Virus enkripsi cara menyembuhkan dan mendekripsi bantuan perawatan file. Apa yang harus dilakukan jika file dienkripsi oleh virus

Belum lama ini muncul di Internet virus baru, bekerja berdasarkan program enkripsi data. Disebut juga virus Shapoklyak wanita tua. Ia berspesialisasi dalam semua file yang mungkin memiliki nilai komersial dan mengenkripsinya menjadi ekstensi seperti cbf, brankas, dan xtbl. Setelah enkripsi, virus meminta untuk mentransfer sejumlah dana ke Bitcoin, dan sebagai imbalannya menawarkan decryptor dan pengobatan. Bahkan jika Anda mengirim uang, Anda tidak menerima imbalan apa pun dan menjadi korban penipuan lainnya. Spesialis perusahaan yang positif siap membantu Anda mendekripsi file Anda. Untuk mendekripsi, kita memerlukan file bernama VAULT.KEY, yang ditinggalkan virus di komputer yang terinfeksi.

Apa yang bisa kami bantu?

  • Hubungi kami di 8 800 775 14 20
  • Kami mengirimkan spesialis kepada Anda jika Anda jauh dari St. Petersburg, maka dimungkinkan untuk terhubung ke komputer Anda dari jarak jauh melalui TeamViewer
  • Kami mengambil file yang terinfeksi untuk dianalisis
  • Kami menulis decryptor dan menyetujui metode pembayaran
  • Pembayaran. Pembayaran tunai dan non-tunai dimungkinkan

Anda tidak boleh menunda dekripsi, karena virus xtbl, vault berbahaya karena jika tidak disembuhkan dalam waktu yang ditentukan oleh peretas, ia akan menghapus file dan mungkin merusak sistem.

Pada artikel ini kami akan mencoba mempertimbangkan secara rinci penyebab virus tersebut di komputer Anda dan kemungkinan cara untuk mengobatinya.

Metode masuknya virus

Berdasarkan pengamatan, paling sering metode penetrasi seorang kriptografer ke dalam komputer pribadi adalah email. Sebuah surat datang atas nama salah satu bank tempat Anda menjadi kliennya, memberitahukan Anda tentang hutang atau pemeriksaan mendadak atas data pendaftaran Anda sebagai akibat dari kegagalan sistem. Juga cukup umum untuk menemukan surat-surat dari pengadilan arbitrase atau juru sita, di mana Anda juga diberitahu tentang hutang tersebut. Semua pesan jenis ini pasti memiliki lampiran berupa file: “act of Something.doc.exe”, “Letter of thanks.hta” atau “Registration data.cab”, dll. Setelah meluncurkan lampiran tersebut, proses enkripsi dimulai. Virus mengenkripsi semua file yang dapat dieksekusi (dokumen, foto, video, arsip, dll.).


Setelah file dikemas, virus biasanya memberi tahu kita tentang enkripsi file, serta rekomendasi untuk mendekripsinya. Rekomendasi mengacu pada metode pembayaran kepada penyerang. Sebuah file mungkin dibuat di drive C bernama: HOW_DENCRYPT_FILES.txt atau gambar mungkin muncul di desktop yang memberi tahu Anda bahwa file tersebut telah dienkripsi.

Sebagian besar virus Shapoklyak hidup tidak lebih dari 3-5 hari. Dua hari pertama disediakan untuk mencari korban dan menambahkannya ke database antivirus. Penyerang kemudian memodifikasi kode virus dan meluncurkan modifikasi baru. Siklus ini berulang terus menerus.

Pengobatan dan pemberantasan virus

Obati virus shapoklyak wanita tua sangat sulit, tetapi mungkin. Sayangnya, saat ini perusahaan antivirus tidak menyediakan alat yang berfungsi penuh untuk menghilangkan konsekuensi dari Trojan yang kejam. Misalnya, Kaspersky Lab dapat menyediakan decryptor. Tapi bahkan dia tidak bisa membantu dalam semua kasus. Perlu dicatat bahwa dekripsi seperti itu tidak dapat mendekripsi database untuk 1C versi 8 yang dienkripsi oleh virus.

Perusahaan kami sangat menyarankan untuk tidak menangani masalah ini sendiri. Pengguna mungkin berisiko kehilangan data yang diperlukan untuk selamanya. Menghapus sendiri virus dan komponennya akan mempersulit dekripsi file lebih lanjut. Spesialis kami akan dapat memilih decryptor secara kompeten secara individual untuk setiap jenis virus tersebut dan dapat membantu memulihkan dokumen terenkripsi. Selain itu, biaya restorasi akan jauh lebih murah dibandingkan yang diperas oleh penyerang.

Bulan lalu merupakan bulan yang cukup produktif bagi ransomware siber, dengan sejumlah “solusi” baru yang diciptakan untuk mengenkripsi data pengguna dan kemudian meminta uang tebusan. Kebanyakan dari mereka ditujukan untuk pasar Barat dan Asia (lebih banyak korban pelarut), tetapi juga di pasar CIS, laboratorium anti-virus memantau peningkatan jumlah serangan dan PC yang terinfeksi dengan data terenkripsi.

Selanjutnya, kita akan membahas versi ransomware yang paling umum dan kemungkinan metode mendekripsi data Anda (setidaknya sebagian). Kami mengingatkan Anda akan hal itu MEMBAYAR KEPADA PENYERANG TIDAK MENJAMIN BAHWA MEREKA AKAN MENGIRIM KUNCI DEKRIPSI KEPADA ANDA. Kami mencatat lusinan kasus di mana, setelah pembayaran, “peretas” berhenti berkomunikasi.

Kami memilih ransomware yang paling umum pada bulan November 2016. Beberapa dari mereka - berbagai modifikasi malware sebelumnya.

  • Trojan.encoder.567– mengenkripsi database 1C. Menginfeksi PC melalui e-mail. Mengubah ekstensi file menjadi ekstensi acak (.qqr. .xbz. .fgh..). Untuk menghubungi penyerang, kirim email: [dilindungi email] .
  • Trojan.Encoder.94– Mengubah ekstensi file menjadi ekstensi acak. Untuk menghubungi penyerang, kirim email [dilindungi email]
  • Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae ( [dilindungi email], [dilindungi email], e0cr2 [dilindungi email], [dilindungi email], 30cr1ptss77 @gma4l.com dll.) Selain mengenkripsi file, terkadang ia menempatkannya dalam arsip yang dilindungi kata sandi.
  • Kriptografer menangis ( [dilindungi email] 1.2.0.0) – mengubah ekstensi file terenkripsi menjadi .cbf. Surat digunakan untuk komunikasi [dilindungi email].
  • TR/Tebusan.Xorist.EJ Dan Trojan-Ransom.Win32.Xorist.ln– mengenkripsi database 1C dan beberapa jenis database lainnya.
  • HEUR:Trojan.Win32.Generik versi yang berbeda– komunikasi dengan penyerang melalui email [dilindungi email], [dilindungi email] atau [dilindungi email] . Mengubah ekstensi file menjadi .errorfi, .erfile atau .file kesalahan. Mengenkripsi lebih dari 40 jenis file, termasuk database dan arsip.
  • HEUR:Trojan.Script.Agent.gen atau .kukaracha karena mengganti nama ekstensi file dengan nama yang aneh. [dilindungi email] untuk berkomunikasi dengan "peretas".
  • Trojan.Win32.Dimnie.gh– lebih dikenal sebagai (mengubah ekstensi file menjadi .neitrino). Komunikasi melalui surat [dilindungi email]
  • [dilindungi email] – salah satu klon dari enkripsi yang diketahui sebelumnya yang menggunakan algoritma RSA-2048, yang tahan terhadap dekripsi
  • .dosfile (dosfile.exe)– komunikasi dengan penyerang melalui email [dilindungi email] . Ransomware yang sangat umum yang tidak dapat didekripsi. Mengenkripsi dokumen dan tabel xls dalam hitungan menit.
  • Trojan.Encoder.6674 (ISHTAR)- pilihan lain. Kurang umum di CIS.
  • Kripto– (untuk komunikasi dengan penyusup [dilindungi email], [dilindungi email] ). Mengubah ekstensi file menjadi .cpt
  • .filezx– varian ransomware, yang umum terjadi di Belarus.
  • [dilindungi email], [dilindungi email] – mengenkripsi database 1C dan beberapa jenis file lainnya
  • [dilindungi email] – salah satu varian malware yang didistribusikan melalui lampiran email.
  • .matriks– enkripsi yang jarang digunakan.
  • Kripttt– seorang kriptografer tua yang telah melalui beberapa modifikasi. Mengenkripsi terutama file foto dan video, serta dokumen. Ekstensi file .Cripttt.

Ini tidak semua ransomware yang muncul pada bulan November 2016. Kami telah memilih yang paling umum. Perlu dicatat bahwa penyerang terus-menerus menciptakan taktik dan metode infeksi baru. Misalnya mereka menyamar file yang dapat dieksekusi virus berdasarkan tuntutan hukum atau pemberitahuan dari kantor pajak. Dan mereka menyamarkannya dengan cukup terampil, dilihat dari jumlah PC yang terinfeksi.

Selain itu, penyerang sering kali melakukan pemerasan langsung, memaksa pengguna membayar dalam waktu 24-48 jam (terkadang bahkan 8 jam!).

Varian ancaman tentang ketidakmungkinan mendekripsi file jika tidak ada pembayaran

Opsi pesan dari ransomware paling umum:

Anda dapat meminta biaya decryptor dengan menulis surat ke: [dilindungi email]
Pada SUBJEK surat harap cantumkan ID Anda: 9309624421
Pesan tanpa ID diabaikan.
Kami dengan hormat meminta Anda untuk tidak mencoba mendekripsi file menggunakan alat pihak ketiga.
Anda benar-benar dapat merusaknya dan bahkan dekripsi asli tidak akan membantu.
Anda dapat membeli decryptor hingga 18 November 2016
Aplikasi diproses oleh sistem otomatis.

File Anda telah dienkripsi.
Untuk mendekripsi ux, Anda perlu mendekripsi kode:
1597D5599D6549465E7F|0
ke alamat email [dilindungi email].
Selanjutnya Anda akan menerima semua instruksi yang diperlukan.
Mencoba mendekripsinya sendiri tidak akan menyebabkan apa pun selain hilangnya informasi yang tidak dapat diperbaiki lagi.
Jika Anda masih ingin mencoba, buat salinan cadangan file Anda terlebih dahulu, jika tidak, untuk berjaga-jaga
Jika Anda mengubahnya, dekripsi menjadi tidak mungkin dilakukan dalam keadaan apa pun.
Jika Anda belum menerima pesan dari alamat di atas dalam waktu 48 jam (dan hanya dalam kasus ini!),
Silakan gunakan formulir kontak. Hal ini dapat dilakukan dengan dua cara:
1) Unduh dan instal Tor Browser tanpa tautan: https://www.torproject.org/download/…d-easy.html.en
Di bilah alamat Peramban Tor masukkan alamat:
http://cryptsen7fo43rr6.onion/
kamu tekan Enter. Halaman dengan formulir umpan balik akan dimuat.
2) Di browser apa pun, buka salah satu alamat:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

PERHATIAN, FILE, DOKUMEN, FOTO, ARSIP DAN INFORMASI LAINNYA TERENKRIPSI!!!
================================================== ================================
UNTUK DEKRIPSI FILE, ANDA PERLU MENULIS KEPADA KAMI MELALUI EMAIL
[dilindungi email] atau (jika Anda belum menerima tanggapan selama lebih dari satu hari) di sini [dilindungi email]
========
USAHA DENKRIPT FILE TANPA MEMILIKI KUNCI ASLI AKAN MENGHASILKAN KERUSAKAN FILE!!!
JUGA, DEKRIPSI DILAKUKAN SElambat-lambatnya 96 JAM DARI SAAT ENKRIPSI FILE ANDA!!!
================================================== ==================================
BAIK MENGINSTAL ULANG JENDELA, MAUPUN ANTI-VIRUS, TIDAK AKAN LAGI MENDENKRIPSI FILE ANDA!!!
================================================== ==================================
UNTUK MENJAMIN DEKRIPSI, KAMI DAPAT MENGKONFIRMASI SATU FILE YANG ANDA KIRIM KEPADA KAMI DAN AKAN KIRIMKAN
KEMBALI KEPADA ANDA!!!

Hapus ransomware menggunakan pembersih otomatis

Khusus metode yang efektif bekerja dengan malware pada umumnya dan ransomware pada khususnya. Penggunaan kompleks pelindung yang terbukti menjamin deteksi menyeluruh terhadap komponen virus apa pun penghapusan lengkap dengan satu klik. Harap dicatat bahwa kita berbicara tentang dua proses berbeda: menghapus instalasi infeksi dan memulihkan file di PC Anda. Namun, ancaman tersebut tentu perlu dihilangkan, karena ada informasi tentang masuknya Trojan komputer lain yang menggunakannya.

  1. . Setelah memulai perangkat lunak, klik tombol Mulai Pemindaian Komputer(Mulai memindai).
  2. Perangkat lunak yang diinstal akan memberikan laporan tentang ancaman yang terdeteksi selama pemindaian. Untuk menghapus semua ancaman yang terdeteksi, pilih opsi Perbaiki Ancaman(Hilangkan ancaman). Malware yang dimaksud akan dihapus sepenuhnya.

Pulihkan akses ke file terenkripsi dengan ekstensi berbeda

Sebagaimana disebutkan, ransomware mengunci file menggunakan algoritma enkripsi yang kuat, sehingga data terenkripsi tidak dapat dipulihkan dengan mudah - kecuali membayar jumlah tebusan yang belum pernah ada sebelumnya. Namun beberapa metode benar-benar dapat menjadi penyelamat yang akan membantu Anda memulihkan data penting. Di bawah ini Anda dapat membiasakan diri dengan mereka.

Dekripsi - program pemulihan otomatis file

Suatu keadaan yang sangat tidak biasa diketahui. Infeksi ini menghapus file asli dalam bentuk tidak terenkripsi. Proses enkripsi untuk tujuan pemerasan menargetkan salinannya. Hal ini memungkinkan perangkat lunak seperti memulihkan objek yang terhapus, meskipun keandalan penghapusannya terjamin. Sangat disarankan untuk menggunakan prosedur pemulihan file, yang efektivitasnya telah dikonfirmasi lebih dari sekali.

Salinan bayangan volume

Pendekatannya didasarkan pada Prosedur Windows cadangan file, yang diulangi pada setiap titik pemulihan. Kondisi penting agar metode ini berfungsi: fungsi "Pemulihan Sistem" harus diaktifkan sebelum infeksi. Namun, perubahan apa pun pada file yang dilakukan setelah titik pemulihan tidak akan muncul di versi file yang dipulihkan.

Cadangan

Ini adalah yang terbaik di antara semua metode non-tebusan. Jika prosedur untuk mencadangkan data ke server eksternal digunakan sebelum serangan ransomware di komputer Anda, untuk memulihkan file terenkripsi Anda hanya perlu masuk ke antarmuka yang sesuai, pilih file yang diperlukan dan luncurkan mekanisme pemulihan data dari cadangan. Sebelum melakukan operasi, Anda harus memastikan bahwa ransomware telah dihapus sepenuhnya.

Periksa kemungkinan adanya komponen sisa virus ransomware

Pembersihan manual berisiko menghilangkan bagian-bagian ransomware yang dapat lolos dari penghapusan sebagai objek tersembunyi sistem operasi atau item registri. Untuk menghilangkan risiko retensi sebagian elemen berbahaya tertentu, pindai komputer Anda menggunakan rangkaian anti-virus universal yang andal.

ARTIKEL TERKAIT