Ако вашите документи, снимки и други файлове вече не се отварят, те са добавени в края на името им. [имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], .CrySis, .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, [имейл защитен]след това твой Компютърът е заразен с рансъмуер вирус. Веднъж попаднал на компютър, този зловреден софтуер криптира всички лични файлове с помощта на много силна хибридна система за криптиране AES + RSA.
Както и преди, целта на вируса Virus-encoder е да принуди потребителите да закупят програмата и ключа, необходими за дешифриране на техните собствени файлове. Вирусът изисква плащане на откупа в биткойни. Ако потребителят забави превода на пари, сумата може да се увеличи.
Как вирусът Virus-encoder ransomware прониква в компютър
Рансъмуер вирусът обикновено се разпространява по имейл. Писмото съдържа заразени документи. Такива писма се изпращат до огромна база данни от имейл адреси. Авторите на този вирус използват подвеждащи заглавки и съдържание на писма, опитвайки се да подмамят потребителя да отвори документ, прикачен към писмото. Някои писма информират за необходимостта от плащане на сметка, други предлагат да разгледате най-новата ценова листа, трети предлагат да отворите забавна снимка и т.н. Във всеки случай отварянето на прикачения файл ще доведе до заразяване на компютъра ви с ransomware вирус.
Какво е ransomware вирус Вирусен енкодер
Рансъмуер вирусът е злонамерена програма, която заразява модерни версии на операционни системи Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Този вирус използва хибриден режим на криптиране AES + RSA, който на практика елиминира възможността за отгатване на ключ за самодешифриране на файлове.
Когато заразява компютър, рансъмуер вирусът Virus-encoder използва системни директории, за да съхранява свои собствени файлове. За да стартира автоматично всеки път, когато включите компютъра, ransomware създава запис в системния регистър на Windows: секции HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Веднага след стартирането вирусът сканира всички налични дискове, включително мрежово и облачно хранилище, за да определи файловете, които ще бъдат криптирани. Този ransomware използва разширението на името на файла като начин за идентифициране на група файлове, които ще бъдат шифровани. Почти всички видове файлове са криптирани, включително такива често срещани като:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw
След като файлът е шифрован, в края на името му се добавя едно от следните разширения:
[имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], [имейл защитен], .CrySis, .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, [имейл защитен], .pizda@qq_com, .dyatel@qq_com, _ryp, .nalog@qq_com, .chifrator@qq_com, .gruzin@qq_com, .troyancoder@qq_com, .encrytped, .cry, .AES256, .enc или .hb15
След това вирусът създава файл, който съдържа инструкции за дешифриране на криптираните файлове. Пример за такава инструкция е по-долу:
внимание! Вашият компютър е бил атакуван от вирусен енкодер! Всички ваши файлове вече са криптирани с помощта на криптографски силен алгоритъм. Без оригиналния ключ възстановяването е невъзможно. За да получите декодера и оригиналния ключ, трябва да ни изпратите имейл на [имейл защитен]Нашата помощ не е безплатна, така че очаквайте да платите разумна цена за нашите услуги за дешифриране. Няма да се правят изключения. В реда за тема на вашия имейл включете идентификационния номер, който може да бъде намерен в името на файла на всички криптирани файлове. Във ваш интерес е да отговорите възможно най-скоро, за да гарантирате възстановяването на вашите файлове. P.S. само в случай, че не получите отговор от първия имейл адрес в рамките на 48 часа, моля, използвайте този алтернативен имейл адрес: [имейл защитен]
Рансъмуерът Virus-encoder активно използва тактики за сплашване, като дава на жертвата кратко описание на алгоритъма за криптиране и показва заплашително съобщение на работния плот. По този начин той се опитва да принуди потребителя на заразения компютър да плати без колебание откуп, за да се опита да си върне файловете.
Компютърът ми заразен ли е с вируса рансъмуер Virus-encoder?
Доста лесно е да определите дали вашият компютър е заразен с вируса Virus-encoder. Моля, имайте предвид, че всички ваши лични файлове, като документи, снимки, музика и др. отваряйте нормално в подходящите програми. Ако например при отваряне на документ Word съобщава, че файлът е неизвестен тип, най-вероятно документът е криптиран и компютърът е заразен. Разбира се, присъствието на работния плот на съобщение за криптиране на всички файлове или появата на диска на файлове с инструкции за дешифриране също е признак на инфекция.
Ако подозирате, че сте отворили имейл, заразен с ransomware вирус, но все още няма симптоми на инфекция, тогава не изключвайте и не рестартирайте компютъра си. Първо изключете интернета! След това следвайте стъпките, описани в това ръководство, раздел. Друг вариант е да изключите компютъра, да премахнете твърдия диск и да го тествате на друг компютър.
Как да декриптирате файлове, криптирани от вируса Virus-encoder?
Ако това бедствие се случи, тогава няма място за паника! Но трябва да знаете, че няма безплатен декриптор. Това се дължи на силните алгоритми за криптиране, използвани от този вирус. Това означава, че без частен ключ е почти невъзможно да се дешифрират файлове. Използването на метода за избор на ключ също не е опция, поради голямата дължина на ключа. Ето защо, за съжаление, само плащането на авторите на вируса на цялата поискана сума е единственият начин да се опитате да получите ключа за дешифриране.
Разбира се, няма абсолютно никаква гаранция, че след плащане авторите на вируса ще се свържат с вас и ще предоставят необходимия ключ за дешифриране на вашите файлове. Освен това трябва да разберете, че като плащате пари на разработчиците на вируси, вие сами ги насърчавате да създават нови вируси.
Но можете да опитате да възстановите вашите файлове с помощта на безплатни помощни програми: RakhniDecryptor, ShadowExplorer и PhotoRec. Инструкциите за тяхното използване са дадени в раздела
Как да премахнете вируса рансъмуер Virus-encoder?
Преди да започнете, трябва да знаете, че като започнете да премахвате вируса и опитате сами да възстановите файловете, вие блокирате възможността за дешифриране на файловете, като плащате на авторите на вируса сумата, която са поискали.
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могат да открият различни типове активни вируси на ransomware и лесно ще ги премахнат от вашия компютър, НО те не могат да възстановят криптирани файлове.
5.1. Премахнете ransomware вируса Virus-encoder с помощта на Kaspersky Virus Removal Tool
По подразбиране програмата е конфигурирана да възстановява всички типове файлове, но за да се ускори работата, се препоръчва да оставите само типовете файлове, които трябва да възстановите. Когато завършите избора си, щракнете върху OK.
В долната част на прозореца на програмата QPhotoRec намерете бутона Преглед и щракнете върху него. Трябва да изберете директорията, в която ще бъдат запазени възстановените файлове. Препоръчително е да използвате диск, който не съдържа криптирани файлове, които изискват възстановяване (можете да използвате флаш устройство или външно устройство).
За да започнете процедурата за търсене и възстановяване на оригинални копия на криптирани файлове, щракнете върху бутона Търсене. Този процес отнема доста време, така че бъдете търпеливи.
Когато търсенето приключи, щракнете върху бутона Изход. Сега отворете папката, която сте избрали за запазване на възстановените файлове.
Папката ще съдържа директории с имена recup_dir.1, recup_dir.2, recup_dir.3 и т.н. Колкото повече файлове открие програмата, толкова повече директории ще има. За да намерите нужните файлове, проверете всички директории една по една. За да улесните намирането на необходимия ви файл сред голям брой възстановени, използвайте вградената система за търсене на Windows (по съдържание на файла), а също така не забравяйте за функцията за сортиране на файлове в директории. Можете да изберете датата, на която файлът е бил модифициран като опция за сортиране, тъй като QPhotoRec се опитва да възстанови това свойство, когато възстановява файл.
Как да предпазите компютъра си от заразяване с рансъмуерния вирус Virus-encoder?
Повечето съвременни антивирусни програми вече имат вградена система за защита срещу проникване и активиране на криптиращи вируси. Ето защо, ако компютърът ви няма антивирусна програма, не забравяйте да я инсталирате. Можете да разберете как да го изберете, като прочетете това.
Освен това има специализирани програми за защита. Например, това е CryptoPrevent.
Изтеглете и стартирайте. Следвайте инструкциите на съветника за инсталиране. Когато инсталацията на програмата приключи, ще се покаже прозорец за избор на ниво на защита, както е показано в следващия пример.
Щракнете върху бутона Приложи, за да активирате защитата. Можете да научите повече за програмата CryptoPrevent и как да я използвате в този преглед, връзката към който е дадена по-долу.
Няколко последни думи
Като следвате тези инструкции, вашият компютър ще бъде изчистен от вируса на рансъмуер Virus-encoder. Ако имате въпроси или нужда от помощ, моля свържете се с нас.
Една от причините, които могат да затруднят възстановяването на криптирани данни, когато са заразени с ransomware вирус, е идентифицирането на шифратора. Ако потребителят може да идентифицира рансъмуера, той може да провери дали има безплатен начин за дешифриране на данните.
Още по темата: Работата на шифратор на примера на ransomware
Разберете кой рансъмуер е шифровал файловете
Има няколко начина за идентифициране на ransomware. Като се използва:
- самият ransomware вирус
- шифровано файлово разширение
- ID Ransomware онлайн услуга
- Помощни програми за рансъмуер на Bitdefender
С първия метод всичко е ясно. Много ransomware вируси, като The Dark Encryptor, не се крият. И идентифицирането на зловреден софтуер няма да е трудно.
Тъмният шифратор
Можете също да опитате да идентифицирате рансъмуера, като използвате разширението на шифрования файл. Просто го въведете в търсенето и вижте резултатите.
Но има ситуации, когато не е толкова лесно да се разбере кои файлове са шифровани от ransomware. В тези случаи ще ни помогнат следните два метода.
Идентифицирайте ransomware с помощта на ID Ransomware
Метод за идентифициране на рансъмуер с помощта на онлайн услугата ID Ransomware.
Идентифицирайте ransomware с помощта на Bitdefender Ransomware
Bitdefender Ransomware Recognition Tool е нова програма за Windows от Bitdefender, която помага за идентифициране на рансъмуер в случай на инфекция с рансъмуер.
Това е малка безплатна програма, която не се нуждае от инсталиране. Всичко, което се изисква, е да стартирате програмата, да приемете лиценза и да го използвате за идентифициране на ransomware. Можете да изтеглите инструмента за разпознаване на рансъмуер Bitdefender от официалния уебсайт чрез директна връзка.
Bitdefender не пише за съвместимост. В моя случай програмата работи на устройство с Windows 10 Pro. Моля, обърнете внимание, че инструментът за разпознаване на рансъмуер Bitdefender изисква интернет връзка.
Принципът на действие е същият като в предишния метод. В първото поле посочваме файла с текста на съобщението, а във второто пътя до криптираните файлове.
Доколкото разбирам, Bitdefender Ransomware Recognition Tool не изпраща самия файл на сървъра, а само анализира имената и разширенията.
Друга интересна функция на Bitdefender Ransomware Recognition Tool е, че може да се стартира от командния ред.
Не съм тествал инструмента за разпознаване на рансъмуер Bitdefender, така че бих приветствал всякакви коментари от хора, които са го изпробвали в действие.
Това е всичко. Надявам се, че нямате нужда от тези инструкции, но ако срещнете ransomware, ще знаете как да го идентифицирате.
Преди около седмица или две в интернет се появи друг хак от съвременните производители на вируси, който криптира всички файлове на потребителя. Още веднъж ще разгледам въпроса как да излекувам компютър след ransomware вирус encrypted000007и възстановяване на криптирани файлове. В този случай не се е появило нищо ново или уникално, просто модификация на предишната версия.
Гарантирано декриптиране на файлове след ransomware вирус - dr-shifro.ru. Подробности за работата и схемата на взаимодействие с клиента са по-долу в моята статия или на уебсайта в раздел „Процедура на работа“.
Описание на вируса CRYPTED000007 рансъмуер
Шифровачът CRYPTED000007 не се различава фундаментално от своите предшественици. Работи почти по същия начин. Но все пак има няколко нюанса, които го отличават. Ще ви разкажа за всичко по ред.
Пристига, както и неговите аналози, по пощата. Използват се техники за социално инженерство, за да се гарантира, че потребителят ще се заинтересува от писмото и ще го отвори. В моя случай писмото говореше за някакъв съд и важна информация за случая в прикачения файл. След като стартира прикачения файл, потребителят отваря Word документ с извлечение от Московския арбитражен съд.
Успоредно с отварянето на документа започва криптирането на файла. Информационно съобщение от системата за контрол на потребителските акаунти на Windows започва постоянно да изскача.
Ако се съгласите с предложението, тогава резервните копия на файловете в скритите копия на Windows ще бъдат изтрити и възстановяването на информация ще бъде много трудно. Очевидно е, че не можете да се съгласите с предложението при никакви обстоятелства. В този шифратор тези заявки се появяват постоянно, една след друга и не спират, принуждавайки потребителя да се съгласи и да изтрие резервните копия. Това е основната разлика от предишните модификации на крипторите. Никога не съм срещал искания за изтриване на сенчести копия без спиране. Обикновено след 5-10 предложения спираха.
Веднага ще дам препоръка за в бъдеще. Много често хората деактивират предупрежденията за контрол на потребителските акаунти. Няма нужда да правите това. Този механизъм наистина може да помогне в устояването на вирусите. Вторият очевиден съвет е да не работите постоянно под администраторския акаунт на компютъра, освен ако няма обективна необходимост от това. В този случай вирусът няма да има възможност да причини голяма вреда. Ще имате по-голям шанс да му устоите.
Но дори и винаги да сте отговаряли отрицателно на исканията на ransomware, всичките ви данни вече са криптирани. След като процесът на криптиране приключи, ще видите картина на вашия работен плот.
В същото време на вашия работен плот ще има много текстови файлове с едно и също съдържание.
Вашите файлове са шифровани. За да дешифрирате ux, трябва да изпратите кода: 329D54752553ED978F94|0 на имейл адреса [имейл защитен]. След това ще получите всички необходими инструкции. Опитите за самостоятелно дешифриране няма да доведат до нищо друго освен до неотменим брой информация. Ако все пак искате да опитате, първо направете резервни копия на файловете, в противен случай, в случай на промяна, дешифрирането ще стане невъзможно при никакви обстоятелства. Ако не сте получили известие на горепосочения адрес до 48 часа (само в този случай!), използвайте формата за контакт. Това може да стане по два начина: 1) Изтеглете и инсталирайте Tor Browser, като използвате връзката: https://www.torproject.org/download/download-easy.html.en В адреса на Tor Browser въведете адреса: http: //cryptsen7fo43rr6 .onion/ и натиснете Enter. Ще се зареди страницата с формата за контакт. 2) Във всеки браузър отидете на един от адресите: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Всички важни файлове на вашия компютър са криптирани. За да дешифрирате файловете, трябва да изпратите следния код: 329D54752553ED978F94|0 на имейл адрес [имейл защитен]. След това ще получите всички необходими инструкции. Всички опити за декриптиране сами ще доведат само до безвъзвратна загуба на вашите данни. Ако все пак искате да опитате да ги декриптирате сами, моля, първо направете резервно копие, защото декриптирането ще стане невъзможно в случай на промени във файловете. Ако не сте получили отговор от горепосочения имейл повече от 48 часа (и само в този случай!), използвайте формата за обратна връзка. Можете да го направите по два начина: 1) Изтеглете Tor Browser от тук: https://www.torproject.org/download/download-easy.html.en Инсталирайте го и въведете следния адрес в адресната лента: http:/ /cryptsen7fo43rr6.onion/ Натиснете Enter и след това ще се зареди страницата с формата за обратна връзка. 2) Отидете на един от следните адреси във всеки браузър: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/
Пощенският адрес може да се промени. Попаднах и на следните адреси:
Адресите се актуализират постоянно, така че могат да бъдат напълно различни.
Веднага щом откриете, че вашите файлове са криптирани, незабавно изключете компютъра си. Това трябва да се направи, за да се прекъсне процеса на криптиране както на локалния компютър, така и на мрежовите устройства. Вирусът за криптиране може да криптира цялата информация, до която може да достигне, включително на мрежови устройства. Но ако там има голямо количество информация, това ще му отнеме значително време. Понякога, дори след няколко часа, рансъмуерът не е имал време да шифрова всичко на мрежово устройство с капацитет от приблизително 100 гигабайта.
След това трябва внимателно да помислите как да действате. Ако имате нужда от информация на вашия компютър на всяка цена и нямате резервни копия, тогава е по-добре в този момент да се обърнете към специалисти. Не непременно за пари на някои компании. Просто ви трябва човек, който е добре запознат с информационните системи. Необходимо е да се оцени мащабът на бедствието, да се премахне вирусът и да се събере цялата налична информация за ситуацията, за да се разбере как да се процедира.
Неправилните действия на този етап могат значително да усложнят процеса на дешифриране или възстановяване на файлове. В най-лошия случай могат да го направят невъзможно. Така че отделете време, бъдете внимателни и последователни.
Как вирусът CRYPTED000007 ransomware криптира файлове
След като вирусът бъде стартиран и приключи дейността си, всички полезни файлове ще бъдат криптирани, преименувани от разширение.crypted000007. Освен това не само разширението на файла ще бъде заменено, но и името на файла, така че няма да знаете точно какъв вид файлове сте имали, ако не си спомняте. Ще изглежда нещо подобно.
В такава ситуация ще бъде трудно да се оцени мащабът на трагедията, тъй като няма да можете да си спомните напълно какво сте имали в различни папки. Това беше направено специално, за да обърка хората и да ги насърчи да плащат за дешифриране на файлове.
И ако вашите мрежови папки са криптирани и няма пълни резервни копия, тогава това може напълно да спре работата на цялата организация. Ще ви отнеме известно време, за да разберете какво в крайна сметка е загубено, за да започнете възстановяването.
Как да лекувате компютъра си и да премахнете CRYPTED000007 ransomware
Вирусът CRYPTED000007 вече е на вашия компютър. Първият и най-важен въпрос е как да дезинфекцираме компютър и как да премахнем вирус от него, за да предотвратим по-нататъшно криптиране, ако то все още не е завършено. Бих искал незабавно да обърна внимание на факта, че след като сами започнете да извършвате някои действия с компютъра си, шансовете за дешифриране на данните намаляват. Ако трябва да възстановите файлове на всяка цена, не пипайте компютъра си, а незабавно се свържете с професионалисти. По-долу ще говоря за тях и ще дам връзка към сайта и ще опиша как работят.
Междувременно ще продължим да лекуваме компютъра самостоятелно и да премахваме вируса. Традиционно ransomware се премахва лесно от компютър, тъй като вирусът няма задачата да остане на компютъра на всяка цена. След като напълно криптира файловете, за него е още по-изгодно да се изтрие и да изчезне, така че да е по-трудно разследването на инцидента и дешифрирането на файловете.
Трудно е да се опише как ръчно да се премахне вирус, въпреки че съм се опитвал да го направя преди, но виждам, че най-често е безсмислено. Имената на файловете и пътищата за поставяне на вируси непрекъснато се променят. Това, което видях, вече не е актуално след седмица-две. Обикновено вирусите се изпращат по пощата на вълни и всеки път има нова модификация, която все още не е открита от антивирусите. Помагат универсалните инструменти, които проверяват стартирането и откриват подозрителна активност в системните папки.
За да премахнете вируса CRYPTED000007, можете да използвате следните програми:
- Kaspersky Virus Removal Tool - помощна програма от Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
- Dr.Web CureIt! - подобен продукт от друга мрежа http://free.drweb.ru/cureit.
- Ако първите две помощни програми не помогнат, опитайте MALWAREBYTES 3.0 - https://ru.malwarebytes.com.
Най-вероятно един от тези продукти ще изчисти компютъра ви от рансъмуера CRYPTED000007. Ако изведнъж се случи, че те не помогнат, опитайте да премахнете вируса ръчно. Дадох пример за метода на премахване и можете да го видите там. Накратко, стъпка по стъпка, трябва да действате така:
- Разглеждаме списъка с процеси, след като добавихме няколко допълнителни колони към диспечера на задачите.
- Намираме вирусния процес, отваряме папката, в която се намира, и го изтриваме.
- Ние изчистваме споменаването на вирусния процес по име на файл в регистъра.
- Рестартираме и се уверяваме, че вирусът CRYPTED000007 не е в списъка с изпълнявани процеси.
Къде да изтеглите дешифратора CRYPTED000007
Въпросът за прост и надежден декриптатор се появява на първо място, когато става дума за вирус на ransomware. Първото нещо, което препоръчвам е да използвате услугата https://www.nomoreransom.org. Ами ако имате късмет и те имат декриптор за вашата версия на криптора CRYPTED000007. Веднага ще кажа, че нямате много шансове, но опитът не е мъчение. На главната страница щракнете върху Да:
След това изтеглете няколко криптирани файла и щракнете върху Go! Разбирам:
По време на писането на статията нямаше дешифратор на сайта.
Може би ще имате повече късмет. Можете също да видите списъка с декриптори за изтегляне на отделна страница - https://www.nomoreransom.org/decryption-tools.html. Може би там има нещо полезно. Когато вирусът е съвсем пресен, има малък шанс това да се случи, но след време може да се появи нещо. Има примери, когато в мрежата се появиха декриптори за някои модификации на криптори. И тези примери са на посочената страница.
Не знам къде другаде можете да намерите декодер. Малко вероятно е той действително да съществува, като се вземат предвид особеностите на работата на съвременните криптори. Само авторите на вируса могат да имат пълноценен декриптор.
Как да декриптирате и възстановите файлове след вируса CRYPTED000007
Какво да направите, когато вирусът CRYPTED000007 е шифровал вашите файлове? Техническата реализация на криптирането не позволява декриптиране на файлове без ключ или декриптор, с които разполага само авторът на криптора. Може би има друг начин да го получа, но нямам тази информация. Можем само да опитаме да възстановим файлове с помощта на импровизирани методи. Те включват:
- Инструмент сенчести копияпрозорци.
- Програми за възстановяване на изтрити данни
Първо, нека проверим дали имаме активирани сенчести копия. Този инструмент работи по подразбиране в Windows 7 и по-нови версии, освен ако не го деактивирате ръчно. За да проверите, отворете свойствата на компютъра и отидете в секцията за защита на системата.
Ако по време на заразяването не сте потвърдили UAC заявката за изтриване на файлове в скритите копия, тогава някои данни трябва да останат там. Говорих за това искане по-подробно в началото на историята, когато говорих за това как работи вирусът.
За лесно възстановяване на файлове от сенчести копия предлагам да използвате безплатна програма за това - ShadowExplorer. Изтеглете архива, разопаковайте програмата и я стартирайте.
В горния ляв ъгъл ще се отвори най-новото копие на файловете и корена на диск C, можете да изберете резервно копие, ако имате няколко от тях. Проверете различни копия за необходимите файлове. Сравнете по дата за най-новата версия. В моя пример по-долу намерих 2 файла на моя работен плот от преди три месеца, когато бяха последно редактирани.
Успях да възстановя тези файлове. За целта ги избрах, щракнах с десния бутон, избрах Експортиране и посочих папката, където да ги възстановя.
Можете да възстановите папки веднага, като използвате същия принцип. Ако имате работещи сенчести копия и не сте ги изтрили, имате добри шансове да възстановите всички или почти всички файлове, криптирани от вируса. Може би някои от тях ще бъдат по-стара версия, отколкото бихме искали, но въпреки това е по-добре от нищо.
Ако по някаква причина нямате скрити копия на вашите файлове, единственият ви шанс да получите поне нещо от криптираните файлове е да ги възстановите с помощта на инструменти за възстановяване на изтрити файлове. За да направите това, предлагам да използвате безплатната програма Photorec.
Стартирайте програмата и изберете диска, на който ще възстановите файловете. Стартирането на графичната версия на програмата изпълнява файла qphotorec_win.exe. Трябва да изберете папка, в която ще бъдат поставени намерените файлове. По-добре е тази папка да не се намира на същото устройство, където търсим. Свържете флаш устройство или външен твърд диск, за да направите това.
Процесът на търсене ще отнеме много време. В края ще видите статистика. Сега можете да отидете в посочената по-рано папка и да видите какво се намира там. Най-вероятно ще има много файлове и повечето от тях или ще са повредени, или ще са някакви системни и безполезни файлове. Но въпреки това някои полезни файлове могат да бъдат намерени в този списък. Тук няма гаранции, каквото намерите, това ще намерите. Изображенията обикновено се възстановяват най-добре.
Ако резултатът не ви удовлетворява, тогава има и програми за възстановяване на изтрити файлове. По-долу е даден списък с програми, които обикновено използвам, когато трябва да възстановя максималния брой файлове:
- R.saver
- Възстановяване на файлове Starus
- JPEG Recovery Pro
- Active File Recovery Professional
Тези програми не са безплатни, така че няма да давам връзки. Ако наистина искате, можете да ги намерите сами в интернет.
Целият процес на възстановяване на файлове е показан подробно във видеото в самия край на статията.
Kaspersky, eset nod32 и други в борбата срещу шифратора Filecoder.ED
Популярните антивируси откриват рансъмуера CRYPTED000007 като Filecoder.EDи тогава може да има някакво друго обозначение. Прегледах големите антивирусни форуми и не видях нищо полезно там. За съжаление, както обикновено, антивирусният софтуер се оказа неподготвен за нахлуването на нова вълна от ransomware. Ето публикация от форума на Kaspersky.
Антивирусите традиционно пропускат новите модификации на рансъмуер троянски коне. Въпреки това препоръчвам да ги използвате. Ако имате късмет и получите имейл с ransomware не в първата вълна от инфекции, а малко по-късно, има шанс антивирусът да ви помогне. Всички те работят една крачка зад нападателите. Излиза нова версия на ransomware, но антивирусите не реагират на нея. Веднага щом се натрупа определено количество материал за изследване на нов вирус, антивирусният софтуер пуска актуализация и започва да реагира на нея.
Не разбирам какво пречи на антивирусите да реагират незабавно на всеки процес на криптиране в системата. Може би има някакъв технически нюанс по тази тема, който не ни позволява да реагираме адекватно и да предотвратим криптиране на потребителски файлове. Струва ми се, че би било възможно поне да се покаже предупреждение за факта, че някой криптира вашите файлове, и да предложите да спрете процеса.
Къде да отида за гарантирано дешифриране
Имах възможността да се запозная с една компания, която всъщност дешифрира данни след работата на различни вируси за криптиране, включително CRYPTED000007. Техният адрес е http://www.dr-shifro.ru. Плащане само след пълно дешифриране и Ваша верификация. Ето една приблизителна схема на работа:
- Фирмен специалист идва във вашия офис или дом и подписва с вас договор, в който се определя цената на работата.
- Стартира дешифратора и дешифрира всички файлове.
- Уверявате се, че всички файлове са отворени и подписвате приемо-предавателния акт за свършена работа.
- Плащането се извършва само при успешни резултати от дешифрирането.
Честно казано, не знам как го правят, но не рискувате нищо. Заплащане само след демонстрация на работата на декодера. Моля, напишете отзив за вашия опит с тази компания.
Методи за защита срещу вируса CRYPTED000007
Как да се предпазите от ransomware и да избегнете материални и морални щети? Има няколко прости и ефективни съвета:
- Резервно копие! Архивиране на всички важни данни. И не просто резервно копие, а резервно копие, до което няма постоянен достъп. В противен случай вирусът може да зарази както вашите документи, така и резервни копия.
- Лицензирана антивирусна програма. Въпреки че не дават 100% гаранция, те увеличават шансовете за избягване на криптиране. Най-често не са готови за нови версии на шифратора, но след 3-4 дни започват да реагират. Това увеличава шансовете ви да избегнете заразяване, ако не сте били включени в първата вълна на разпространение на нова модификация на ransomware.
- Не отваряйте подозрителни прикачени файлове в пощата. Тук няма какво да се коментира. Всички познати ми рансъмуери достигнаха до потребителите по имейл. Освен това всеки път се измислят нови трикове за измама на жертвата.
- Не отваряйте необмислено връзки, изпратени до вас от вашите приятели чрез социални мрежи или месинджъри. Това е и начинът, по който понякога се разпространяват вирусите.
- Разрешаване на прозорци за показване на файлови разширения. Как да направите това е лесно да се намери в интернет. Това ще ви позволи да забележите файловото разширение на вируса. Най-често ще бъде .exe, .vbs, .src. В ежедневната си работа с документи е малко вероятно да срещнете подобни файлови разширения.
Опитах се да допълня това, което вече съм писал във всяка статия за вируса ransomware. Междувременно се сбогувам. Ще се радвам да получа полезни коментари за статията и вируса CRYPTED000007 ransomware като цяло.
Видео за дешифриране и възстановяване на файлове
Ето пример за предишна модификация на вируса, но видеото е напълно подходящо за CRYPTED000007.