Windows

Sus archivos estaban encriptados qué hacer?

Sus archivos estaban encriptados qué hacer?

Uno de los programas dañinos más problemáticos hoy en día es Troyano o archivos de cifrado de virus en el disco del usuario. Algunos de estos archivos se pueden descifrar, y otros aún no están. El manual ofrece posibles algoritmos de acciones en ambas situaciones, formas de determinar el tipo específico de cifrado en no más servicios de rescate e ID, así como una breve descripción de los programas para protección contra virus sofisticados (ransomware).

Hay varias modificaciones de tales virus o triangs portadores (y otros nuevos aparecen constantemente), pero la esencia general del trabajo se reduce al hecho de que después de instalar en la computadora sus archivos de documentos, imágenes y otros que son potencialmente importantes son En cifrado con un cambio en la expansión y la eliminación de archivos originales, luego recibe un mensaje en el archivo ReadMe.txt que todos sus archivos estaban encriptados, y por su descifrado debe enviar una cierta cantidad al atacante. Nota: En la actualización de los creadores de otoño de Windows 10 hubo una protección incorporada contra los virus de la sifia.

Qué hacer si todos los datos importantes están encriptados

Para empezar, alguna información general para cifrar archivos importantes en su computadora. Si se encriptaron los datos importantes en su computadora, entonces, en primer lugar, no debe entrar en pánico.

Si tiene esa oportunidad, desde un disco de computadora en el que apareció un virus de hechicero (ransomware), copie en algún lugar en una unidad externa (unidad flash) un ejemplo de un archivo con una solicitud textual de un atacante para decodificar, más una copia de un archivo encriptado y luego, en oportunidades, apagar la computadora para que el virus no pueda continuar con el cifrado de datos y realizar el resto de las acciones en otra computadora.

El siguiente paso es averiguar exactamente el tipo de virus ha cifrado sus datos utilizando los archivos cifrados disponibles: para algunos de ellos hay decodificadores (algunos indicaré aquí, algunos están indicados más cerca del final del artículo), para Algunos, todavía no hay. Pero incluso en este caso, puede enviar ejemplos de archivos cifrados a los laboratorios antivirus (Kaspersky, DR. Web) para estudiar.

Cómo averiguar? Puede hacer esto usando Google encontrando discusiones o tipo de cifrado para expandir el archivo. Los servicios también comenzaron a parecer para determinar el tipo de ransomware.

No más rescate

No más Ransom es un recurso de desarrollo activo respaldado por desarrolladores de seguridad y accesible en la versión de Rusia, con el objetivo de combatir los virus con cifrados (troyanos -robadores).

Con suerte, no más rescate puede ayudar a descifrar sus documentos, bases de datos, fotos y otra información, descargar los programas necesarios para decodificar, así como obtener información que ayude a evitar tales amenazas en el futuro.

En no más rescate, puede intentar descifrar sus archivos y determinar el tipo de virus Sipper de la siguiente manera:

  1. Haga clic en "Sí" en la página principal del servicio https: // www.Nomoreano.Org/ru/índice.Html
  2. Se abrirá la página "Crypto-Sheep", donde puede descargar ejemplos de archivos cifrados con un tamaño de no más de 1 MB (recomiendo descargar datos confidenciales no con ingreso), así como indicar direcciones o sitios de correo electrónico para los que requieren los estafadores. una compra (o cargue el archivo ReadMe.txt con una demanda). 
  3. Haga clic en el botón "Verifique" y espere la finalización de la verificación y su resultado.

Además, las secciones útiles están disponibles en el sitio:

  • Los decritores son casi todas las utilidades existentes en el momento actual para descifrar archivos de virus encriptados. 
  • Prevención de infecciones: información dirigida principalmente a usuarios novatos, lo que puede ayudar a evitar la infección en el futuro.
  • Preguntas y respuestas: información para aquellos que desean comprender mejor el trabajo de los virus y acciones de cifrado en los casos en que se enfrenta al hecho de que los archivos en la computadora estaban encriptados.

Hoy, no más rescate es probablemente el recurso más relevante y útil relacionado con el descifrado de archivos para un usuario de lo que es ruso, recomiendo.

ID Ransomware

Otro servicio de este tipo es https: // id -ransomware.Malwarehunterteam.Com/(Verdadero, no sé qué tan bien funciona para las variantes de lenguaje ruso del virus, pero vale la pena intentarlo, alimentó al servicio un ejemplo de un archivo encriptado y un archivo de texto que exige una compra).

Después de determinar el tipo de cifrado, si tuvo éxito, intente encontrar una utilidad para descifrar esta opción a las demandas como: type_ -hifor of Decryptor. Dichas utilidades son gratuitas y producidas por los desarrolladores de antivirus, por ejemplo, varias de esas utilidades se pueden encontrar en el sitio web de Kaspersky https: // de soporte.Kaspersky.Ru/virus/utilidad (otras utilidades están más cerca del final del artículo). Y, como ya se mencionó, no dude en contactar a los desarrolladores de antivirus en sus foros o al servicio de soporte por correo.

Desafortunadamente, todo esto no siempre ayuda y no siempre tiene decodificadores de archivos de trabajo. En este caso, los guiones son diferentes: muchos atacantes salariales, alentándolos a continuar esta actividad. Los programas ayudan a algunos usuarios a restaurar datos en la computadora (desde el virus, hacer un archivo cifrado, Deleys un archivo importante regular que teóricamente se puede restaurar).

Los archivos de la computadora están encriptados en XTBL

Una de las últimas opciones para los archivos de cifrado del virus monitor, reemplazándolos con archivos con extensión .XTBL y un nombre que consta de un conjunto aleatorio de caracteres.

Al mismo tiempo, se publica un archivo de texto en la computadora.txt con aproximadamente el siguiente contenido: "Sus archivos estaban encriptados. Para descifrarlos, debe enviar el código a la dirección de correo electrónico [email protected], [email protected] o [email protected]. A continuación, recibirá todas las instrucciones necesarias. Los intentos de descifrar los archivos conducirán independientemente a una pérdida de información irrevocable ”(la dirección del correo y el texto puede diferir).

Desafortunadamente, una forma de descifrar .XTBL actualmente no (tan pronto como aparezca, la instrucción se actualizará). Algunos usuarios que tienen información realmente importante sobre el informe de la computadora en los foros antivirus que enviaron 5000 rublos u otra cantidad requerida a los autores del virus y recibieron un decodificador, pero esto es muy arriesgado: no puede obtener nada.

Qué hacer si los archivos estaban encriptados en .XTBL? Mis recomendaciones se ven de la siguiente manera (pero difieren de las que se encuentran en muchos otros sitios temáticos, donde, por ejemplo, recomiendan apagar inmediatamente la computadora de la red eléctrica o no eliminar el virus. En mi opinión, esto es superfluo, y en una combinación de circunstancias, incluso puede ser dañino, pero usted decide.)

  1. Si sabe cómo interrumpir el proceso de cifrado eliminando las tareas relevantes en el dispensador de tareas, apague la computadora de Internet (esta puede ser una condición necesaria para el cifrado)
  2. Recuerde o escriba el código que los atacantes exigen enviar a la dirección de correo electrónico (simplemente no al archivo de texto en la computadora, por si acaso, para que tampoco resulte encriptado).
  3. Uso de MalwareBytes Antimalware, una versión de prueba de Kaspersky Internet Security o DR DR.CURA WEB It Eliminar el virus, cifrar archivos (todas estas herramientas hacen frente a esto bien). Le aconsejo que tome turnos utilizando el primer y segundo producto de la lista (sin embargo, si tiene un antivirus instalado, instalar el segundo "desde arriba" es indeseable, ya que puede provocar problemas en la computadora.)
  4. Espere un decodificador de cualquier compañía antiviral. A la vanguardia aquí Kaspersky Lab.
  5. También puede enviar un ejemplo de un archivo cifrado y el código requerido para [email protected], Si tiene una copia del mismo archivo en un formulario sin cifre, envíelo también. En teoría, esto puede acelerar la apariencia del decodificador.

¿Qué no se debe hacer?

  • Cambiar el nombre de archivos cifrados, cambiar la extensión y eliminarlos si son importantes.

Esto es quizás todo lo que puedo decir sobre los archivos encriptados con expansión .XTBL en un momento dado.

Los archivos están encriptados mejor_call_saul

De los últimos virus de cifra: mejor llamar a Saul (Trojan -Ransom.Win32.Sombra), estableciendo una expansión .Better_call_saul para archivos cifrados. Cómo descifrar dichos archivos aún no está claro. Aquellos usuarios asociados con el Laboratorio Kaspersky y el Dr.Web recibió información para que no puede hacer esto por ahora (pero aún intenta enviarlo: más muestras de archivos cifrados de desarrolladores = más probabilidades de encontrar el método).

Si resulta que ha encontrado un método de descifrado (t.mi. Fue presentado en algún lugar, pero no hice un seguimiento), por favor comparta información en los comentarios.

Tronero.Win32.Aura y troyano-ransom.Win32.Rakhni

El siguiente troyano, encriptando archivos y configurando extensiones de esta lista:

  • .Encerrado
  • .Cripto
  • .Kraken
  • .AES256 (no necesariamente este troyano, hay otros que establecen la misma extensión).
  • .Codercsu@gmail_com
  • .Enchufe
  • .Oshit
  • Y otros.

Para descifrar los archivos después de la operación de estos virus, el sitio web de Kaspersky tiene una utilidad gratuita de rakhnidecryptor disponible en la página oficial http: // soporte.Kaspersky.Ru/virus/desinfección/10556.

También hay instrucciones detalladas para el uso de esta utilidad que muestra cómo restaurar los archivos cifrados de los que, por si acaso, eliminaría el elemento "eliminar archivos encriptados después de una decodificación exitosa" (aunque creo que todo estará en orden con la opción establecida).

Si tiene una licencia DR antivirus.Web puede usar el descifrado gratuito de esta empresa en la página de soporte http: //.Drweb.Com/new/free_unlocker/

Otra opciones para el virus de Sipper

Con menos frecuencia, también se encuentran los siguientes troyanos, cifrar archivos y que requieren dinero para decodificar. Según estos enlaces, no solo hay utilidades para devolver sus archivos, sino también una descripción de los signos que ayudarán a determinar que tiene este virus. Aunque en general, la ruta óptima: usar el antivirus de Kaspersky, escanee el sistema, descubra el nombre de Trojan mediante la clasificación de esta compañía y luego busque una utilidad con este nombre.

  • Tronero.Win32.Rector - Utilidad gratuita de Rectordecrycor para decodificar y usar está disponible aquí: http: // Soporte.Kaspersky.Ru/virus/desinfección/4264
  • Tronero.Win32.Xorist es un troyano similar que muestra la ventana con una solicitud de enviar un SMS o contacto pagado por E -Mail para recibir instrucciones para el descifrado. Las instrucciones para la restauración de archivos cifrados y la utilidad de XoristDecryptor para esto están en la página de soporte http: //.Kaspersky.Ru/Virus/Desinfección/2911
  • Tronero.Win32.Rannoh, troyano-ransom.Win32.Fury - Rannochdecryptor Utility http: // Soporte.Kaspersky.Ru/virus/desinfección/8547
  • Troyano.Codificador.858 (XTBL), troyano.Codificador.741 y otros con el mismo nombre (al buscar a través de Antivirus Dr.Web o curar su) y diferentes números: intente buscar en Internet llamado Troyan. Para algunos de ellos, hay dshpenth servicios públicos del Dr.Web, también si no pudo encontrar la utilidad, pero hay una licencia DR.Web, puede usar la página oficial http: // soporte.Drweb.Com/new/free_unlocker/
  • Cryptolocker: para descifrar archivos después del trabajo Cryptolocker, puede usar el sitio http: // DecryptCryptolocker.Com - Después de enviar un ejemplo de un archivo, recibirá una clave y una utilidad para restaurar sus archivos.
  • En el sitio https: // bitbucket.Org/jadacyrus/ransomwareramovalkit/Descargas Kit de eliminación de ransomware de acceso: un gran archivo con información sobre varios tipos de encriptaciones y utilidades de descifrado (en inglés)

Bueno, de las últimas noticias: el Laboratorio Kaspersky, junto con los agentes de la ley de los Países Bajos, desarrolló descriptor de ransomware (http: // noransom.Kaspersky.Com) para descifrar archivos después de CoinVault, pero en nuestras latitudes esta extorsión aún no se encuentra.

Protección contra virus de cifrado o ransomware

A medida que se propaga el ransomware, muchos fabricantes de antivirus y medios para combatir programas maliciosos comenzaron a hacer sus soluciones para evitar el trabajo de los cifras en una computadora, entre ellos se pueden distinguir:
  • Malwarebytes anti-ransomware 
  • Bitdefender anti-ransomware 
  • Winantiransom
Los dos primeros todavía están en versiones beta, pero son gratuitas (respaldan la definición de solo un conjunto limitado de virus de este tipo: Teslacrypt, Ctblocker, Locky, Cryptolocker. Winantiransom: un producto remunerado que promete prevenir el cifrado por casi cualquier muestra de ransomware, proporcionando protección de los discos locales y de red.

Pero: estos programas no están diseñados para decodificar, sino solo para evitar el cifrado de archivos importantes en la computadora. De todos modos, me parece que estas funciones deben implementarse en productos antivirus, de lo contrario se obtiene una situación extraña: el usuario necesita mantener antivirus en la computadora, un medio para combatir el adware y el malware, y ahora también anti-ransomware, más un anti-exploit.

Por cierto, si de repente resulta que tiene algo que agregar (porque no puedo tener tiempo para monitorear lo que está sucediendo con los métodos de descifrado), informe en los comentarios, esta información será útil para otros usuarios que hayan encontrado el problema.