Není to tak dávno, co se v síti objevil nový virus založený na programu pro šifrování dat. Také označovaný jako starý virus Shapoklyak. Specializuje se na všechny soubory, které mohou mít komerční hodnotu, a zašifruje je do rozšíření jako cbf, trezor a xtbl. Po zašifrování virus požádá o převod určitého množství finančních prostředků do bitcoinu, přičemž na oplátku nabízí dešifrovací nástroj a léčbu. I když pošlete peníze, nedostanete nic zpět a stanete se další obětí podvodu. Specialisté společnosti Pozitiv jsou připraveni vám pomoci dešifrovat váš . K dešifrování potřebujeme soubor s názvem VAULT.KEY, který ponechal virus na infikovaném počítači.
Jak vám můžeme pomoci?
- Zavolejte nám na číslo 8 800 775 14 20
- Pošleme vám průvodce, pokud jste daleko od Petrohradu, to znamená, že je možné se vzdáleně připojit k počítači přes TeamViewer
- Infikované soubory bereme k analýze
- Sepíšeme dekodér a dohodneme způsoby platby
- Způsob platby. Je možná hotovostní i bezhotovostní platba
S dešifrováním byste neměli otálet, protože virus xtbl, vault je nebezpečný, protože pokud nebude vyléčen v době stanovené hackery, smaže soubory a možná naruší systém.
V tomto článku se pokusíme podrobně zvážit příčiny takového viru v počítači a možné způsoby léčby.
Jak virus vstupuje
Na základě pozorování je nejběžnější metodou pronikání ransomwaru do osobního počítače e-mail. Jménem jedné z bank, jejímž jste klientem, obdržíte dopis s informací o dluhu nebo náhlé kontrole registračních údajů v důsledku selhání systému. Poměrně často se také objevují dopisy od údajně rozhodčího soudu nebo soudních exekutorů, kde jste také informováni o dluhu. Všechny zprávy tohoto typu budou mít jistě přílohy ve formě souboru: „act of something.doc.exe“, „Děkovný dopis.hta“ nebo „Registrační data.cab“ atd. Po spuštění takových příloh se spustí proces šifrování. Virus šifruje všechny provádějící soubory (dokumenty, fotografie, videa, archivy atd.).
Po sbalení souborů nás virus obvykle informuje o zašifrování souborů a také o doporučeních k jejich dešifrování. Doporučení znamenají způsoby platby útočníkovi. Na jednotce C může být vytvořen soubor s názvem: HOW_DESCRYPT_FILES.txt nebo se na ploše může objevit obrázek oznamující zašifrování souborů.
Naprostá většina takových virů Shapoklyak nežije déle než 3-5 dní. První dva dny jsou určeny pro vyhledávání obětí a pro jejich vložení do antivirové databáze. Útočník poté změní kód viru a spustí novou modifikaci. Tento cyklus se neustále opakuje.
Léčba a eliminace viru
Ošetřete virus shapoklyak staré ženy nesmírně obtížné, ale možné. Bohužel dnes antivirové společnosti neposkytují plně funkční nástroj k odstranění následků nelítostného trojského koně. Například společnost Kaspersky Lab je schopna poskytnout dešifrovací nástroj. Ani on ale není schopen ve všech případech pomoci. Stojí za zmínku, že takový dekodér nebyl schopen dešifrovat báze pro verzi 1C 8 zašifrovanou virem.
Naše společnost důrazně doporučuje, abyste se s takovým problémem nezabývali sami. Uživateli může hrozit, že jednou provždy ztratí potřebná data. Samoodstranění viru a jeho součástí přispívá ke komplikaci dalšího dešifrování souborů. Naši specialisté kompetentně vyberou dešifrovací nástroj individuálně pro každý typ takového viru a jsou schopni pomoci obnovit zašifrované dokumenty. Náklady na obnovu budou navíc mnohem levnější než ty, které si útočníci vymohli.
Poslední měsíc byl pro kybernetický ransomware poměrně produktivní, protože byla vytvořena celá řada nových „řešení“ pro šifrování uživatelských dat a následné požadování výkupného. Většina z nich je určena pro západní a asijské trhy (solventnější oběti), ale i na trhu SNS antivirové laboratoře sledují růst počtu útoků a infikovaných PC zašifrovanými daty.
Dále si povíme o nejběžnějších verzích ransomwaru a možných způsobech dešifrování vašich dat (alespoň částečně). To vám připomínáme PLATBA ŘEMESLNÍKŮM NEZARUČUJE, ŽE VÁM ZAŠLUJÍ DEŠIFROVACÍ KLÍČ. Evidujeme desítky případů, kdy po zaplacení „hackeři“ prostě přestali komunikovat.
V listopadu 2016 jsme vybrali nejběžnější ransomware. Některé z nich jsou různé modifikace dřívějšího malwaru.
- Trojan.encoder.567- šifruje databáze 1C. Infikuje PC přes email. Změní přípony souborů na náhodné (.qqr. .xbz. .fgh..). Chcete-li kontaktovat útočníky e-mailem: [e-mail chráněný] .
- Trojan.Encoder.94- Změní přípony souborů na náhodné. Komunikovat s vetřelci poštou [e-mail chráněný]
- Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae ( [e-mail chráněný], [e-mail chráněný], e0cr2 [e-mail chráněný], [e-mail chráněný], 30cr1ptss77 @gma4l.com atd.) Kromě šifrování souborů je někdy umístí do archivu chráněného heslem.
- Kryptograf cryakl ( [e-mail chráněný] 1.2.0.0) – změní přípony šifrovaných souborů na .cbf. Ke komunikaci slouží pošta. [e-mail chráněný]
- TR/Ransom.Xorist.EJ a Trojan-Ransom.Win32.Xorist.ln- šifrovat databáze 1C a některé další typy databází.
- HEUR:Trojan.Win32.Generic různé verze - komunikace s vetřelci prostřednictvím pošty [e-mail chráněný], [e-mail chráněný] nebo [e-mail chráněný] . Změní přípony souborů na .errorfi, .erfile nebo .errorfiles. Šifruje více než 40 typů souborů, včetně databází a archivů.
- HEUR:Trojan.Script.Agent.gen nebo .kukaracha protože přejmenovává přípony souborů s takovým zvláštním názvem. [e-mail chráněný] kontaktovat hackery.
- Trojan.Win32.Dimnie.gh– známější jako (změní přípony souborů na .neutrino). Komunikace přes mail [e-mail chráněný]
- [e-mail chráněný] - jeden z klonů dříve známého ransomwaru, který používá algoritmus RSA-2048 odolný proti dešifrování
- .dosfile (dosfile.exe)– komunikace s narušiteli prostřednictvím pošty [e-mail chráněný] . Velmi běžný ransomware, který nelze dešifrovat. Šifruje dokumenty a xls tabulky během několika minut.
- Trojan.Encoder.6674 (ISHTAR) je další možnost. Méně časté v SNS.
- Krypton- (pro komunikaci s vetřelci [e-mail chráněný], [e-mail chráněný] ). Změní přípony souborů na .cpt
- .filezx- varianta šifrovače, která je běžná v Bělorusku.
- [e-mail chráněný], [e-mail chráněný] - šifruje databáze 1C a některé další typy souborů
- [e-mail chráněný] je jednou z variant malwaru distribuovaného prostřednictvím e-mailových příloh.
- .matice- málo rozšířený šifrovač.
- Criptt- starý kryptograf, který přežil několik úprav. Šifruje především soubory fotografií a videí a také dokumenty. Přípona souboru .Criptt.
To nejsou všechny ransomware, které se objevily v listopadu 2016. Vybrali jsme ty nejčastější. Nutno podotknout, že útočníci neustále vymýšlejí nové taktiky a způsoby infekce. Například spustitelný soubor viru je maskován jako žaloba nebo oznámení finančního úřadu. A maskují se docela umně, soudě podle počtu infikovaných PC.
Útočníci se navíc často uchylují k přímému vydírání, které uživatele nutí platit 24–48 hodin (někdy i 8 hodin!).
Hrozivá varianta o nemožnosti dešifrování souborů v případě nezaplacení
Možnosti zpráv z nejběžnějšího ransomwaru:
Náklady na dešifrování si můžete vyžádat napsáním dopisu na adresu: [e-mail chráněný]
V PŘEDMĚTU dopisu uveďte své ID: 9309624421
Písmena bez ID jsou ignorována.
Žádáme vás, abyste se nepokoušeli dešifrovat soubory pomocí nástrojů třetích stran.
Můžete je úplně zničit a nepomůže ani originální dešifrovač.
Dešifrovač si můžete zakoupit do 18.11.2016
Žádosti jsou zpracovávány automatickým systémem.Vaše soubory byly zašifrovány.
Chcete-li dešifrovat ux, musíte dešifrovat kód:
1597D5599D6549465E7F|0
na emailovou adresu [e-mail chráněný].
Dále obdržíte všechny potřebné pokyny.
Pokus o dešifrování sami k ničemu nepovede, kromě nenávratné ztráty informací.
Pokud se stále chcete šťourat, musíte nejprve vytvořit záložní kopie souborů, jinak v případech
jejich změny, dešifrování nebude za žádných okolností možné.
Pokud neobdržíte odpověď na výše uvedenou adresu do 48 hodin (a pouze v tomto případě!),
použijte formulář zpětné vazby. To lze provést dvěma způsoby:
1) Stáhněte a nainstalujte Tor Browser z odkazu: https://www.torproject.org/download/...d-easy.html.en
Do adresního řádku prohlížeče Tor zadejte adresu:
http://cryptsen7fo43rr6.onion/
u stiskněte Enter. Stránka s formulářem zpětné vazby se načítá.
2) V libovolném prohlížeči přejděte na jednu z adres:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/POZOR, VAŠE SOUBORY, DOKUMENTY, FOTOGRAFIE, ARCHIVY A DALŠÍ INFORMACE JSOU ŠIFROVANÉ!!!
================================================== ================================
PRO DEŠIFROVÁNÍ SOUBORŮ NÁM TŘEBA NAPIŠTE E-MAILEM
[e-mail chráněný] nebo (pokud jste neobdrželi odpověď déle než jeden den) zde [e-mail chráněný]
========
POKUS O DEŠIFROVÁNÍ SOUBORŮ BEZ ORIGINÁLNÍHO KLÍČE ZPŮSOBÍ POŠKOZENÍ SOUBORŮ!!!
TAKÉ JE MOŽNÉ NEJDÉLE 96 HODIN OD ŠIFROVÁNÍ VAŠICH SOUBORŮ !!!
================================================== ==================================
ANI JIŽ REINSTALACE WINDOWS, ANI ANTIVIROVÉ DEŠIFROVÁNÍ VAŠICH SOUBORŮ!!!
================================================== ==================================
PRO ZÁRUKU DEŠIFROVÁNÍ MŮŽEME DEŠIFROVAT JEDEN SOUBOR, KTERÝ NÁM ZAŠLETE, A MY ZAŠLEME
TY ZPĚT!!!
Odstraňte ransomware pomocí automatického čističe
Extrémně účinná metoda řešení malwaru obecně a ransomwaru zvláště. Použití osvědčeného ochranného komplexu zaručuje důkladnost detekce jakýchkoli virových komponent, jejich úplné odstranění jedním kliknutím. Upozorňujeme, že mluvíme o dvou různých procesech: odinstalování infekce a obnovení souborů na vašem PC. Hrozbu je však určitě potřeba odstranit, protože existují informace o zavedení dalších počítačových trojských koní s její pomocí.
- . Po spuštění softwaru klikněte na tlačítko Spusťte kontrolu počítače(Začni skenovat).
- Nainstalovaný software poskytne zprávu o hrozbách zjištěných během kontroly. Chcete-li odstranit všechny nalezené hrozby, vyberte možnost Opravit nedostatky(Odstranit hrozby). Dotyčný malware bude zcela odstraněn.
Obnovte přístup k zašifrovaným souborům s různými příponami
Jak bylo uvedeno, ransomware uzamkne soubory pomocí silného šifrovacího algoritmu, takže zašifrovaná data nelze mávnutím kouzelného proutku obnovit – pokud nepočítáte s platbou neslýchaného výkupného. Některé metody se ale skutečně mohou stát záchranou, která vám pomůže obnovit důležitá data. Níže se s nimi můžete seznámit.
Decryptor - program pro automatickou obnovu souborů
Je známá velmi neobvyklá okolnost. Tato infekce vymaže původní soubory v nezašifrované podobě. Vyděračský proces šifrování se tak zaměřuje na jejich kopie. To umožňuje softwarovým nástrojům, jako je obnova smazaných objektů, i když je zaručena spolehlivost jejich odstranění. Důrazně se doporučuje uchýlit se k postupu obnovy souborů, jehož účinnost byla potvrzena více než jednou. 
Stínové kopie svazku
Tento přístup je založen na postupu zálohování souborů v systému Windows, který se opakuje v každém bodu obnovení. Důležitá podmínka pro fungování této metody: před infekcí musí být aktivována funkce „Obnovení systému“. Jakékoli změny provedené v souboru po bodu obnovení se však v obnovené verzi souboru neprojeví.
Záloha
Toto je nejlepší ze všech nevýkupních metod. Pokud byl postup pro zálohování dat na externí server použit předtím, než ransomware zaútočil na váš počítač, k obnově zašifrovaných souborů stačí vstoupit do příslušného rozhraní, vybrat potřebné soubory a spustit mechanismus obnovy dat ze zálohy. Před provedením operace se musíte ujistit, že ransomware je zcela odstraněn.
Zkontrolujte možnou přítomnost zbytkových součástí viru ransomware
Ruční čištění je plné rizika chybějících částí ransomwaru, které se mohou vyhnout odstranění ve formě skrytých objektů operačního systému nebo položek registru. Chcete-li eliminovat riziko částečného zachování jednotlivých škodlivých prvků, prohledejte počítač pomocí spolehlivého univerzálního antivirového komplexu.