de caràcters aleatoris.
Al mateix temps, un fitxer de text readme.txt es col·loca a l'ordinador aproximadament amb el següent contingut: "Els vostres fitxers estaven xifrats. Per desxifrar-los, heu d'enviar el codi a l'adreça de correu electrònic [email protected], [email protected] o [email protected]. Següent rebreu totes les instruccions necessàries. Els intents de desxifrar els fitxers vosaltres mateixos comportaran una pèrdua irrecuperable d’informació "(l’adreça de correu i el text poden ser diferents)
Malauradament, actualment no hi ha cap manera de desxifrar .xtbl (tan aviat com aparegui, s'actualitzarà la instrucció). Alguns usuaris que tenien informació realment important sobre el seu ordinador informaven sobre fòrums antivirus que van enviar 5.000 rubles o una altra quantitat necessària als autors del virus i van rebre un descrambler, però això és molt arriscat: és possible que no rebi res.
Què passa si els fitxers es xifraven a .xtbl? Les meves recomanacions són les següents (però difereixen de les de molts altres llocs temàtics, on, per exemple, recomanen que apagueu l’ordinador de la font d’alimentació immediatament o no elimineu el virus. Al meu entendre, això és innecessari i, fins i tot, fins i tot pot ser que perjudicial, però decidiu.):
- Si podeu, interrompeu el procés de xifrat eliminant les tasques corresponents a l’administrador de tasques, desconnectant l’ordinador d’Internet (pot ser una condició necessària per al xifrat)
- Recordeu o escriviu el codi que els atacants necessiten per enviar-los a una adreça de correu electrònic (no només en un fitxer de text de l’ordinador, per si de cas, de manera que tampoc no siga xifrat).
- Utilitzant Malwarebytes Antimalware, versió de prova de Kaspersky Internet Security o Dr.Web Cure It per eliminar el virus que xifra fitxers (totes les eines anteriors fan un bon treball amb això). T'aconsello que tornis a utilitzar el primer i el segon producte de la llista (encara que si teniu un antivirus instal·lat, instal·lar el segon "a la part superior" no és desitjable, ja que pot provocar problemes en el funcionament de l’ordinador.)
- Espereu que aparegui l'empresa antivirus. A l’avantguarda hi ha Kaspersky Lab.
- També podeu enviar un exemple d’un fitxer xifrat i el codi necessari [email protected], si teniu una còpia del mateix fitxer de forma no xifrada, envieu-lo també. En teoria, això pot accelerar l'aparició del decodificador.
Què no fer:
- Canvieu el nom dels fitxers xifrats, canvieu l’extensió i suprimiu-los si són importants per a vosaltres.
Probablement això és tot el que puc dir sobre els fitxers xifrats amb l’extensió .xtbl en aquest moment.
Els fitxers estan xifrats better_call_saul
El més recent virus de xifrat és Better Call Saul (Trojan-Ransom.Win32.Shade), que estableix l’extensió .better_call_saul per als fitxers xifrats. Encara no es pot descifrar aquests fitxers. Aquells usuaris que es van posar en contacte amb Kaspersky Lab i Dr.Web van rebre informació que no es pot fer en aquest moment (però proveu d'enviar-ho de totes maneres; més mostres de fitxers xifrats de desenvolupadors poden trobar una manera).
Si resulta que heu trobat una manera de desxifrar (és a dir, es va publicar en algun lloc, però no el vaig seguir), compartiu la informació als comentaris.
Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni
El següent troià que xifra fitxers i instal·la extensions d’aquesta llista:
- .locked
- .crypto
- .kraken
- .AES256 (no necessàriament aquest troià, hi ha altres que instal·len la mateixa extensió).
- .codercsu @ gmail_com
- .enc
- .oshit
- I altres.
Per desxifrar fitxers després de l’operació d’aquests virus, el lloc web de Kaspersky disposa d’una utilitat gratuïta, RakhniDecryptor, disponible a la pàgina oficial //support.kaspersky.com/viruses/disinfection/10556.
També hi ha una instrucció detallada sobre com utilitzar aquesta utilitat, que mostra com recuperar els fitxers xifrats, de la qual només eliminaria l’element "Suprimeix els fitxers xifrats després de desxifrar l’èxit" (encara que crec que tot estarà bé amb l’opció instal·lada).
Si teniu una llicència antivirus Dr.Web, podeu utilitzar el desxifrat gratuït d'aquesta empresa a l'adreça //support.drweb.com/new/free_unlocker/
Més variants del virus de xifrat
Més rarament, però també hi ha els troians següents, que xifren fitxers i requereixen diners per desxifrar. Els enllaços proporcionats no són només utilitats per a la devolució dels vostres fitxers, sinó també una descripció dels signes que us ajudaran a determinar que teniu aquest virus en particular. Tot i que, en general, la millor manera: amb l’ajut de Kaspersky Anti-Virus, escaneu el sistema, descobriu el nom del troià segons la classificació d’aquesta empresa i, a continuació, cerqueu la utilitat amb aquest nom.
- Trojan-Ransom.Win32.Rector és una utilitat gratuïta de RectorDecryptor per a desxifrar i utilitzar el manual disponible aquí: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist és un troià similar que mostra una finestra que us demana que envieu un SMS de pagament o contacteu per correu electrònic per obtenir instruccions sobre la descodificació. Les instruccions per recuperar fitxers xifrats i la utilitat XoristDecryptor són a la pàgina //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 utilitat
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i altres amb el mateix nom (en cercar a través de l'antivirus Dr.Web o la utilitat Cure It) i diferents números - proveu de cercar a Internet amb el nom del troià. Per a alguns d’ells hi ha utilitats de desencriptació de Dr.Web, també, si no trobeu l’eina, però hi ha una llicència Dr.Web, podeu utilitzar la pàgina oficial //support.drweb.com/new/free_unlocker/
- CryptoLocker: per desxifrar fitxers després d’executar CryptoLocker, podeu utilitzar el lloc //decryptcryptolocker.com: després d’enviar el fitxer de mostra, rebreu una clau i una utilitat per recuperar els vostres fitxers.
- En el lloc//bitbucket.org/jadacyrus/ransomwareremovalkit/descàrregues disponibles Ransomware Removal Kit: un gran arxiu amb informació sobre diferents tipus de criptògrafs i utilitats de desxifrat (en anglès)
Bé, a partir de les últimes notícies, Kaspersky Lab, juntament amb agents de policia holandesa, van desenvolupar Ransomware Decryptor (//noransom.kaspersky.com) per desxifrar fitxers després de CoinVault. No obstant això, aquest extorsionista encara no s'ha trobat a les nostres latituds.
Criptatges o ransomware d'antivirus
Amb la proliferació de Ransomware, molts fabricants d'eines antivirus i anti-malware van començar a llançar les seves solucions per evitar el xifratge a l'ordinador, entre les quals destaquen:- Malwarebytes Anti-ransomware
- Bit-Defender Anti-Ransomware
- WinAntiRansom
Però: aquests programes no estan dissenyats per desxifrar, sinó només per evitar el xifratge de fitxers importants al vostre ordinador. I, en general, em sembla que aquestes funcions s’implementaran en productes antivirus, en cas contrari s’obté una situació estranya: l’usuari ha de mantenir l’antivirus a l’ordinador, un mitjà per combatre l’AdWare i el malware, i ara també utilitat anti-ransomware. explotar.
Per cert, si de sobte resulta que tens alguna cosa a afegir (ja que, com no puc tenir temps de supervisar el que passa amb els mètodes de desxifrat), informeu en comentaris, aquesta informació serà útil per a altres usuaris que hagin trobat un problema.