Ohne Chance auf Rettung: Was ist ein Ransomware-Virus und wie geht man damit um? Möglichkeiten zum Entschlüsseln und Entfernen des Virus crypted000007. Entschlüsseln verschlüsselter Dateien

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

Vor etwa ein bis zwei Wochen tauchte im Netzwerk ein weiteres Werk moderner Virenhersteller auf, das alle Benutzerdateien verschlüsselt. Ich werde noch einmal über die Frage nachdenken, wie man einen Computer nach einem Ransomware-Virus heilen kann crypted000007 und verschlüsselte Dateien wiederherstellen. In diesem Fall ist nichts Neues und Einzigartiges erschienen, sondern lediglich eine Modifikation der vorherigen Version.

Garantierte Entschlüsselung von Dateien nach einem Ransomware-Virus – dr-shifro.ru. Die Einzelheiten der Arbeit und das Schema der Interaktion mit dem Kunden finden Sie unten in meinem Artikel oder auf der Website im Abschnitt „Arbeitsablauf“.

Beschreibung des Ransomware-Virus CRYPTED000007

Der CRYPTED000007-Verschlüsseler unterscheidet sich nicht grundsätzlich von seinen Vorgängern. Es funktioniert fast eins zu eins. Dennoch gibt es einige Nuancen, die es auszeichnen. Ich erzähle dir alles der Reihe nach.

Er kommt, wie seine Kollegen, per Post. Dabei werden Social-Engineering-Techniken eingesetzt, um den Nutzer dazu zu bringen, sich für den Brief zu interessieren und ihn zu öffnen. In meinem Fall ging es in dem Brief um eine Art Gericht und im Anhang um wichtige Informationen zum Fall. Nach dem Starten des Anhangs öffnet der Benutzer ein Word-Dokument mit einem Auszug aus dem Moskauer Schiedsgericht.

Parallel zum Öffnen des Dokuments beginnt die Dateiverschlüsselung. Es erscheint ständig eine Informationsmeldung vom Windows-Benutzerkontensteuerungssystem.

Wenn Sie dem Vorschlag zustimmen, dann Backups Dateien im Schatten Kopien von Windows werden gelöscht und die Wiederherstellung der Informationen wird sehr schwierig sein. Natürlich kann man dem Vorschlag auf keinen Fall zustimmen. Bei dieser Ransomware tauchen diese Anfragen ständig auf, eine nach der anderen, und hören nicht auf, was den Benutzer dazu zwingt, zuzustimmen und die Backups zu löschen. Dies ist der Hauptunterschied zu früheren Ransomware-Modifikationen. Ich habe noch nie erlebt, dass Anfragen zum Löschen von Schattenkopien ununterbrochen verliefen. Normalerweise hörten sie nach 5-10 Sätzen auf.

Ich gebe Ihnen eine Empfehlung für die Zukunft. Sehr oft deaktivieren Benutzer die Warnungen des Benutzerkontenkontrollsystems. Sie müssen dies nicht tun. Dieser Mechanismus kann wirklich bei der Abwehr von Viren helfen. Der zweite offensichtliche Ratschlag besteht darin, nicht dauerhaft unter dem Administratorkonto des Computers zu arbeiten, es sei denn, es besteht ein objektiver Bedarf dafür. In diesem Fall hat der Virus keine Möglichkeit, großen Schaden anzurichten. Es ist wahrscheinlicher, dass Sie sich ihm widersetzen.

Aber selbst wenn Sie ständig negativ auf Ransomware-Anfragen geantwortet haben, sind alle Ihre Daten bereits verschlüsselt. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, wird auf Ihrem Desktop ein Bild angezeigt.

Gleichzeitig wird es viele geben Textdateien mit gleichem Inhalt.

Ihre Dateien wurden verschlüsselt. Um UX zu entschlüsseln, müssen Sie den Code: 329D54752553ED978F94|0 an die E-Mail-Adresse anpassen [email protected]. Anschließend erhalten Sie alle notwendigen Anweisungen. Versuche, es selbst zu entschlüsseln, führen zu nichts, außer zu einer unwiederbringlichen Menge an Informationen. Wenn Sie es dennoch versuchen möchten, erstellen Sie vorher Sicherungskopien der Dateien, da sonst bei UX-Änderungen eine Entschlüsselung auf keinen Fall möglich ist. Sollten Sie innerhalb von 48 Stunden (und nur in diesem Fall!) keine Antwort an die oben genannte Adresse erhalten haben, nutzen Sie bitte das Feedback-Formular. Dies kann auf zwei Arten erfolgen: 1) Laden Sie den Tor-Browser über den Link herunter und installieren Sie ihn: https://www.torproject.org/download/download-easy.html.en Tor Browser Geben Sie die Adresse ein: http://cryptsen7fo43rr6.onion/ und drücken Sie die Eingabetaste. Die Seite mit dem Kontaktformular wird geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle wichtigen Dateien auf Ihrem Computer wurden verschlüsselt. Um die Dateien zu entschlüsseln, sollten Sie den folgenden Code senden: 329D54752553ED978F94|0 an die E-Mail-Adresse [email protected]. Anschließend erhalten Sie alle notwendigen Anweisungen. Alle Entschlüsselungsversuche durch Sie selbst führen nur zum unwiderruflichen Verlust Ihrer Daten. Wenn Du immer noch Wenn Sie versuchen möchten, sie selbst zu entschlüsseln, erstellen Sie bitte zunächst eine Sicherungskopie, da die Entschlüsselung bei Änderungen in den Dateien unmöglich wird. Wenn Sie die Antwort auf die oben genannte E-Mail länger als 48 Stunden nicht erhalten haben (und nur in diesem Fall!), nutzen Sie das Feedback-Formular. Sie können dies auf zwei Arten tun: 1) Laden Sie den Tor-Browser hier herunter: https://www.torproject.org/download/download-easy.html.en Installieren Sie ihn und geben Sie die folgende Adresse in die Adressleiste ein: http:/ /cryptsen7fo43rr6.onion/ Drücken Sie die Eingabetaste und dann wird die Seite mit dem Feedback-Formular geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der folgenden Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Die Postanschrift kann sich ändern. Ich habe andere Adressen wie diese gesehen:

Adressen werden ständig aktualisiert und können daher völlig unterschiedlich sein.

Sobald Sie feststellen, dass die Dateien verschlüsselt sind, schalten Sie den Computer sofort aus. Dies muss durchgeführt werden, um den Verschlüsselungsprozess sowohl auf dem lokalen Computer als auch auf Netzlaufwerken zu unterbrechen. Ein Ransomware-Virus kann alle Informationen verschlüsseln, die er erreichen kann, auch auf Netzlaufwerken. Wenn es jedoch eine große Menge an Informationen gibt, wird es viel Zeit in Anspruch nehmen. Manchmal, selbst nach ein paar Stunden, hatte der Verschlüsseler keine Zeit, alles zu verschlüsseln Netzlaufwerk etwa 100 Gigabyte groß.

Als nächstes müssen Sie sorgfältig darüber nachdenken, wie Sie vorgehen. Wenn Sie unbedingt Informationen auf Ihrem Computer benötigen und keine Sicherungskopien haben, wenden Sie sich jetzt besser an Spezialisten. In manchen Firmen geht es nicht unbedingt um Geld. Sie brauchen nur eine Person, die sich darin gut auskennt Informationssysteme. Es ist notwendig, das Ausmaß der Katastrophe einzuschätzen, den Virus zu entfernen und alle verfügbaren Informationen über die Situation zu sammeln, um zu verstehen, wie weiter vorgegangen werden soll.

Falsche Aktionen in dieser Phase können den Prozess der Entschlüsselung oder Wiederherstellung von Dateien erheblich erschweren. Im schlimmsten Fall können sie es unmöglich machen. Nehmen Sie sich also Zeit, seien Sie vorsichtig und konsequent.

Wie der Ransomware-Virus CRYPTED000007 Dateien verschlüsselt

Nachdem der Virus gestartet und seine Aktivität beendet wurde, werden alle nützlichen Dateien verschlüsselt und umbenannt extension.crypted000007. Und nicht nur die Dateierweiterung wird ersetzt, sondern auch der Dateiname, sodass Sie nicht genau wissen, welche Art von Dateien Sie hatten, wenn Sie sich nicht erinnern. Es wird so etwas wie dieses Bild geben.

In einer solchen Situation wird es schwierig sein, das Ausmaß der Tragödie einzuschätzen, da Sie sich nicht mehr vollständig daran erinnern können, was Sie erlebt haben verschiedene Ordner. Dies geschah mit der Absicht, eine Person zu verwirren und sie zu ermutigen, für die Entschlüsselung von Dateien zu zahlen.

Und wenn Sie über verschlüsselte Netzwerkordner und keine vollständigen Backups verfügen, kann dies im Allgemeinen die Arbeit der gesamten Organisation lahmlegen. Sie werden nicht sofort verstehen, was letztendlich verloren geht, um mit der Wiederherstellung beginnen zu können.

So behandeln Sie Ihren Computer und entfernen die CRYPTED000007-Ransomware

Der CRYPTED000007-Virus befindet sich bereits auf Ihrem Computer. Die erste und wichtigste Frage ist, wie man einen Computer heilt und wie man einen Virus von ihm entfernt, um eine weitere Verschlüsselung zu verhindern, wenn sie noch nicht abgeschlossen ist. Ich mache Sie sofort darauf aufmerksam, dass die Chancen auf eine Entschlüsselung der Daten sinken, nachdem Sie selbst begonnen haben, einige Aktionen mit Ihrem Computer auszuführen. Wenn Sie unbedingt Dateien wiederherstellen müssen, berühren Sie Ihren Computer nicht, sondern wenden Sie sich sofort an einen Fachmann. Im Folgenden werde ich über sie sprechen, einen Link zur Website geben und das Schema ihrer Arbeit beschreiben.

In der Zwischenzeit werden wir den Computer weiterhin selbstständig behandeln und den Virus entfernen. Herkömmlicherweise lässt sich Ransomware leicht vom Computer entfernen, da der Virus nicht die Aufgabe hat, um jeden Preis auf dem Computer zu verbleiben. Nach der vollständigen Verschlüsselung der Dateien ist es für ihn umso profitabler, sich selbst zu löschen und zu verschwinden, sodass es schwieriger wäre, den Vorfall zu untersuchen und die Dateien zu entschlüsseln.

Die manuelle Entfernung eines Virus zu beschreiben ist schwierig, obwohl ich es schon früher versucht habe, aber ich sehe, dass es meistens sinnlos ist. Dateinamen und Virenplatzierungspfade ändern sich ständig. Was ich gesehen habe, ist in ein oder zwei Wochen nicht mehr relevant. Normalerweise werden Viren in Wellen per E-Mail verschickt, und jedes Mal gibt es eine neue Änderung, die von Antivirenprogrammen noch nicht erkannt wurde. Dabei helfen universelle Tools, die Autorun überprüfen und verdächtige Aktivitäten in Systemordnern erkennen.

Um den CRYPTED000007-Virus zu entfernen, können Sie die folgenden Programme verwenden:

  1. Kaspersky Virus Removal Tool – ein Dienstprogramm von Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - ein ähnliches Produkt von einer anderen Website: http://free.drweb.ru/cureit.
  3. Wenn die ersten beiden Dienstprogramme nicht helfen, versuchen Sie es mit MALWAREBYTES 3.0 – https://ru.malwarebytes.com.

Höchstwahrscheinlich wird eines dieser Produkte den Computer von der Ransomware CRYPTED000007 befreien. Wenn es plötzlich passiert, dass sie nicht helfen, versuchen Sie, den Virus manuell zu entfernen. Ich habe die Entfernungstechnik als Beispiel angegeben und Sie können sie dort sehen. Kurz gesagt, hier ist, was Sie tun müssen:

  1. Wir schauen uns die Liste der Prozesse an, nachdem wir zuvor dem Task-Manager mehrere zusätzliche Spalten hinzugefügt haben.
  2. Wir finden den Prozess des Virus, öffnen den Ordner, in dem er sich befindet, und löschen ihn.
  3. Wir bereinigen die Erwähnung des Virusprozesses anhand des Dateinamens in der Registrierung.
  4. Wir starten neu und stellen sicher, dass der CRYPTED000007-Virus nicht in der Liste der laufenden Prozesse enthalten ist.

Wo kann man den Entschlüsseler CRYPTED000007 herunterladen?

Die Frage nach einem einfachen und zuverlässigen Entschlüsseler stellt sich zunächst, wenn es um einen Ransomware-Virus geht. Als erstes rate ich Ihnen, den Dienst https://www.nomoreransom.org zu nutzen. Wenn Sie Glück haben, haben sie einen Entschlüsseler für Ihre Version des CRYPTED000007-Verschlüsselungsprogramms. Ich sage gleich, dass Sie nicht viele Chancen haben, aber der Versuch ist keine Folter. An Startseite Klicken Sie auf Ja:

Laden Sie dann ein paar verschlüsselte Dateien hoch und klicken Sie auf Los! finde es heraus:

Zum Zeitpunkt des Schreibens war der Decoder nicht auf der Website.

Vielleicht haben Sie mehr Glück. Sie können die Liste der Entschlüsselungsprogramme auch auf einer separaten Seite einsehen – https://www.nomoreransom.org/decryption-tools.html. Vielleicht ist da etwas Nützliches dabei. Wenn das Virus noch sehr frisch ist, ist die Wahrscheinlichkeit dafür gering, aber mit der Zeit kann etwas auftauchen. Es gibt Beispiele dafür, dass Entschlüsseler für einige Modifikationen von Ransomware im Netzwerk aufgetaucht sind. Und diese Beispiele finden Sie auf der angegebenen Seite.

Wo ich sonst noch einen Decoder finden kann, weiß ich nicht. Angesichts der Besonderheiten der Funktionsweise moderner Ransomware ist es unwahrscheinlich, dass es sie tatsächlich geben wird. Nur die Autoren des Virus können über einen vollwertigen Decoder verfügen.

So entschlüsseln und stellen Sie Dateien nach dem CRYPTED000007-Virus wieder her

Was tun, wenn der CRYPTED000007-Virus Ihre Dateien verschlüsselt hat? Die technische Implementierung der Verschlüsselung erlaubt keine Entschlüsselung von Dateien ohne einen Schlüssel oder Entschlüsseler, über den nur der Autor des Verschlüsselers verfügt. Vielleicht gibt es einen anderen Weg, es zu bekommen, aber ich habe keine solchen Informationen. Wir können nur versuchen, Dateien mit improvisierten Methoden wiederherzustellen. Diese beinhalten:

  • Werkzeug Schattenkopien Fenster.
  • Programme zur Wiederherstellung gelöschter Daten

Überprüfen wir zunächst, ob Schattenkopien aktiviert sind. Dieses Tool funktioniert standardmäßig in Windows 7 und höher, sofern Sie es nicht manuell deaktivieren. Öffnen Sie zur Überprüfung die Eigenschaften des Computers und gehen Sie zum Abschnitt Systemschutz.

Wenn Sie während der Infektion die UAC-Anfrage zum Löschen von Dateien in Schattenkopien nicht bestätigt haben, sollten einige Daten dort verbleiben. Auf diese Bitte habe ich zu Beginn der Geschichte ausführlicher eingegangen, als ich über die Wirkungsweise des Virus gesprochen habe.

Um Dateien einfach aus Schattenkopien wiederherzustellen, empfehle ich die Verwendung kostenloses Programm dafür - ShadowExplorer . Laden Sie das Archiv herunter, entpacken Sie das Programm und führen Sie es aus.

Die letzte Kopie der Dateien und das Stammverzeichnis des Laufwerks C werden geöffnet. Links obere Ecke Sie können ein Backup auswählen, wenn Sie mehr als eines haben. Überprüfen Sie verschiedene Exemplare auf gewünschten Dateien. Vergleichen Sie nach Datum, wo mehr frische Version. In meinem Beispiel unten habe ich zwei Dateien auf meinem Desktop gefunden, die zum Zeitpunkt der letzten Bearbeitung drei Monate alt waren.

Ich konnte diese Dateien wiederherstellen. Dazu habe ich sie ausgewählt, mit der rechten Maustaste geklickt, „Exportieren“ ausgewählt und den Ordner angegeben, in dem sie wiederhergestellt werden sollen.

Auf die gleiche Weise können Sie Ordner sofort wiederherstellen. Wenn Schattenkopien bei Ihnen funktioniert haben und Sie sie nicht gelöscht haben, haben Sie gute Chancen, alle oder fast alle vom Virus verschlüsselten Dateien wiederherzustellen. Vielleicht werden einige davon eine ältere Version sein, als uns lieb ist, aber trotzdem ist sie besser als nichts.

Wenn Sie aus irgendeinem Grund keine Schattenkopien von Dateien haben, besteht die einzige Chance, zumindest einige der verschlüsselten Dateien zu erhalten, darin, sie mithilfe von Wiederherstellungstools wiederherzustellen gelöschte Dateien. Dazu empfehle ich die Verwendung des kostenlosen Programms Photorec.

Führen Sie das Programm aus und wählen Sie die Festplatte aus, auf der Sie Dateien wiederherstellen möchten. Durch Starten der grafischen Version des Programms wird die Datei ausgeführt qphotorec_win.exe. Sie müssen den Ordner auswählen, in dem die gefundenen Dateien abgelegt werden. Es ist besser, wenn sich dieser Ordner nicht auf demselben Laufwerk befindet, auf dem wir suchen. Schließen Sie ein Flash-Laufwerk oder ein externes Laufwerk an Festplatte dafür.

Der Suchvorgang wird lange dauern. Am Ende sehen Sie Statistiken. Nun können Sie in den zuvor angegebenen Ordner gehen und sehen, was sich dort befindet. Es wird höchstwahrscheinlich viele Dateien geben, und die meisten davon sind entweder beschädigt oder es handelt sich um eine Art System- und nutzlose Dateien. Dennoch wird es in dieser Liste möglich sein, einige nützliche Dateien zu finden. Hier gibt es keine Garantien, Sie finden, was Sie finden. Das Beste ist, dass Bilder normalerweise wiederhergestellt werden.

Wenn Sie mit dem Ergebnis nicht zufrieden sind, gibt es immer noch Programme zum Wiederherstellen gelöschter Dateien. Nachfolgend finden Sie eine Liste der Programme, die ich normalerweise verwende, wenn ich die maximale Anzahl an Dateien wiederherstellen muss:

  • R.sparer
  • Starus-Dateiwiederherstellung
  • JPEG-Wiederherstellung Pro
  • Aktiver Dateiwiederherstellungsprofi

Diese Programme sind nicht kostenlos, daher werde ich keine Links bereitstellen. Wenn Sie ein starkes Verlangen haben, können Sie sie selbst im Internet finden.

Der gesamte Dateiwiederherstellungsprozess wird im Video ganz am Ende des Artikels ausführlich gezeigt.

Kaspersky, eset nod32 und andere im Kampf gegen die Filecoder.ED-Ransomware

Beliebte Antivirenprogramme definieren die Ransomware CRYPTED000007 als Filecoder.ED und dann könnte es noch eine andere Bezeichnung geben. Ich habe die Foren der wichtigsten Antivirenprogramme durchgesehen und dort nichts Nützliches gefunden. Leider waren Antivirenprogramme wie üblich nicht auf die Invasion einer neuen Ransomware-Welle vorbereitet. Hier ist eine Nachricht aus dem Kaspersky-Forum.

Antivirenprogramme überspringen traditionell neue Modifikationen von Ransomware-Trojanern. Ich empfehle jedoch, sie zu verwenden. Wenn Sie Glück haben und nicht in der ersten Infektionswelle, sondern etwas später eine Ransomware per E-Mail erhalten, besteht die Möglichkeit, dass Ihnen das Antivirenprogramm hilft. Sie alle agieren einen Schritt hinter den Angreifern. herauskommen eine neue Version Ransomware, Antivirenprogramme reagieren nicht darauf. Sobald sich eine gewisse Menge an Material für die Erforschung eines neuen Virus ansammelt, veröffentlichen Antivirenprogramme ein Update und beginnen, darauf zu reagieren.

Was Antivirenprogramme daran hindert, sofort auf einen Verschlüsselungsvorgang im System zu reagieren, ist mir nicht klar. Möglicherweise gibt es bei diesem Thema eine technische Nuance, die es Ihnen nicht ermöglicht, angemessen zu reagieren und die Verschlüsselung von Benutzerdateien zu verhindern. Meiner Meinung nach wäre es möglich, zumindest eine Warnung anzuzeigen, dass jemand Ihre Dateien verschlüsselt, und anzubieten, den Vorgang zu stoppen.

Wo kann man eine garantierte Entschlüsselung beantragen?

Ich habe zufällig ein Unternehmen getroffen, das Daten nach der Arbeit verschiedener Verschlüsselungsviren, darunter CRYPTED000007, wirklich entschlüsselt. Ihre Adresse ist http://www.dr-shifro.ru. Zahlung erst nach vollständiger Entschlüsselung und Ihrer Verifizierung. Hier ist ein Beispiel-Workflow:

  1. Ein Spezialist des Unternehmens kommt zu Ihnen ins Büro oder nach Hause und schließt mit Ihnen einen Vertrag ab, in dem er die Kosten der Arbeiten festlegt.
  2. Führt den Entschlüsseler aus und entschlüsselt alle Dateien.
  3. Sie stellen sicher, dass alle Dateien geöffnet sind und unterzeichnen die Übergabe-/Abnahmeurkunde der ausgeführten Arbeiten.
  4. Zahlung erst nach erfolgreichem Entschlüsselungsergebnis.

Ehrlich gesagt weiß ich nicht, wie sie das machen, aber man riskiert nichts. Bezahlung erst nach Vorführung des Decoders. Bitte schreiben Sie eine Bewertung über Ihre Erfahrungen mit diesem Unternehmen.

Methoden zum Schutz vor dem Virus CRYPTED000007

Wie kann man sich vor der Arbeit einer Ransomware schützen und ohne materiellen und moralischen Schaden auskommen? Es gibt einige einfache und effektive Tipps:

  1. Sicherung! Sicherung aller wichtigen Daten. Und nicht nur ein Backup, sondern ein Backup, auf das es keinen dauerhaften Zugriff gibt. Andernfalls kann der Virus sowohl Ihre Dokumente als auch Ihre Backups infizieren.
  2. Lizenziertes Antivirenprogramm. Sie geben zwar keine hundertprozentige Garantie, erhöhen aber die Chancen, eine Verschlüsselung zu umgehen. Meistens sind sie nicht bereit für neue Versionen der Ransomware, beginnen aber nach drei bis vier Tagen zu reagieren. Dies erhöht Ihre Chancen, eine Infektion zu vermeiden, wenn Sie nicht in die erste Welle von Mailings einer neuen Ransomware-Modifikation einbezogen werden.
  3. Öffnen Sie keine verdächtigen Anhänge in E-Mails. Hier gibt es nichts zu kommentieren. Alle mir bekannten Kryptographen erreichten die Benutzer per Post. Und jedes Mal werden neue Tricks erfunden, um das Opfer zu täuschen.
  4. Öffnen Sie nicht gedankenlos Links, die Ihnen Ihre Freunde über geschickt haben soziale Netzwerke oder Boten. Auf diese Weise verbreiten sich Viren manchmal.
  5. Aktivieren Sie Windows, um Dateierweiterungen anzuzeigen. Wie das geht, ist im Internet leicht zu finden. Dadurch können Sie die Dateierweiterung des Virus erkennen. Meistens wird es so sein .exe, .vbs, .src. Bei der alltäglichen Arbeit mit Dokumenten werden Sie kaum auf solche Dateierweiterungen stoßen.

Ich habe versucht, das zu ergänzen, was ich bereits zuvor in jedem Artikel über den Ransomware-Virus geschrieben habe. Bis dahin verabschiede ich mich. Ich freue mich über nützliche Kommentare zum Artikel und zum Verschlüsselungsvirus CRYPTED000007 im Allgemeinen.

Video mit Entschlüsselung und Dateiwiederherstellung

Hier ist ein Beispiel einer früheren Modifikation des Virus, aber das Video ist auch für CRYPTED000007 vollständig relevant.

Die ersten Verschlüsselungstrojaner der Familie Trojan.Encoder erschienen in den Jahren 2006–2007. Seit Januar 2009 ist die Zahl ihrer Sorten um etwa 1900 % gestiegen! Derzeit ist Trojan.Encoder mit mehreren tausend Modifikationen eine der gefährlichsten Bedrohungen für Benutzer. Von April 2013 bis März 2015 erhielt das Virenlabor von Doctor Web 8.553 Anfragen zur Entschlüsselung von Dateien, die von Encoder-Trojanern betroffen waren.
Verschlüsselungsviren haben bei Anfragen in Foren fast den ersten Platz belegt Informationssicherheit. Jeden Tag gehen allein bei den Mitarbeitern des Doctor Web-Virenlabors durchschnittlich 40 Entschlüsselungsanfragen von infizierten Benutzern ein verschiedene Arten Ransomware-Trojaner ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, Tresor usw.). Die Hauptsymptome solcher Infektionen sind die Änderung der Erweiterungen von Benutzerdateien, z Musikdateien B. Bilddateien, Dokumente usw., erscheint beim Versuch, sie zu öffnen, eine Nachricht des Eindringlings, der eine Zahlung für den Erhalt des Entschlüsselers fordert. Es ist auch möglich, das Hintergrundbild des Desktops und das Erscheinungsbild zu ändern Textdokumente und Fenster mit entsprechenden Meldungen zu Verschlüsselung, Verletzung Lizenzvereinbarungen und so weiter. Verschlüsselungstrojaner sind für kommerzielle Unternehmen besonders gefährlich, da verlorene Daten aus Datenbanken und Zahlungsdokumenten die Arbeit eines Unternehmens auf unbestimmte Zeit blockieren und zu Gewinneinbußen führen können.

Trojaner der Trojan.Encoder-Familie verwenden Dutzende verschiedener Verschlüsselungsalgorithmen für Benutzerdateien. Um beispielsweise Schlüssel zum Entschlüsseln von Dateien zu finden, die mit dem Trojaner Trojan.Encoder.741 mithilfe einer einfachen Aufzählungsmethode verschlüsselt wurden, benötigen Sie Folgendes:
107902838054224993544152335601

Eine Entschlüsselung der durch den Trojaner beschädigten Dateien ist in maximal 10 % der Fälle möglich. Dies bedeutet, dass die meisten Benutzerdaten für immer verloren gehen.

Heutzutage erfordert Ransomware die Entschlüsselung von Dateien bis zu 1.500 Bitcoins.

Selbst wenn Sie dem Angreifer das Lösegeld zahlen, er gibt Ihnen keine Garantie für die Wiederherstellung der Informationen.

Es geht um Kuriositäten: Es wurde ein Fall registriert, bei dem die Kriminellen trotz des gezahlten Lösegelds die mit dem von ihnen erstellten Trojan.Encoder verschlüsselten Dateien nicht entschlüsseln konnten, und schickten den betroffenen Benutzer um Hilfe ... an den technischen Support des Antiviren-Unternehmens !

Wie kommt es zu einer Infektion?

  • Durch E-Mail-Anhänge; Mithilfe von Social Engineering zwingen die Angreifer den Benutzer, die angehängte Datei zu öffnen.
  • Mit als PDF-Anhänge getarnten Zbot-Infektionen.
  • Durch Exploit-Kits auf gehackten Websites, die Schwachstellen auf einem Computer ausnutzen, um eine Infektion zu installieren.
  • Durch Trojaner, die den Download des zum Ansehen von Online-Videos erforderlichen Players anbieten. Dies ist normalerweise auf Pornoseiten zu finden.
  • Über RDP unter Verwendung von Passwort-Erraten und Schwachstellen in diesem Protokoll.
  • Mit Hilfe infizierter Keygens, Cracks und Aktivierungsdienstprogramme.
In mehr als 90 % der Fälle starten (aktivieren) Benutzer Ransomware eigenhändig auf ihrem Computer.

Bei Verwendung von RDP errät der Angreifer das Passwort er kommt rein unter einem gehackten Konto, schaltet es aus oder entlädt ein Antivirenprodukt und startet sich Verschlüsselung.

Bis Sie keine Angst mehr vor Briefen mit den Überschriften „Schulden“, „Strafverfahren“ usw. haben, werden Angreifer Ihre Naivität ausnutzen.





Denken Sie ... Lernen Sie selbst und bringen Sie anderen die Grundlagen der Sicherheit bei!

  • Öffnen Sie niemals Anhänge von E-Mails, die Sie von unbekannten Empfängern erhalten haben, egal wie einschüchternd der Titel auch sein mag. Wenn der Anhang als Archiv geliefert wurde, machen Sie sich die Mühe, einfach den Inhalt des Archivs anzuzeigen. Und wenn es eine ausführbare Datei gibt (Erweiterung .exe, .com, .bat, .cmd, .scr), dann ist das zu 99,(9)% eine Falle für Sie.
  • Wenn Sie immer noch vor etwas Angst haben, seien Sie nicht zu faul, die Wahrheit herauszufinden E-Mail die Organisation, in deren Namen Ihnen der Brief zugesandt wurde. In unserem Informationszeitalter ist es gar nicht so schwer, das herauszufinden.
  • Auch wenn sich herausstellt, dass die Absenderadresse wahr ist, sollten Sie nicht zu faul sein, die Existenz eines solchen gesendeten Briefes telefonisch zu klären. Über anonyme SMTP-Server kann die Absenderadresse leicht gefälscht werden.
  • Wenn der Absender „Sberbank“ oder „Russische Post“ sagt, bedeutet das nichts. Normale Briefe sollten idealerweise mit einer digitalen Signatur unterzeichnet werden. Überprüfen Sie die Dateien, die solchen Briefen beigefügt sind, sorgfältig, bevor Sie sie öffnen.
  • Erstellen Sie regelmäßig Backups Ihrer Informationen auf separaten Medien.
  • Vergessen Sie die Verwendung einfache Passwörter die leicht zu erlernen und zu erlernen sind lokales Netzwerk Organisationen unter Ihren Daten. Verwenden Sie für den RDP-Zugriff Zertifikate, VPN-Zugriff oder Zwei-Faktor-Authentifizierung.
  • Arbeiten Sie niemals mit Administratorrechten, achten Sie auf Nachrichten UAC, selbst wenn sie es getan haben "blaue Farbe" unterschriebenen Antrag, nicht anklicken "Ja", wenn Sie keine Installationen oder Updates durchgeführt haben.
  • Installieren Sie regelmäßig Sicherheitsupdates nicht nur für das Betriebssystem, sondern auch für Anwendungsprogramme.
  • Installieren Passwort für Antivirus-Einstellungen, außer dem Passwort Konto, schalten Sie die Selbstschutzoption ein
Was tun bei einer Infektion?

Lassen Sie uns die Empfehlungen von Dr.Web und Kaspersky Lab zitieren:

  • Schalten Sie den Computer sofort aus, um die Aktion des Trojaners zu stoppen. Die Reset-/Einschalttaste auf Ihrem Computer kann einen erheblichen Teil der Daten retten.
  • Kommentarseite: Obwohl eine solche Empfehlung von namhaften Laboren ausgesprochen wird, führt ihre Umsetzung in manchen Fällen zu einer komplizierteren Entschlüsselung, da der Schlüssel gespeichert werden kann Arbeitsspeicher und nach einem Neustart des Systems ist eine Wiederherstellung nicht mehr möglich. Um eine weitere Verschlüsselung zu stoppen, können Sie die Ausführung des Ransomware-Prozesses mit Process Explorer einfrieren oder weitere Empfehlungen erhalten.

Spoiler: Fußnote

Kein Encoder ist in der Lage, alle Daten sofort zu verschlüsseln, so dass bis zum Ende der Verschlüsselung ein Teil davon intakt bleibt. Und je mehr Zeit seit Beginn der Verschlüsselung vergangen ist, desto weniger unberührt bleiben die Daten. Da es unsere Aufgabe ist, so viele davon wie möglich zu speichern, müssen wir den Encoder stoppen. Sie können im Prinzip damit beginnen, die Liste der Prozesse zu analysieren, herauszufinden, wo sich der Trojaner darin befindet, und versuchen, ihn zu beenden ... Aber glauben Sie mir, das Herausziehen des Netzkabels geht viel schneller! regelmäßige Fertigstellung Windows funktioniert Keine schlechte Alternative, aber es kann einige Zeit dauern, oder der Trojaner könnte seine Aktionen stören. Meine Entscheidung ist also, an der Schnur zu ziehen. Zweifellos hat dieser Schritt seine Nachteile: die Möglichkeit einer Beschädigung des Dateisystems und die Unmöglichkeit, den Arbeitsspeicher weiter zu entleeren. beschädigt Dateisystem Für eine unvorbereitete Person ist das Problem schwerwiegender als der Encoder. Nach dem Encoder bleiben zumindest Dateien übrig, während eine Beschädigung der Partitionstabelle das Booten des Betriebssystems unmöglich macht. Andererseits kann ein kompetenter Datenrettungsspezialist dieselbe Partitionstabelle problemlos reparieren, und der Encoder hat möglicherweise einfach keine Zeit, an viele Dateien zu gelangen.

Um ein Strafverfahren gegen die Täter einzuleiten, benötigen die Strafverfolgungsbehörden einen verfahrensrechtlichen Grund – Ihre Aussage zur Straftat. Beispielanwendung

Machen Sie sich darauf gefasst, dass Ihr Computer für einige Zeit zur Untersuchung zurückgezogen wird.

Wenn Ihr Antrag abgelehnt wird, holen Sie sich eine schriftliche Absage und reichen Sie Beschwerde bei einer höheren Polizeibehörde (dem Polizeipräsidenten Ihrer Stadt oder Region) ein.

  • Versuchen Sie auf keinen Fall, das Betriebssystem neu zu installieren.
  • Löschen Sie keine Dateien und E-Mail-Nachrichten auf Ihrem Computer.
  • Führen Sie keine „Reinigungsprogramme“ für temporäre Dateien und die Registrierung durch.
  • Sie sollten Ihren Computer nicht mit Antivirenprogrammen und Antiviren-Dienstprogrammen scannen und behandeln, und noch mehr mit Antiviren-LiveCDs; in extremen Fällen können Sie infizierte Dateien in die Antiviren-Quarantäne verschieben;

Spoiler: Fußnote

Für die Entschlüsselung kann eine unauffällige 40-Byte-Datei in einem temporären Verzeichnis oder eine unverständliche Verknüpfung auf dem Desktop den größten Wert haben. Sie wissen wahrscheinlich nicht, ob sie für die Entschlüsselung wichtig sind oder nicht, deshalb ist es am besten, nichts anzufassen. Das Bereinigen der Registrierung ist im Allgemeinen ein zweifelhafter Vorgang, und einige Encoder hinterlassen Arbeitsspuren, die für die Entschlüsselung wichtig sind. Antivirenprogramme können natürlich den Körper des Encoder-Trojaners finden. Und sie können es sogar ein für alle Mal löschen, aber was bleibt dann für die Analyse übrig? Wie verstehen wir, wie und womit Dateien verschlüsselt wurden? Daher ist es besser, das Tier auf der Scheibe zu lassen. Ein weiterer wichtiger Punkt: Ich kenne keinen Systemreiniger, der die Möglichkeit des Encoderbetriebs berücksichtigt und alle Spuren seines Betriebs bewahrt. Und höchstwahrscheinlich werden solche Mittel nicht erscheinen. Durch eine Neuinstallation des Systems werden mit Ausnahme verschlüsselter Dateien mit Sicherheit alle Spuren des Trojaners vernichtet.

  • Versuchen Sie nicht, verschlüsselte Dateien wiederherzustellen auf sich allein;

Spoiler: Fußnote

Wenn Sie ein paar Jahre lang Programme geschrieben haben, wirklich verstehen, was RC4, AES, RSA sind und was der Unterschied zwischen ihnen ist, Sie wissen, was Hiew ist und was 0xDEADC0DE bedeutet, können Sie es versuchen. Ich empfehle es anderen nicht. Nehmen wir an, Sie haben eine Wundermethode zum Entschlüsseln von Dateien gefunden und es ist Ihnen sogar gelungen, eine Datei zu entschlüsseln. Dies ist keine Garantie dafür, dass die Technik bei allen Ihren Dateien funktioniert. Darüber hinaus ist dies keine Garantie dafür, dass Sie die Dateien durch diese Methode nicht noch mehr beschädigen. Selbst bei unserer Arbeit gibt es unangenehme Momente, in denen schwerwiegende Fehler im Entschlüsselungscode gefunden werden, aber in Tausenden von Fällen hat der Code bis zu diesem Zeitpunkt so funktioniert, wie er sollte.

Da nun klar ist, was zu tun ist und was nicht, können Sie mit der Dekodierung beginnen. Theoretisch ist eine Entschlüsselung fast immer möglich. Dies ist der Fall, wenn Sie alle dafür benötigten Daten kennen oder über eine unbegrenzte Menge an Geld, Zeit und Prozessorkernen verfügen. In der Praxis kann man etwas fast sofort entziffern. Etwas wird ein paar Monate oder sogar Jahre warten, bis es an die Reihe kommt. In manchen Fällen können Sie es nicht einmal nehmen: Niemand wird 5 Jahre lang umsonst einen Supercomputer mieten. Schlimm ist auch, dass sich ein scheinbar einfacher Fall bei genauer Betrachtung als äußerst komplex herausstellt. An wen Sie sich wenden können, bleibt Ihnen überlassen.

  • Wenden Sie sich an das Antivirenlabor des Unternehmens, in dem sich eine Abteilung von Virenanalytikern mit diesem Problem befasst.
  • Hängen Sie die mit dem Trojaner verschlüsselte Datei an das Ticket an (und, wenn möglich, seine unverschlüsselte Kopie);
  • Warten Sie auf die Antwort des Virenanalysten. Aufgrund der hohen Anzahl an Anfragen kann dies einige Zeit in Anspruch nehmen.
Wie kann ich Dateien wiederherstellen?

Adressen mit Formularen zum Versenden verschlüsselter Dateien:

  • Dr.Web (Anträge auf kostenlose Entschlüsselung werden nur von Benutzern des komplexen Antivirenprogramms Drweb angenommen)
  • Kaspersky Lab (Anfragen zur kostenlosen Entschlüsselung werden nur von Benutzern kommerzieller Kaspersky Lab-Produkte angenommen)
  • ESET LLC ( Anträge auf kostenlose Entschlüsselung werden nur von Benutzern kommerzieller ESET-Produkte angenommen)
  • Das No More Ransom Project (Auswahl von Codeknackern)
  • Kryptographen - Erpresser (Auswahl an Entschlüsselern)
  • ID Ransomware (Auswahl an Entschlüsselern)

Wir absolut nicht zu empfehlen Stellen Sie Dateien selbst wieder her, denn bei ungeschickten Aktionen ist es möglich, alle Informationen zu verlieren, ohne etwas wiederherzustellen !!! Darüber hinaus ist die Wiederherstellung von Dateien möglich, die von einigen Arten von Trojanern verschlüsselt wurden einfach unmöglich aufgrund der Stärke des Verschlüsselungsmechanismus.

Dienstprogramme zum Wiederherstellen gelöschter Dateien:
Einige Arten von Ransomware-Trojanern erstellen eine Kopie der verschlüsselten Datei, verschlüsseln sie und löschen die Originaldatei. In diesem Fall können Sie eines der Dienstprogramme zur Dateiwiederherstellung verwenden (es wird empfohlen, tragbare Versionen von Programmen zu verwenden, die heruntergeladen und auf einen Flash geschrieben wurden). Laufwerk auf einem anderen Computer):

  • R.sparer
  • Recuva
  • JPEG Ripper – Dienstprogramm zur Wiederherstellung beschädigter Bilder
  • JPGscan-Beschreibung)
  • PhotoRec – Dienstprogramm zur Wiederherstellung beschädigter Bilder (Beschreibung)
Methode zur Lösung von Problemen mit einigen Versionen Sperrverzeichnis

Mit einigen Versionen von Lockdir verschlüsselte Ordner können mit einem Archivierungsprogramm geöffnet werden 7zip

Nach erfolgreicher Datenwiederherstellung müssen Sie das System auf Malware überprüfen. Dazu sollten Sie im Abschnitt ein Thema mit einer Beschreibung des Problems ausführen und erstellen

Wiederherstellung verschlüsselter Dateien mithilfe von Betriebssystemtools.

Um Dateien mithilfe des Betriebssystems wiederherzustellen, müssen Sie den Systemschutz aktivieren, bevor der Trojaner-Verschlüsselungscode auf Ihren Computer gelangt. Die meisten Ransomware-Trojaner versuchen, alle Schattenkopien auf Ihrem Computer zu entfernen, aber manchmal schlägt dies fehl (wenn keine Administratorrechte vorhanden sind). installierte Updates Windows) und Sie können Schattenkopien verwenden, um beschädigte Dateien wiederherzustellen.

Es ist zu beachten, dass der Befehl zum Entfernen von Schattenkopien:

Code:

Vssadmin löscht Schatten

funktioniert nur mit Administratorrechten. Nach der Aktivierung des Schutzes dürfen Sie daher nur als Benutzer mit eingeschränkten Rechten arbeiten und alle UAC-Warnungen bezüglich eines Versuchs, Rechte zu erhöhen, beachten.


Spoiler: Wie aktiviere ich den Systemschutz?


Wie kann ich frühere Versionen von Dateien wiederherstellen, nachdem diese beschädigt wurden?


Notiz:

Wiederherstellen der Eigenschaften einer Datei oder eines Ordners mit der Funktion „ Vorherige Versionen" verfügbar nur in Editionen von Windows 7 und höher „Professional“. Für Home-Editionen von Windows 7 und alle Editionen neuerer Windows gibt es eine Problemumgehung (siehe Spoiler).

Spoiler


Der zweite Weg - Dies ist die Verwendung des Dienstprogramms Schattenforscher(Sie können sowohl das Installationsprogramm als auch die tragbare Version des Dienstprogramms herunterladen.)

Führen Sie das Programm aus
Wählen Sie das Laufwerk und das Datum aus, für das Sie Dateien wiederherstellen möchten




Wählen Sie die wiederherzustellende Datei oder den Ordner aus und klicken Sie mit der rechten Maustaste darauf
Wählen Sie einen Menüpunkt aus Export und geben Sie den Pfad zu dem Ordner an, in dem Sie Dateien aus der Schattenkopie wiederherstellen möchten.



Möglichkeiten zum Schutz vor Ransomware-Trojanern

Leider sind die Möglichkeiten, sich für normale Benutzer vor Ransomware-Trojanern zu schützen, recht kompliziert, da Sicherheitsrichtlinien oder HIPS erforderlich sind, um den Zugriff auf Dateien nur bestimmten Anwendungen zu ermöglichen, und in solchen Fällen keinen 100-prozentigen Schutz bieten, wenn ein Trojaner in die Adresse eingebettet ist Speicherplatz einer vertrauenswürdigen Anwendung. Daher ist die einzige verfügbare Schutzmethode Sicherung benutzerdefinierte Dateien zu Wechselmedien. Handelt es sich in diesem Fall um eine externe Festplatte oder ein Flash-Laufwerk, sollten diese Medien nur während der Sicherung an den Computer angeschlossen und in der übrigen Zeit getrennt werden. Für mehr Sicherheit können Backups durch Booten von erstellt werden Live-CD. Außerdem können Backups auf dem sogenannten „ Cloud-Speicher von einigen Unternehmen bereitgestellt.

Einstellung Antivirenprogramme um die Wahrscheinlichkeit einer Infektion mit Ransomware-Trojanern zu verringern.

Gilt für alle Produkte:

Sie müssen das Selbstverteidigungsmodul aktivieren und ein komplexes Passwort für die Antivireneinstellungen festlegen!!!

Heute erzähle ich Ihnen von einem Virus, der meinem Freund vor kurzem passiert ist. Sein Computer war mit dem Ransomware-Virus crypted000007 infiziert.

Dadurch ging der Zugriff auf viele wichtige Dateien verloren, die wiederhergestellt werden mussten. Dann wandte sich ein Freund hilfesuchend an mich.

Nach einer gründlichen Suche nach verschiedenen im Internet verfügbaren Dienstprogrammen und Diensten wurde mir klar, dass es immer noch keinen universellen Entschlüsseler für crypted000007 gibt. Das Virus ist recht neu und komplex, es gibt verschiedene Modifikationen davon, für die es sehr schwierig ist, eine Lösung zu finden.

Trotzdem gelang es mir, mehrere Möglichkeiten zu finden, die mir nicht nur dabei halfen, die Bedrohung zu finden und zu entfernen, sondern auch einige der verschlüsselten Dateien zurückzugeben. Zuvor möchte ich jedoch darüber sprechen, wie die Ransomware in das System gelangt ist und was bei einer Infektion eines Computers zunächst zu tun ist.

Wie kam es zur Infektion?

Ich erhielt per Post einen Brief der Versicherungsagentur, in dem es um die Wichtigkeit des Briefes ging und ich gebeten wurde, mich mit dem beigefügten Meldedokument vertraut zu machen. Dies ist die häufigste Art, einen Computer zu infizieren. Angreifer greifen auf verschiedene Tricks zurück, um den Benutzer zu verängstigen oder zu interessieren.

Zufälligerweise arbeitete ein Bekannter als Versicherungsvertreter und öffnete ohne etwas zu ahnen das beigefügte Dokument. Seitdem das alles angefangen hat.

Nach einer gewissen Zeit erschien ein Fenster, in dem ich um Erlaubnis gebeten wurde, Änderungen vorzunehmen. Wenn Sie die Erlaubnis erteilen, werden Schattenkopien der Dateien gelöscht und es ist unwahrscheinlich, dass Sie die Informationen wiederherstellen können.

Da es in Windows XP keine Schattenkopien gibt, wird das Berechtigungsfenster nicht angezeigt.

Nach zahlreichen Ablehnungsversuchen verschwand das Fenster und erschien nicht wieder. Doch nach einer Weile bemerkte ein Freund, dass sich die Erweiterung einiger Dateien in crypted000007 änderte, wodurch sie nicht mehr lesbar waren.

Der Einfachheit halber deaktivieren einige Benutzer das Berechtigungsfenster „UAC“, um verschiedenen Anwendungen automatischen Zugriff auf das System zu gewähren. Dann beginnt die gefährliche Software ohne Vorwarnung zu handeln.

Genau so funktioniert der Verschlüsseler. Sein Zweck besteht darin, Ihre Daten zu verschlüsseln und viele identische Textdokumente auf dem Desktop zu erstellen, die Folgendes enthalten Kontaktinformationen um den Ersteller des Virus crypted000007 zu kontaktieren. Normalerweise bitten sie darum, einen speziellen Code an pilotp zu senden [email protected] Anschließend erhalten Sie weitere Anweisungen.


Genauer gesagt verspricht der Angreifer, einen Entschlüsseler zu senden oder alle Daten selbst zurückzugeben, nachdem er einen bestimmten Betrag auf sein Konto überwiesen hat. Sehen Sie es auf keinen Fall.

Da sie nicht verstanden, was los war, riefen sie mich sofort an und baten um Hilfe.

So erkennen und entfernen Sie eine Bedrohung

Bevor Sie mit der Entschlüsselung von crypted000007-Dateien beginnen, müssen Sie den Virus finden und von Ihrem Computer entfernen.


In seltenen Fällen funktioniert gefährliche Software auch im abgesicherten Modus weiter, dann helfen beispielsweise Antiviren-Live-CDs.

Manuelle Erkennungsmethode:


Nachdem die Entfernung des crypted000007-Virus erfolgreich abgeschlossen wurde, können Sie mit der Entschlüsselung der Dateien fortfahren.

Entschlüsseler für crypted000007

Zum Zeitpunkt der Erstellung dieses Artikels wurde noch kein universeller Entschlüsseler für den Virus crypted000007 erstellt. Aber vielleicht erscheint morgen ein funktionierender Decoder. Überprüfen Sie es daher von Zeit zu Zeit auf einer eigenen Website.

So verwenden Sie es:


Soweit ich weiß, gibt es keine anderen ähnlichen Dienste oder Dienstprogramme zum Entschlüsseln von crypted000007. Sobald sie erscheinen, werde ich diesen Artikel umgehend ergänzen.

Darüber hinaus kann es hilfreich sein, sich mit der Liste der vorhandenen vertraut zu machen dieser Moment Decoder über diesen Link. Sie sind kostenlos und können für andere Aufgaben geeignet sein.

Wiederherstellung von Dateien

Aber was tun, wenn der Virus crypted000007 Dateien verschlüsselt hat und es immer noch keinen normal funktionierenden Entschlüsseler im Netzwerk gibt? Es gibt nur eine Möglichkeit: Verwenden Sie manuelle Dateiwiederherstellungsmethoden.

Nämlich:

  1. Verwenden Sie integrierte Windows-Tool Schattenkopien. Gleichzeitig muss die Erstellung solcher Kopien aktiviert sein, sonst geht nichts.
  2. ausnutzen spezielle Programme um gelöschte Daten wiederherzustellen, beispielsweise mit dem Dienstprogramm „Comfy File Recovery“.

Das Tool „Schattenkopien“ ist nur verfügbar für Windows-Benutzer 7 und höher. In mehr frühe Versionen er ist nicht da.

Wiederherstellen von Daten mit dem Dienstprogramm ShadowExplorer


Ordner werden auf die gleiche Weise wiederhergestellt. Wenn Sie Schattenkopien haben, können Sie fast alle Dateien wiederherstellen. Vielleicht werden einige von ihnen älter sein, aber es ist besser als nichts.

Kostenlose Decoder

Für einige Modifikationen des crypted000007-Virus, zum Beispiel Troldesh Shade Decryptor, gibt es spezielle Decrypter von Kaspersky und Service Kein Lösegeld mehr. Sie können sie auf den offiziellen Websites herunterladen.

Ich erkläre Ihnen, wie Sie das Entschlüsselungsprogramm von Kaspersky verwenden.


Sobald die Verifizierung abgeschlossen ist, klicken Sie auf „Weitere Informationen“, um sie anzuzeigen volle Liste entschlüsselte Dateien.


Bequeme Dateiwiederherstellung

Dieses Programm sollte eher zum Wiederherstellen gelöschter Informationen als zum Entschlüsseln verwendet werden. „Comfy“ spart nicht immer, aber wenn andere Methoden nicht geholfen haben, dann lohnt sich der Einsatz auf jeden Fall.

Gebrauchsanweisung:

  1. Laden Sie das Dienstprogramm herunter und führen Sie es aus.
  2. Wählen Sie „Master“ aus dem oberen Menü.
  3. Wir drücken „Weiter“.
  4. Wählen gewünschte Festplatte, das die verlorenen Informationen enthielt.
  5. Starten Sie die Tiefenanalyse.
  6. Aktivieren Sie die Option „Alle Dateien“.
  7. Aktivieren Sie das Kontrollkästchen neben dem gelöschten Datenelement.
  8. Wir warten auf das Ende des Prozesses. Der Suchvorgang kann lange dauern. Das hängt vom Zustand und Gesamtvolumen ab Festplatte.
  9. Beachten Sie, dass die Suche abgeschlossen ist notwendige Informationen und klicken Sie auf „Wiederherstellen“.

Das Programm zeigt eine bessere Leistung bei der Erkennung und Rückgabe gelöschter Informationen. Daher ist „Comfy File Recovery“ in Fällen nützlich, in denen der crypted000007-Verschlüsseler die Arbeitsdaten vor der Verschlüsselung gelöscht hat und nur die verschlüsselte Version zurückgelassen hat.

Nicht alle Modifikationen dieses Virus funktionieren auf diese Weise, aber vielleicht haben Sie Glück und in Ihrem Fall erhöhen sich die Erfolgsaussichten.

Alternativ können Sie mit Comfy File Recovery versuchen, die alten Kopien verschlüsselter Daten, beispielsweise vor einem Monat, wiederherzustellen. Sie sind vielleicht nicht so relevant, aber es ist besser als nichts.

Das Dienstprogramm hat Analoga: Hetman Partition Recovery, EaseUS Datenwiederherstellung, 7-Data Recovery und andere.

Aktuelle Nachrichten von Antiviren-Entwicklern

Seit dem Erscheinen des crypted000007-Verschlüsselungsprogramms sind zwei Jahre vergangen, aber bis heute wurde kein universelles Entschlüsselungsprogramm entwickelt.


Davon zeugen nicht nur diverse Appelle an die Support-Spezialisten der beliebten Antivirenprogramme Kaspersky, Dr.Web, ESET NOD32, sondern auch zahlreiche Nachrichten von Anwendern, die mit dieser Bedrohung zu kämpfen hatten.


Höchstwahrscheinlich verfügen nur die Entwickler von crypted000007 über einen funktionierenden Entschlüsseler.

Wo Sie Hilfe bekommen können

Bei der Lösung des Problems habe ich nicht nur meine persönlichen Erfahrungen berücksichtigt, sondern auch die Meinungen anderer Benutzer aus verschiedenen Websites und Foren, auf denen ein Dienst namens „dr-shifro.ru“ sehr heftig beworben wurde Entschlüsselungsdienste.


Ehrlich gesagt habe ich keine einzige positive Bewertung über die Arbeit dieses Dienstes gesehen und habe mich daher nicht getraut, persönlich Kontakt aufzunehmen. Höchstwahrscheinlich, weil die verlorenen Daten nicht so wertvoll waren.

Wenn Sie sich jedoch entscheiden, Kontakt mit ihnen aufzunehmen, versuchen Sie vor der Bezahlung der Dienste, ein paar verschlüsselte Dateien zu senden, deren Inhalt Sie im Voraus kennen. Und sehen Sie, wie die Service-Spezialisten mit der Entschlüsselung von crypted000007 zurechtkommen.

Ich gebe einige Tipps, die Ihnen helfen, Ihr Gerät vor verschiedenen Virenprogrammen zu schützen.

  1. Verwenden Sie ein umfassendes Antivirenprogramm, vorzugsweise eines der . Auch wenn es eine kostenlose Version davon ist. Natürlich bietet kein Antivirenprogramm hundertprozentigen Schutz, aber es verringert das Risiko des Eindringens einer Bedrohung erheblich.
  2. Genießen E-Mail-Client, wie etwa Outlook. Viele Antivirenprogramme sind mit einem E-Mail-Scanner ausgestattet, der leicht Malware im Inhalt des Briefes findet und so das Eindringen in das System verhindert.
  3. Versuchen Sie nicht, dubiosen Links zu folgen oder Programme von unbekannten Quellen herunterzuladen, einschließlich E-Mail-Anhängen. Bevor Sie jedoch ein Dienstprogramm installieren oder ausführen, überprüfen Sie es bei Bedarf mit einem Antivirenprogramm.
  4. Installieren Sie die WOT-Erweiterung in Ihrem Browser. So können Sie die Qualität einer Ressource beurteilen. Viele Antivirenprogramme verfügen über einen Webscanner, der den Übergang zu einer gefährlichen Website blockiert. Das ist ein weiterer großer Pluspunkt für sie.

Ich hoffe, dass der Artikel informativ und nützlich genug war. Aber wenn ich etwas verpasst habe, schreib es in den Kommentaren. Vielleicht wird Ihre Erfahrung für viele Benutzer eine Lebensader sein.

Wenn es jedoch nicht möglich war, die verlorenen Informationen wiederherzustellen und die verschlüsselten Dateien trotzdem zu speichern, ist es möglich, dass sehr bald ein normaler crypted000007-Entschlüsseler erscheint.

Weitere Methoden werden in diesem Video besprochen

Professionelle Hilfe

Wenn Sie das Problem nicht selbst beheben können,
dann liegt das Problem höchstwahrscheinlich in mehr technisches Niveau.
Es könnte eine Panne sein Hauptplatine, Stromversorgung,
Festplatte, Grafikkarte, RAM usw.

Es ist wichtig, die Störung rechtzeitig zu diagnostizieren und zu beheben.
um den Ausfall anderer Komponenten zu verhindern.

Unser Spezialist hilft Ihnen dabei.

Hinterlassen Sie eine Anfrage und erhalten Sie
Kostenlose Beratung und Diagnostik durch einen Spezialisten!

AUFMERKSAMKEIT! Unternehmen ESET warnt davor In letzter Zeit erhöhte Aktivität und Infektionsrisiko Firmennetzwerk Schadsoftware, deren Folgen sind:

1) Verschlüsselung vertraulicher Informationen und Dateien, einschließlich Datenbanken 1C, Dokumente, Bilder. Die Art der verschlüsselten Dateien hängt von der spezifischen Modifikation des Encoders ab. Der Verschlüsselungsprozess erfolgt nach komplexen Algorithmen und die Verschlüsselung erfolgt jeweils nach einem bestimmten Muster. Daher ist es schwierig, verschlüsselte Daten wiederherzustellen.

2) In einigen Fällen wird der Verschlüsseler nach der Durchführung böswilliger Aktionen automatisch vom Computer entfernt, was die Auswahl eines Entschlüsselers erschwert.

Nach der Durchführung böswilliger Aktionen erscheint auf dem Bildschirm des infizierten Computers ein Fenster mit der Information „ Ihre Dateien werden verschlüsselt“, sowie die Ransomware-Anforderungen, die erfüllt sein müssen, um den Entschlüsseler zu erhalten.

2) Verwenden Sie Antivirenlösungen mit integriertem Firewall-Modul ( ESET NOD32 Intelligente Sicherheit ), um die Wahrscheinlichkeit zu verringern, dass ein Angreifer eine Sicherheitslücke ausnutzt RDP auch wenn keine notwendigen Betriebssystem-Updates vorliegen. Es wird empfohlen, erweiterte Heuristiken für die Ausführung ausführbarer Dateien zu aktivieren (Zusätzliche Einstellungen(F5) – Computer – Viren- und Spyware-Schutz Programme- Schutz in Echtzeit - Erweiterte Einstellungen. Außerdem, Bitte überprüfen Sie, ob der ESET Live Grid-Dienst aktiviert ist(Erweiterte Einstellungen (F5) – Dienstprogramme – ESET Live Grid).

3) An Mail-Server Es ist notwendig, den Empfang und die Übertragung ausführbarer Dateien zu verbieten *.exe, und auch *.js, da Scrambler von Angreifern oft als Anhang an verschickt werden Email mit fiktiven Informationen zum Inkasso, Informationen darüber und anderen ähnlichen Inhalten, die den Benutzer dazu veranlassen können, einen schädlichen Anhang einer E-Mail eines Angreifers zu öffnen und dadurch einen Verschlüsselungsalgorithmus zu starten.

4) Deaktivieren Sie die Ausführung von Makros in allen darin enthaltenen Anwendungen Microsoft Office oder ähnliche Software von Drittanbietern. Makros können einen Befehl zum Laden und Ausführen enthalten Schadcode, das gestartet wird, wenn Sie normalerweise ein Dokument anzeigen (zum Beispiel beim Öffnen eines Dokuments mit dem Namen „ Bekanntmachung zum Inkasso.doc» aus einem Brief von Eindringlingen kann zu einer Infektion des Systems führen, auch wenn der Server den schädlichen Anhang mit der ausführbaren Encoder-Datei nicht durchgelassen hat, sofern Sie die Makroausführung in den Einstellungen nicht deaktiviert haben Office-Programme).

5) Treiben Sie regelmäßig Sport Sicherung(Backup) wichtiger Informationen, die auf Ihrem Computer gespeichert sind. Ausgehend vom Betriebssystem Windows Vista Teil Betriebssysteme Windows umfasst einen Systemschutzdienst auf allen Laufwerken, der Dateien und Ordner während der Sicherung oder Erstellung eines Systemwiederherstellungspunkts sichert. Standardmäßig ist dieser Dienst nur für aktiviert Systempartition. Es wird empfohlen, diese Funktion für alle Partitionen zu aktivieren.

Was tun, wenn die Infektion bereits aufgetreten ist?

Wenn Sie Opfer von Eindringlingen werden und Ihre Dateien verschlüsselt sind, überweisen Sie nicht überstürzt Geld auf ihr Konto, um einen Entschlüsseler auszuwählen. Vorausgesetzt, Sie sind unser Kunde Wenden Sie sich an den technischen Support. Möglicherweise können wir einen Decoder für Ihren Fall auswählen oder ein solcher Decoder ist bereits verfügbar. Dazu müssen Sie dem Archiv ein Beispiel des Encoders und ggf. anderer verdächtiger Dateien hinzufügen und dieses Archiv per an uns senden. Fügen Sie dem Archiv auch einige Beispiele verschlüsselter Dateien hinzu. Geben Sie in den Kommentaren die Umstände an, unter denen die Infektion aufgetreten ist, sowie Ihre Lizenzdaten und Kontakt E-mail Für Rückmeldung.

Sie können versuchen, die ursprüngliche, unverschlüsselte Version von Dateien aus Schattenkopien wiederherzustellen, sofern dies der Fall ist gegebene Funktion aktiviert wurde und die Schattenkopien nicht durch den Ransomware-Virus beschädigt wurden. Mehr dazu:

Zum Erhalten Weitere Informationen Kontakt .

Ransomware-Virusinfektion

In letzter Zeit kommt es immer häufiger zu Infektionen mit Ransomware (Verschlüsselungssoftware, Kryptoviren) über Mailinglisten.
Angeblich stammen die Briefe von autorisierten Stellen (Schiedsgericht, Finanzamt, Pensionskasse, FSS etc.). Briefe enthalten als Anhang eine Datei oder einen Link zu einer Datei.
Wenn Sie versuchen, die Datei zu öffnen, kommt es zu einer Infektion, die Folgendes zur Folge hat:
1. Vollständig oder teilweise verschlüsselte Informationen auf den Festplatten und Netzwerkfestplatten Ihres Computers. Anstelle der üblichen Dateierweiterungen sehen Sie: vault, cbr, crypt, crypted, xtbl oder andere;
2. Sicherungskopien und wertvolle Informationen werden gelöscht;
3. Computer im lokalen Netzwerk sind infiziert;
4. Briefe mit einem Virus in Ihrem Namen werden seltener an Empfänger aus Ihrem Adressbuch gesendet;
5. Der Angreifer hinterlässt eine Nachricht über die Notwendigkeit einer Zahlung, um die Daten zurückzugeben. In der Regel beträgt der Betrag 25.000 Rubel. und höher.

Behandlung des Encoder-Virus.

Fast alle Antivirenprogramme überspringen Ransomware-Viren. Dies liegt daran, dass jeden Tag neue Scrambler auftauchen, die von der Antivirensoftware nicht erkannt werden, und zwar bis zu dem Zeitpunkt, an dem sie eingreifen Antiviren-Datenbanken Hunderttausende Computer sind infiziert.

Wie kann man Dateien entschlüsseln, nachdem sie mit einem Ransomware-Virus infiziert wurden?

Mit modernen Verschlüsselungsprogrammen verschlüsselte Dateien können nicht entschlüsselt werden, da Viren einen starken Verschlüsselungsalgorithmus verwenden. Selbst Antiviren-Labore können in den meisten Fällen nicht helfen, Dateien zu entschlüsseln. Natürlich ist es nicht überflüssig, Kaspersky Lab oder Dr.Web um Hilfe zu bitten, aber Sie sollten kein garantiertes Ergebnis erwarten.

Die einzig wirksame Methode zum Schutz vor dem Ransomware-Virus sind vorbeugende Maßnahmen.

Unsere Experten empfehlen, eine Reihe von Einstellungen zum Schutz vor Ransomware-Viren vorzunehmen:



Freunden erzählen
Twitter
Das sind die Daten...
Nächster Artikel
Lesen Sie auch
Dateiverwaltung, Dateitypen, Dateisystem, Dateiattribute Was ist eine Datendatei?
Dateiverwaltung, Dateitypen, Dateisystem, Dateiattribute Was ist eine Datendatei?
2023-04-12 01:11:01
YouTube-Keyword-Recherche – kostenloser Service
YouTube-Keyword-Recherche – kostenloser Service
2023-03-30 18:39:04
YouTube-Abschlussbildschirme – Neue Funktion Arbeiten mit YouTube-Abschlussbildschirmen
YouTube-Abschlussbildschirme – Neue Funktion Arbeiten mit YouTube-Abschlussbildschirmen
2023-03-30 18:39:04
Beste Smartphones mit leistungsstarken Akkus Telefone mit 5000 mAh und mehr Akku
Beste Smartphones mit leistungsstarken Akkus Telefone mit 5000 mAh und mehr Akku
2023-03-18 02:14:29