So finden Sie heraus, womit eine Datei verschlüsselt ist. Arbeitsdateien wurden in .xtbl umgewandelt: Zähmung des Ransomware-Virus. Hinweis zur Dateiverschlüsselung

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

„Tut mir leid, dass ich Sie störe, aber... Ihre Dateien sind verschlüsselt. Um den Entschlüsselungsschlüssel zu erhalten, überweisen Sie dringend einen bestimmten Geldbetrag auf Ihr Portemonnaie... Andernfalls werden Ihre Daten für immer zerstört. Du hast 3 Stunden, die Zeit ist vergangen.“ Und es ist kein Witz. Ein Verschlüsselungsvirus ist eine mehr als echte Bedrohung.

Heute sprechen wir darüber, was die in den letzten Jahren verbreitete Ransomware-Malware ist, was man bei einer Infektion tun kann, wie man seinen Computer heilt und ob das überhaupt möglich ist und wie man sich davor schützt.

Wir verschlüsseln alles!

Ein Ransomware-Virus (Encryptor, Cryptor) ist eine spezielle Art bösartiger Ransomware, deren Aktivität darin besteht, die Dateien des Benutzers zu verschlüsseln und dann ein Lösegeld für das Entschlüsselungstool zu verlangen. Die Lösegeldbeträge beginnen bei etwa 200 US-Dollar und reichen bis zu Zehntausenden und Hunderttausenden grünen Papierstücken.

Vor einigen Jahren wurden nur Windows-basierte Computer von dieser Malware-Klasse angegriffen. Heute hat sich ihr Angebot auf scheinbar gut geschützte Linux-, Mac- und Android-Geräte ausgeweitet. Darüber hinaus wächst die Vielfalt der Verschlüsselungsgeräte ständig – nach und nach erscheinen neue Produkte, die die Welt in Erstaunen versetzen. Es entstand durch die „Kreuzung“ eines klassischen Verschlüsselungstrojaners und eines Netzwerkwurms (ein Schadprogramm, das sich ohne aktive Beteiligung der Benutzer über Netzwerke verbreitet).

Nach WannaCry erschienen nicht weniger raffinierte Petya und Bad Rabbit. Und da das „Verschlüsselungsgeschäft“ seinen Eigentümern gute Einnahmen bringt, können Sie sicher sein, dass sie nicht die letzten sind.

Immer mehr Ransomware, insbesondere solche, die in den letzten drei bis fünf Jahren veröffentlicht wurden, nutzt Strong kryptografische Algorithmen, die weder mit roher Gewalt noch mit anderen vorhandenen Mitteln geknackt werden kann. Die einzige Möglichkeit, Daten wiederherzustellen, besteht darin, den Originalschlüssel zu verwenden, den die Angreifer zum Kauf anbieten. Allerdings ist selbst die Überweisung des erforderlichen Betrags keine Garantie für den Erhalt des Schlüssels. Kriminelle haben es nicht eilig, ihre Geheimnisse preiszugeben und potenzielle Gewinne zu verlieren. Und welchen Sinn haben sie, ihre Versprechen zu halten, wenn sie das Geld bereits haben?

Verbreitungswege verschlüsselnder Viren

Der Hauptweg, über den Schadsoftware auf die Computer von Privatanwendern und Organisationen gelangt, sind E-Mails, genauer gesagt Dateien und Links, die an E-Mails angehängt sind.

Ein Beispiel für einen solchen Brief für „Firmenkunden“:

  • „Zahlen Sie Ihre Kreditschulden sofort zurück.“
  • „Die Klage wurde vor Gericht eingereicht.“
  • „Zahlen Sie die Geldstrafe/Gebühr/Steuer.“
  • „Zusätzliche Gebühr für Stromrechnungen.“
  • „Oh, bist du das auf dem Foto?“
  • „Lena hat mich gebeten, dir das dringend zu geben“ usw.

Stimmen Sie zu, nur ein sachkundiger Benutzer würde einen solchen Brief mit Vorsicht behandeln. Die meisten Menschen werden ohne zu zögern den Anhang öffnen und das Schadprogramm selbst starten. Übrigens, trotz der Schreie des Antivirenprogramms.

Auch Folgendes wird aktiv zur Verbreitung von Ransomware genutzt:

  • Soziale Netzwerke (Mailing von den Accounts von Freunden und Fremden).
  • Schädliche und infizierte Webressourcen.
  • Bannerwerbung.
  • Mailing über Messenger von gehackten Konten.
  • Vareznik-Sites und Distributoren von Keygens und Cracks.
  • Websites für Erwachsene.
  • Anwendungs- und Inhaltsspeicher.

Verschlüsselungsviren werden häufig von anderen Schadprogrammen übertragen, insbesondere von Werbedemonstratoren und Backdoor-Trojanern. Letztere nutzen Schwachstellen im System und in der Software aus, um dem Kriminellen zu helfen Fernzugriff auf das infizierte Gerät. Der Start des Verschlüsselungsprogramms fällt in solchen Fällen nicht immer zeitlich mit potenziell gefährlichen Benutzeraktionen zusammen. Solange die Hintertür im System verbleibt, kann ein Angreifer jederzeit in das Gerät eindringen und die Verschlüsselung veranlassen.

Um die Computer von Organisationen zu infizieren (schließlich lässt sich daraus mehr herausholen als von Heimanwendern), werden besonders ausgefeilte Methoden entwickelt. Beispielsweise drang der Petya-Trojaner über das Update-Modul des Steuerbuchhaltungsprogramms MEDoc in Geräte ein.

Verschlüsselungsgeräte mit den Funktionen von Netzwerkwürmern verbreiten sich, wie bereits erwähnt, durch Protokollschwachstellen über Netzwerke, einschließlich des Internets. Und man kann sich mit ihnen infizieren, ohne überhaupt etwas zu tun. Nutzer von Windows-Betriebssystemen, die selten aktualisiert werden, sind am stärksten gefährdet, da Updates bekannte Lücken schließen.

Einige Schadprogramme wie WannaCry nutzen 0-Day-Schwachstellen aus, also solche, die den Systementwicklern noch nicht bekannt sind. Leider ist es auf diese Weise nicht möglich, einer Infektion vollständig zu widerstehen, aber die Wahrscheinlichkeit, dass Sie zu den Opfern gehören, liegt nicht einmal bei 1 %. Warum? Ja, denn Malware kann nicht alle anfälligen Maschinen gleichzeitig infizieren. Und während neue Opfer geplant werden, gelingt es den Systementwicklern, ein lebensrettendes Update zu veröffentlichen.

Wie sich Ransomware auf einem infizierten Computer verhält

Der Verschlüsselungsprozess beginnt in der Regel unbemerkt, und wenn die Anzeichen deutlich werden, ist es zu spät, die Daten zu speichern: Zu diesem Zeitpunkt hat die Malware alles verschlüsselt, was sie erreichen kann. Manchmal bemerkt der Benutzer möglicherweise, wie die Dateien in einigen Ordner öffnen Die Erweiterung hat sich geändert.

Das unvernünftige Erscheinen einer neuen und manchmal einer zweiten Erweiterung in Dateien, nach deren Öffnung sie nicht mehr geöffnet werden, weist eindeutig auf die Folgen eines Verschlüsselungsangriffs hin. Übrigens lässt sich die Schadsoftware in der Regel anhand der Erweiterung identifizieren, die beschädigte Objekte erhalten.

Ein Beispiel für die Erweiterungen verschlüsselter Dateien:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn usw.

Es gibt viele Optionen und morgen werden neue hinzukommen, daher macht es keinen Sinn, alles aufzulisten. Um die Art der Infektion zu bestimmen, genügt es, der Suchmaschine mehrere Erweiterungen zuzuführen.

Weitere Symptome, die indirekt auf den Beginn der Verschlüsselung hinweisen:

  • Für den Bruchteil einer Sekunde erscheinen Befehlszeilenfenster auf dem Bildschirm. Meistens ist dies ein normales Phänomen bei der Installation von System- und Programmupdates, aber es ist besser, es nicht unbeaufsichtigt zu lassen.
  • UAC fordert zum Starten eines Programms auf, das Sie nicht öffnen wollten.
  • Plötzlicher Neustart des Computers mit anschließender Nachahmung des Betriebs Systemdienstprogramm Festplattenprüfung (andere Variationen sind möglich). Bei der „Verifizierung“ erfolgt der Verschlüsselungsvorgang.

Nachdem der Schadvorgang erfolgreich abgeschlossen wurde, erscheint auf dem Bildschirm eine Meldung mit einer Lösegeldforderung und verschiedenen Bedrohungen.

Ransomware verschlüsselt einen erheblichen Teil der Benutzerdateien: Fotos, Musik, Videos, Textdokumente, Archive, E-Mails, Datenbanken, Dateien mit Programmerweiterungen usw. Sie berühren jedoch keine Betriebssystemobjekte, da Angreifer nicht benötigen, dass der infizierte Computer nicht mehr funktioniert. Einige Viren ersetzen Boot-Records von Festplatten und Partitionen.

Nach der Verschlüsselung werden in der Regel alle Schattenkopien und Wiederherstellungspunkte vom System gelöscht.

So heilen Sie einen Computer von Ransomware

Das Entfernen von Malware von einem infizierten System ist einfach – fast alle Antivirenprogramme können die meisten davon problemlos bewältigen. Aber! Es ist naiv zu glauben, dass die Beseitigung des Täters das Problem lösen wird: Unabhängig davon, ob Sie den Virus entfernen oder nicht, bleiben die Dateien weiterhin verschlüsselt. Darüber hinaus erschwert dies in manchen Fällen die spätere Entschlüsselung, wenn möglich.

Korrekte Vorgehensweise beim Starten der Verschlüsselung

  • Sobald Sie Anzeichen einer Verschlüsselung bemerken, Schalten Sie den Computer sofort aus, indem Sie die Taste gedrückt halten3-4 Sekunden lang mit Strom versorgen. Dadurch werden zumindest einige der Dateien gespeichert.
  • Auf einem anderen Computer erstellen Boot-Diskette oder ein Flash-Laufwerk mit einem Antivirenprogramm. Zum Beispiel, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD usw.
  • Starten Sie den infizierten Computer von dieser Festplatte und scannen Sie das System. Entfernen Sie alle gefundenen Viren und bewahren Sie sie in Quarantäne auf (falls sie zur Entschlüsselung benötigt werden). Erst danach Sie können Ihren Computer von Ihrer Festplatte starten.
  • Versuchen Sie, verschlüsselte Dateien mithilfe von Systemtools oder Drittanbietern aus Schattenkopien wiederherzustellen.

Was tun, wenn die Dateien bereits verschlüsselt sind?

  • Verliere nicht die Hoffnung. Die Websites der Entwickler von Antivirenprodukten enthalten kostenlose Entschlüsselungsprogramme für verschiedene Typen Schadsoftware. Insbesondere Versorgungsunternehmen von Avast Und Kaspersky Lab.
  • Nachdem Sie den Encodertyp ermittelt haben, laden Sie das entsprechende Dienstprogramm herunter. Mach es auf jeden Fall Kopien beschädigte Dateien und versuche sie zu entschlüsseln. Bei Erfolg den Rest entschlüsseln.

Wenn die Dateien nicht entschlüsselt sind

Wenn keines der Dienstprogramme hilft, haben Sie wahrscheinlich an einem Virus gelitten, für den es noch keine Heilung gibt.

Was können Sie in diesem Fall tun:

  • Wenn Sie ein kostenpflichtiges Antivirenprodukt verwenden, wenden Sie sich an dessen Support-Team. Senden Sie mehrere Kopien der beschädigten Dateien an das Labor und warten Sie auf eine Antwort. Wenn technisch möglich, helfen sie Ihnen weiter.

Übrigens, Dr.Web ist eines der wenigen Labore, das nicht nur seinen Anwendern, sondern allen Betroffenen hilft. Auf dieser Seite können Sie eine Anfrage zum Entschlüsseln der Datei senden.

  • Wenn sich herausstellt, dass die Dateien hoffnungslos beschädigt sind, sie aber für Sie von großem Wert sind, können Sie nur hoffen und darauf warten, dass eines Tages Abhilfe geschaffen wird. Das Beste, was Sie tun können, ist, das System und die Dateien unverändert zu lassen, also komplett herunterzufahren und die Festplatte nicht zu verwenden. Das Löschen von Malware-Dateien, die Neuinstallation des Betriebssystems und sogar die Aktualisierung können Sie benachteiligen und diese Chance, da bei der Generierung von Verschlüsselungs-/Entschlüsselungsschlüsseln häufig eindeutige Systemkennungen und Kopien des Virus verwendet werden.

Die Zahlung des Lösegelds ist keine Option, da die Wahrscheinlichkeit, dass Sie den Schlüssel erhalten, gegen Null geht. Und es hat keinen Sinn, ein kriminelles Geschäft zu finanzieren.

So schützen Sie sich vor dieser Art von Malware

Ich möchte nicht Ratschläge wiederholen, die jeder Leser hunderte Male gehört hat. Ja, installieren gutes Antivirenprogramm Klicken Sie nicht auf verdächtige Links und blablabla – das ist wichtig. Doch wie das Leben gezeigt hat, gibt es heute keine magische Pille, die Ihnen eine 100-prozentige Sicherheitsgarantie gibt.

Die einzig wirksame Methode zum Schutz vor Ransomware dieser Art ist Sicherung Daten auf andere physische Medien, einschließlich Cloud-Services. Backup, Backup, Backup...

Dass das Internet voller Viren ist, überrascht heute niemanden mehr. Viele Benutzer nehmen Situationen wahr, die sich auf ihre Auswirkungen auf Systeme oder persönliche Daten beziehen, gelinde gesagt, indem sie die Augen verschließen, aber nur bis ein Ransomware-Virus gezielt im System Einzug hält. Die meisten normalen Benutzer wissen nicht, wie sie auf einer Festplatte gespeicherte Daten desinfizieren und entschlüsseln können. Daher wird dieses Kontingent zu den Forderungen der Angreifer „geführt“. Aber sehen wir uns an, was getan werden kann, wenn eine solche Bedrohung erkannt wird, oder um zu verhindern, dass sie in das System eindringt.

Was ist ein Ransomware-Virus?

Diese Art von Bedrohung verwendet standardmäßige und nicht standardmäßige Dateiverschlüsselungsalgorithmen, die deren Inhalt vollständig ändern und den Zugriff blockieren. Beispielsweise ist es absolut unmöglich, eine verschlüsselte Textdatei zum Lesen oder Bearbeiten zu öffnen oder Multimedia-Inhalte (Grafiken, Videos oder Audio) abzuspielen, nachdem sie dem Virus ausgesetzt wurden. Selbst Standardaktionen zum Kopieren oder Verschieben von Objekten sind nicht verfügbar.

Die Virensoftware selbst ist ein Tool, das Daten so verschlüsselt, dass sie wiederhergestellt werden können der Ausgangszustand Selbst nachdem die Bedrohung vom System entfernt wurde, ist dies nicht immer möglich. Typischerweise erstellen solche Schadprogramme Kopien von sich selbst und dringen sehr tief in das System ein, sodass es möglicherweise völlig unmöglich ist, den Dateiverschlüsselungsvirus zu entfernen. Durch die Deinstallation des Hauptprogramms oder das Löschen des Hauptteils des Virus wird der Benutzer die Bedrohung nicht los, geschweige denn die verschlüsselten Informationen wiederherstellen.

Wie gelangt die Bedrohung in das System?

Bedrohungen dieser Art richten sich in der Regel vor allem gegen große kommerzielle Organisationen und können über diese in Computer eindringen Mailer wenn ein Mitarbeiter ein vermeintlich angehängtes Dokument öffnet Email, was beispielsweise eine Ergänzung zu einer Art Kooperationsvereinbarung oder zu einem Produktlieferplan ist (kommerzielle Angebote mit Investitionen aus zweifelhaften Quellen sind der erste Weg für einen Virus).

Das Problem besteht darin, dass ein Ransomware-Virus auf einem Computer, der Zugriff auf ein lokales Netzwerk hat, sich daran anpassen kann und nicht nur in der Netzwerkumgebung, sondern auch auf dem Administrator-Terminal eigene Kopien erstellt, wenn er nicht über die erforderlichen Mittel verfügt Schutz in Form von Antivirensoftware, Firewall oder Firewall.

Manchmal können solche Bedrohungen eindringen Computersysteme normale Benutzer, die für Angreifer im Großen und Ganzen uninteressant sind. Dies geschieht während der Installation einiger Programme, die von zweifelhaften Internetquellen heruntergeladen wurden. Viele Nutzer ignorieren beim Starten des Downloads die Warnungen des Virenschutzsystems, achten während des Installationsvorgangs nicht auf Angebote zur Installation zusätzlicher Software, Panels oder Browser-Plug-Ins und beißen dann, wie sie sagen, darauf Ellenbogen.

Arten von Viren und ein wenig Geschichte

Im Allgemeinen werden Bedrohungen dieser Art, insbesondere der gefährlichste Ransomware-Virus No_more_ransom, nicht nur als Tools zur Verschlüsselung von Daten oder zum Blockieren des Zugriffs darauf klassifiziert. Tatsächlich fallen alle derartigen bösartigen Anwendungen unter die Kategorie Ransomware. Mit anderen Worten: Angreifer verlangen ein bestimmtes Bestechungsgeld für die Entschlüsselung von Informationen, weil sie glauben, dass dies nicht der Fall ist Primärprogramm produzieren dieser Prozess wird unmöglich sein. Das stimmt zum Teil.

Wenn Sie jedoch in die Geschichte eintauchen, werden Sie feststellen, dass einer der allerersten Viren dieser Art, obwohl er kein Geld verlangte, das berüchtigte I Love You-Applet war, das Multimediadateien (hauptsächlich Musiktitel) auf Benutzersystemen vollständig verschlüsselte . Das Entschlüsseln von Dateien nach dem Ransomware-Virus erwies sich zu diesem Zeitpunkt als unmöglich. Nun ist es genau diese Bedrohung, die auf elementare Weise bekämpft werden kann.

Doch die Entwicklung der Viren selbst bzw. der eingesetzten Verschlüsselungsalgorithmen steht nicht still. Was gibt es unter Viren? Hier haben Sie XTBL, CBF, Breaking_Bad und [email protected], und eine Menge anderer Mist.

Methode zur Beeinflussung von Benutzerdateien

Und während bis vor Kurzem die meisten Angriffe mit RSA-1024-Algorithmen durchgeführt wurden, die auf der AES-Verschlüsselung mit der gleichen Bittiefe basierten, wird derselbe No_more_ransom-Lösegeldvirus jetzt in mehreren Interpretationen präsentiert, die Verschlüsselungsschlüssel verwenden, die auf RSA-2048- und sogar RSA-3072-Technologien basieren.

Probleme bei der Entschlüsselung der verwendeten Algorithmen

Das Problem ist das moderne Systeme Die Entschlüsselung erwies sich angesichts einer solchen Gefahr als machtlos. Die Entschlüsselung von Dateien nach einem AES256-basierten Ransomware-Virus wird noch einigermaßen unterstützt, aber angesichts einer höheren Bittiefe des Schlüssels zucken fast alle Entwickler nur mit den Schultern. Dies wurde übrigens offiziell von Spezialisten von Kaspersky Lab und Eset bestätigt.

In der einfachsten Version wird der Benutzer, der den Support kontaktiert, gebeten, eine verschlüsselte Datei und ihr Original zum Vergleich und für weitere Vorgänge zu senden, um den Verschlüsselungsalgorithmus und die Wiederherstellungsmethoden zu bestimmen. In den meisten Fällen führt dies jedoch zu keinem Ergebnis. Es wird jedoch angenommen, dass der verschlüsselnde Virus Dateien selbst entschlüsseln kann, sofern das Opfer den Bedingungen des Angreifers zustimmt und einen bestimmten Geldbetrag zahlt. Diese Formulierung der Frage wirft jedoch berechtigte Zweifel auf. Und deshalb.

Encryptor-Virus: Wie desinfiziert und entschlüsselt man Dateien und ist das möglich?

Angeblich aktivieren Hacker nach der Zahlung die Entschlüsselung durch Fernzugriff auf ihren Virus, der sich auf dem System befindet, oder durch ein zusätzliches Applet, wenn der Viruskörper gelöscht wird. Das sieht mehr als zweifelhaft aus.

Ich möchte auch darauf hinweisen, dass das Internet voller gefälschter Beiträge ist, in denen behauptet wird, dass der erforderliche Betrag gezahlt und die Daten erfolgreich wiederhergestellt wurden. Es ist alles eine Lüge! Und wirklich – wo ist die Garantie, dass der Verschlüsselungsvirus nach der Zahlung nicht erneut im System aktiviert wird? Es ist nicht schwer, die Psychologie von Einbrechern zu verstehen: Einmal zahlen, noch einmal bezahlen. Und wenn wir über etwas Besonderes sprechen wichtige Informationen B. bestimmte kommerzielle, wissenschaftliche oder militärische Entwicklungen, sind die Eigentümer solcher Informationen bereit, alles zu zahlen, was sie wollen, um sicherzustellen, dass die Dateien sicher und zuverlässig bleiben.

Das erste Mittel zur Beseitigung der Bedrohung

Dies liegt in der Natur eines Verschlüsselungsvirus. Wie desinfiziert und entschlüsselt man Dateien, nachdem sie einer Bedrohung ausgesetzt wurden? Auf keinen Fall, wenn keine Mittel vorhanden sind, die auch nicht immer helfen. Aber du kannst es versuchen.

Nehmen wir an, dass ein Ransomware-Virus im System aufgetaucht ist. Wie kann man infizierte Dateien heilen? Zunächst sollten Sie einen gründlichen Scan des Systems ohne Verwendung der S.M.A.R.T.-Technologie durchführen, die Bedrohungen nur dann erkennt, wenn Bootsektoren und Systemdateien beschädigt sind.

Es ist ratsam, nicht einen vorhandenen Standardscanner zu verwenden, der die Bedrohung bereits übersehen hat, sondern tragbare Dienstprogramme zu verwenden. Die beste Option wäre das Booten von der Kaspersky Rescue Disk, die bereits starten kann, bevor das Betriebssystem startet.

Dies ist jedoch nur die halbe Miete, da Sie auf diese Weise nur den Virus selbst loswerden können. Aber mit einem Decoder wird es schwieriger. Aber dazu später mehr.

Es gibt noch eine weitere Kategorie, in die Ransomware-Viren fallen. Wie die Informationen entschlüsselt werden, wird separat besprochen, aber zunächst wollen wir uns mit der Tatsache befassen, dass sie in offizieller Form völlig offen im System existieren können installierte Programme und Anwendungen (die Unverschämtheit der Angreifer kennt keine Grenzen, da die Bedrohung nicht einmal versucht, sich zu verschleiern).

In diesem Fall sollten Sie den Abschnitt „Programme und Funktionen“ verwenden, in dem die Standarddeinstallation durchgeführt wird. Allerdings müssen Sie darauf achten, dass das Standard-Deinstallationsprogramm für Windows-Systeme nicht alle Programmdateien vollständig löscht. Insbesondere ist der Ransom-Ransom-Virus in der Lage, eigene Ordner in den Stammverzeichnissen des Systems zu erstellen (normalerweise die Csrss-Verzeichnisse, in denen sich die ausführbare Datei mit dem gleichen Namen csrss.exe befindet). Der Hauptstandort ist ausgewählt Windows-Ordner, System32 oder Benutzerverzeichnisse (Benutzer auf der Systemfestplatte).

Darüber hinaus schreibt der No_more_ransom-Lösegeldvirus seine eigenen Schlüssel in die Registrierung in Form eines Links, scheinbar zum offiziellen Systemdienst „Client Server Runtime Subsystem“, was viele in die Irre führt, da dieser Dienst für die Interaktion von Client- und Serversoftware verantwortlich sein sollte . Der Schlüssel selbst befindet sich im Run-Ordner, der über den HKLM-Zweig erreichbar ist. Es ist klar, dass solche Schlüssel manuell gelöscht werden müssen.

Um es einfacher zu machen, können Sie Dienstprogramme wie iObit Uninstaller verwenden, die automatisch nach verbleibenden Dateien und Registrierungsschlüsseln suchen (jedoch nur, wenn der Virus auf dem System als sichtbar ist). installierte Anwendung). Aber das ist das Einfachste, was Sie tun können.

Lösungen, die von Entwicklern von Antivirensoftware angeboten werden

Es wird angenommen, dass die Entschlüsselung eines Ransomware-Virus mithilfe von erfolgen kann spezielle Dienstprogramme, wenn Sie jedoch über Technologien mit einem 2048- oder 3072-Bit-Schlüssel verfügen, sollten Sie sich nicht wirklich darauf verlassen (außerdem löschen viele von ihnen Dateien nach der Entschlüsselung, und dann verschwinden die wiederhergestellten Dateien aufgrund des Vorhandenseins des Viruskörpers, der wurde vorher nicht gelöscht).

Dennoch können Sie es versuchen. Von allen Programmen sind RectorDecryptor und ShadowExplorer hervorzuheben. Es wird angenommen, dass noch nichts Besseres geschaffen wurde. Das Problem kann jedoch auch darin bestehen, dass es beim Versuch, einen Entschlüsseler zu verwenden, keine Garantie dafür gibt, dass die zu entschlüsselnden Dateien nicht gelöscht werden. Das heißt, wenn Sie den Virus nicht zunächst loswerden, ist jeder Entschlüsselungsversuch zum Scheitern verurteilt.

Neben der Löschung verschlüsselter Informationen kann dies auch fatale Folgen haben – das gesamte System wird funktionsunfähig. Darüber hinaus kann ein moderner Verschlüsselungsvirus nicht nur auf der Festplatte des Computers gespeicherte Daten, sondern auch Dateien im Cloud-Speicher beeinträchtigen. Es gibt jedoch keine Lösungen für die Datenwiederherstellung. Darüber hinaus ergreifen, wie sich herausstellte, viele Dienste unzureichend wirksame Schutzmaßnahmen (dasselbe in Windows 10 integrierte OneDrive, das direkt vom Betriebssystem bereitgestellt wird).

Eine radikale Lösung des Problems

Wie bereits klar ist, führen die meisten modernen Methoden bei einer Infektion mit solchen Viren zu keinem positiven Ergebnis. Natürlich, wenn Sie das Original haben beschädigte Datei, kann es zur Untersuchung an ein Antivirenlabor geschickt werden. Zwar bestehen sehr ernsthafte Zweifel daran, dass der durchschnittliche Benutzer Sicherungskopien von Daten erstellt, die bei der Speicherung auf einer Festplatte ebenfalls beeinträchtigt werden können Schadcode. Und um Probleme zu vermeiden, kopieren Benutzer Informationen nach Wechselmedien, da gibt es überhaupt keine Frage.

Um das Problem grundsätzlich zu lösen, bietet sich daher die Schlussfolgerung an: vollständige Formatierung Festplatte und alle logischen Partitionen mit gelöschten Informationen. Was also tun? Sie müssen Opfer bringen, wenn Sie nicht möchten, dass der Virus oder seine selbst gespeicherte Kopie erneut im System aktiviert wird.

Dazu sollten Sie nicht die Tools der Windows-Systeme selbst verwenden (also das Formatieren virtueller Partitionen, da beim Zugriffsversuch Systemfestplatte es wird ein Verbot ausgesprochen). Besser ist es, von optischen Medien wie einer LiveCD oder Installationsdistributionen zu booten, die beispielsweise mit dem Media Creation Tool für Windows 10 erstellt wurden.

Bevor Sie mit der Formatierung beginnen, können Sie, sofern der Virus aus dem System entfernt wurde, versuchen, die Integrität der Systemkomponenten durch wiederherzustellen Befehlszeile(sfc /scannow), aber hinsichtlich der Entschlüsselung und Entsperrung von Daten wird dies keine Auswirkungen haben. Daher ist Format c: das einzig richtige Mögliche Lösung, Egal, ob Sie es wollen oder nicht. Nur so können Bedrohungen dieser Art vollständig beseitigt werden. Leider gibt es keinen anderen Weg! Gleichmäßige Behandlung Standardmittel, das von den meisten Antivirenpaketen angeboten wird, erweist sich als machtlos.

Anstelle eines Nachworts

Im Hinblick auf die offensichtlichen Schlussfolgerungen können wir nur sagen, dass es heute keine einzige und universelle Lösung gibt, um die Folgen dieser Art von Bedrohung zu beseitigen (traurig, aber wahr – dies wurde von der Mehrheit der Entwickler und Experten von Antivirensoftware bestätigt). im Bereich der Kryptographie).

Es bleibt unklar, warum die Entstehung von Algorithmen, die auf 1024-, 2048- und 3072-Bit-Verschlüsselung basieren, von denen, die direkt an der Entwicklung und Implementierung solcher Technologien beteiligt sind, ignoriert wurde. Tatsächlich gilt der AES256-Algorithmus heute als der vielversprechendste und sicherste. Beachten! 256! Wie sich herausstellt, ist dieses System modernen Viren nicht gewachsen. Was können wir dann über Versuche sagen, ihre Schlüssel zu entschlüsseln?

Wie dem auch sei, es ist ganz einfach, das Eindringen einer Bedrohung in das System zu verhindern. Im sehr einfache Version Sie sollten alle eingehenden Nachrichten mit Anhängen überprüfen Outlook-Programme, Thunderbird und andere Mail-ClientsÜberprüfen Sie das Antivirenprogramm sofort nach Erhalt und öffnen Sie Anhänge unter keinen Umständen, bis der Scan abgeschlossen ist. Sie sollten bei der Installation einiger Programme auch die Vorschläge zur Installation zusätzlicher Software sorgfältig lesen (normalerweise sind sie sehr klein geschrieben oder als Standard-Add-Ons getarnt). Flash-Updates Spieler oder etwas anderes). Es ist besser, Multimedia-Komponenten über offizielle Websites zu aktualisieren. Nur so lässt sich zumindest irgendwie verhindern, dass solche Bedrohungen in das eigene System eindringen. Die Folgen können völlig unvorhersehbar sein, da sich Viren dieser Art sofort im lokalen Netzwerk verbreiten. Und für das Unternehmen kann eine solche Wendung zum regelrechten Scheitern aller Unternehmungen führen.

Schließlich sollte der Systemadministrator nicht untätig bleiben. Software In einer solchen Situation ist es besser, den Schutz auszuschließen. Die gleiche Firewall (Firewall) sollte keine Software sein, sondern „Hardware“ (natürlich mit begleitender Software an Bord). Und selbstverständlich sollten Sie auch beim Kauf von Antivirenpaketen nicht sparen. Es ist besser, ein lizenziertes Paket zu kaufen, als primitive Programme zu installieren, die laut Entwickler angeblich nur Echtzeitschutz bieten.

Und wenn eine Bedrohung bereits in das System eingedrungen ist, sollte die Abfolge der Maßnahmen darin bestehen, den Virenkörper selbst zu entfernen und erst dann zu versuchen, die beschädigten Daten zu entschlüsseln. Idealerweise eine vollständige Formatierung (Hinweis: keine schnelle Formatierung mit Löschen des Inhaltsverzeichnisses, sondern eine vollständige Formatierung, vorzugsweise mit Wiederherstellung oder Ersetzung des vorhandenen Dateisystems, der Bootsektoren und Datensätze).

Die ersten Ransomware-Trojaner der Familie Trojan.Encoder tauchten in den Jahren 2006–2007 auf. Seit Januar 2009 ist die Zahl ihrer Sorten um rund 1900 % gestiegen! Derzeit ist Trojan.Encoder mit mehreren tausend Modifikationen eine der gefährlichsten Bedrohungen für Benutzer. Von April 2013 bis März 2015 erhielt das Virenlabor von Doctor Web 8.553 Anfragen zur Entschlüsselung von Dateien, die von Encoder-Trojanern betroffen waren.
Verschlüsselungsviren haben bei Anfragen in Foren fast den ersten Platz belegt Informationssicherheit. Jeden Tag gehen allein bei den Mitarbeitern des Doctor Web-Virenlabors durchschnittlich 40 Entschlüsselungsanfragen von infizierten Benutzern ein verschiedene Arten Ransomware-Trojaner ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, Tresor und so weiter). Die Hauptzeichen solcher Infektionen sind Änderungen in den Dateierweiterungen des Benutzers, wie z Musikdateien B. Bilddateien, Dokumente usw., erscheint beim Versuch, sie zu öffnen, eine Nachricht des Angreifers, der eine Zahlung für den Erhalt des Entschlüsselers fordert. Es ist auch möglich, das Hintergrundbild des Desktops, das Erscheinungsbild von Textdokumenten und Fenstern mit entsprechenden Meldungen zu Verschlüsselung und Verstößen zu ändern Lizenzvereinbarungen und so weiter. Für kommerzielle Unternehmen sind Verschlüsselungstrojaner besonders gefährlich, da verlorene Daten aus Datenbanken und Zahlungsdokumenten die Arbeit des Unternehmens auf unbestimmte Zeit blockieren und zu Gewinneinbußen führen können.

Trojaner aus der Trojan.Encoder-Familie verwenden Dutzende verschiedener Algorithmen zur Verschlüsselung von Benutzerdateien. Um beispielsweise die Schlüssel zum Entschlüsseln von Dateien zu finden, die vom Trojan.Encoder.741 mit einer Brute-Force-Methode verschlüsselt wurden, benötigen Sie Folgendes:
107902838054224993544152335601 Jahr

Eine Entschlüsselung der durch den Trojaner beschädigten Dateien ist in maximal 10 % der Fälle möglich. Dies bedeutet, dass die meisten Benutzerdaten für immer verloren gehen.

Heute fordert Ransomware bis zu 1.500 Bitcoins.

Selbst wenn Sie dem Angreifer ein Lösegeld zahlen, Es gibt Ihnen keine Garantie für die Datenwiederherstellung.

Es kommt zu Kuriositäten: Es wurde ein Fall registriert, bei dem es den Kriminellen trotz gezahltem Lösegeld nicht gelang, mit dem von ihnen erstellten Trojan.Encoder verschlüsselte Dateien zu entschlüsseln, und den betroffenen Benutzer um Hilfe baten … an den technischen Support eines Antivirenprogramms Unternehmen!

Wie kommt es zu einer Infektion?

  • Durch E-Mail-Anhänge; Mithilfe von Social Engineering zwingen Angreifer den Benutzer, die angehängte Datei zu öffnen.
  • Verwendung von als PDF-Anhänge getarnten Zbot-Infektionen.
  • Durch Exploit-Kits auf gehackten Websites, die Schwachstellen auf dem Computer ausnutzen, um eine Infektion zu installieren.
  • Durch Trojaner, die den Download des Players anbieten, der zum Ansehen von Online-Videos erforderlich ist. Dies geschieht normalerweise auf Pornoseiten.
  • Über RDP unter Verwendung von Passwort-Erraten und Schwachstellen in diesem Protokoll.
  • Verwendung infizierter Keygens, Cracks und Aktivierungsprogramme.
In mehr als 90 % der Fälle starten (aktivieren) Benutzer Ransomware eigenhändig auf ihren Computern.

Beim Erraten von RDP-Passwörtern ein Angreifer er kommt alleine rein unter einem gehackten Konto, schaltet es selbst aus oder lädt ein Antivirenprodukt herunter und startet sich Verschlüsselung.

Bis Sie keine Angst mehr vor Briefen mit den Überschriften „Schulden“, „Strafverfahren“ usw. haben, werden Angreifer Ihre Naivität ausnutzen.





Denken Sie darüber nach ... Lernen Sie selbst und bringen Sie anderen die einfachsten Grundlagen der Sicherheit bei!

  • Öffnen Sie niemals Anhänge von E-Mails, die von unbekannten Empfängern stammen, egal wie beängstigend der Header auch sein mag. Wenn der Anhang als Archiv angekommen ist, machen Sie sich die Mühe, einfach den Inhalt des Archivs anzuzeigen. Und wenn es eine ausführbare Datei gibt (Erweiterung .exe, .com, .bat, .cmd, .scr), dann ist das zu 99,(9)% eine Falle für Sie.
  • Wenn Sie immer noch Angst vor etwas haben, seien Sie nicht faul, die Wahrheit herauszufinden E-Mail die Organisation, in deren Namen Sie den Brief erhalten haben. Das ist in unserem Informationszeitalter gar nicht so schwer herauszufinden.
  • Selbst wenn sich herausstellt, dass die Absenderadresse wahr ist, zögern Sie nicht, telefonisch zu überprüfen, ob ein solcher Brief gesendet wurde. Über anonyme SMTP-Server kann die Absenderadresse leicht gefälscht werden.
  • Wenn der Absender „Sberbank“ oder „Russische Post“ sagt, bedeutet das nichts. Normale Briefe sollten idealerweise mit einer elektronischen Signatur versehen werden. Bitte überprüfen Sie die an solche E-Mails angehängten Dateien sorgfältig, bevor Sie sie öffnen.
  • Erstellen Sie regelmäßig Sicherungskopien der Informationen auf separaten Medien.
  • Vergessen Sie die Verwendung einfacher Passwörter, die leicht zu erraten und zu verstehen sind lokales Netzwerk Organisationen unter Ihren Daten. Verwenden Sie für den RDP-Zugriff Zertifikate, VPN-Zugriff oder Zwei-Faktor-Authentifizierung.
  • Arbeiten Sie niemals mit Administratorrechten, achten Sie auf Meldungen UAC selbst wenn sie es getan haben "blaue Farbe" unterschriebenen Antrag, nicht anklicken "Ja", wenn Sie keine Installationen oder Updates durchgeführt haben.
  • Installieren Sie regelmäßig Sicherheitsupdates nicht nur für das Betriebssystem, sondern auch für Anwendungsprogramme.
  • Installieren Passwort für die Einstellungen des Antivirenprogramms, unterschiedlich vom Passwort Konto, aktivieren Sie die Selbstverteidigungsoption
Was tun bei einer Infektion?

Lassen Sie uns die Empfehlungen von Dr.Web und Kaspersky Lab zitieren:

  • Schalten Sie Ihren Computer sofort aus, um den Trojaner zu stoppen. Die Reset-Taste auf Ihrem Computer kann einen erheblichen Teil der Daten retten.
  • Kommentarseite: Trotz der Tatsache, dass eine solche Empfehlung von namhaften Labors gegeben wird, wird ihre Umsetzung in einigen Fällen die Entschlüsselung erschweren, da der Schlüssel möglicherweise darin gespeichert ist Arbeitsspeicher und nach einem Neustart des Systems ist eine Wiederherstellung nicht mehr möglich. Um eine weitere Verschlüsselung zu stoppen, können Sie die Ausführung des Ransomware-Prozesses mit Process Explorer oder für weitere Empfehlungen einfrieren.

Spoiler: Fußnote

Kein Encoder ist in der Lage, alle Daten sofort zu verschlüsseln, so dass bis zum Abschluss der Verschlüsselung ein Teil davon unberührt bleibt. Und je mehr Zeit seit Beginn der Verschlüsselung vergangen ist, desto weniger unberührte Daten bleiben übrig. Da es unsere Aufgabe ist, so viele davon wie möglich zu speichern, müssen wir den Betrieb des Encoders stoppen. Im Prinzip können Sie mit der Analyse der Liste der Prozesse beginnen, herausfinden, wo sich der Trojaner darin befindet, versuchen, ihn zu beenden ... Aber glauben Sie mir, das Herausziehen des Netzkabels geht viel schneller! Regelmäßige Fertigstellung Windows-Bedienung ist eine gute Alternative, aber es kann einige Zeit dauern, oder der Trojaner könnte ihn durch seine Aktionen stören. Meine Entscheidung ist also, an der Schnur zu ziehen. Zweifellos hat dieser Schritt seine Nachteile: die Möglichkeit einer Beschädigung des Dateisystems und die Unmöglichkeit, einen weiteren RAM-Speicherauszug zu erstellen. Beschädigt Dateisystem Für eine unvorbereitete Person ist das Problem schwerwiegender als der Encoder. Zumindest bleiben die Dateien nach dem Encoder erhalten, aber eine Beschädigung der Partitionstabelle macht es unmöglich, das Betriebssystem zu starten. Andererseits kann ein kompetenter Datenrettungsspezialist dieselbe Partitionstabelle problemlos reparieren, aber der Encoder hat möglicherweise einfach keine Zeit, auf viele Dateien zuzugreifen.

Um ein Strafverfahren gegen Angreifer einzuleiten, benötigen Strafverfolgungsbehörden einen prozessualen Grund – Ihre Aussage zur Tat. Beispielanwendung

Seien Sie darauf vorbereitet, dass Ihr Computer für einige Zeit zur Untersuchung beschlagnahmt wird.

Wenn Ihr Antrag abgelehnt wird, erhalten Sie eine schriftliche Absage und reichen bei einer höheren Polizeibehörde (dem Polizeipräsidenten Ihrer Stadt oder Region) Beschwerde ein.

  • Versuchen Sie auf keinen Fall, das Betriebssystem neu zu installieren;
  • Löschen Sie keine Dateien oder E-Mail-Nachrichten auf Ihrem Computer.
  • Führen Sie keine „Cleaner“ für temporäre Dateien und die Registrierung aus.
  • Sie sollten Ihren Computer nicht mit Antivirenprogrammen und Antiviren-Dienstprogrammen scannen und behandeln, insbesondere nicht mit Antiviren-LiveCDs; als letzten Ausweg können Sie infizierte Dateien in die Antiviren-Quarantäne verschieben;

Spoiler: Fußnote

Für die Entschlüsselung kann eine unauffällige 40-Byte-Datei in einem temporären Verzeichnis oder eine unverständliche Verknüpfung auf dem Desktop von größter Bedeutung sein. Sie wissen wahrscheinlich nicht, ob sie für die Entschlüsselung wichtig sind oder nicht, deshalb ist es besser, nichts anzufassen. Das Bereinigen der Registry ist im Allgemeinen ein zweifelhafter Vorgang, und einige Encoder hinterlassen dort Betriebsspuren, die für die Decodierung wichtig sind. Antivirenprogramme können natürlich den Körper eines Encoder-Trojaners finden. Und sie können es sogar ein für alle Mal löschen, aber was bleibt dann für die Analyse übrig? Wie können wir verstehen, wie und womit die Dateien verschlüsselt wurden? Daher ist es besser, das Tier auf der Scheibe zu lassen. Ein weiterer wichtiger Punkt: Mir ist kein Systemreinigungsmittel bekannt, das die Möglichkeit des Encoderbetriebs berücksichtigt und alle Betriebsspuren zurückhält. Und höchstwahrscheinlich werden solche Mittel nicht erscheinen. Durch eine Neuinstallation des Systems werden mit Ausnahme verschlüsselter Dateien mit Sicherheit alle Spuren des Trojaners vernichtet.

  • Versuchen Sie nicht, verschlüsselte Dateien wiederherzustellen auf sich allein;

Spoiler: Fußnote

Wenn Sie ein paar Jahre Erfahrung im Schreiben von Programmen haben, wirklich verstehen, was RC4, AES, RSA sind und welche Unterschiede zwischen ihnen bestehen, Sie wissen, was Hiew ist und was 0xDEADC0DE bedeutet, können Sie es versuchen. Ich empfehle es anderen nicht. Nehmen wir an, Sie haben eine Wundermethode zum Entschlüsseln von Dateien gefunden und es ist Ihnen sogar gelungen, eine Datei zu entschlüsseln. Dies ist keine Garantie dafür, dass die Technik bei allen Ihren Dateien funktioniert. Darüber hinaus ist dies keine Garantie dafür, dass Sie mit dieser Methode die Dateien nicht noch mehr beschädigen. Selbst bei unserer Arbeit gibt es unangenehme Momente, in denen schwerwiegende Fehler im Entschlüsselungscode entdeckt werden, aber in Tausenden von Fällen hat der Code bis zu diesem Zeitpunkt so funktioniert, wie er sollte.

Da nun klar ist, was zu tun ist und was nicht, können Sie mit der Entschlüsselung beginnen. Theoretisch ist eine Entschlüsselung fast immer möglich. Dies ist der Fall, wenn Sie alle dafür notwendigen Daten kennen oder über eine unbegrenzte Menge an Geld, Zeit und Prozessorkernen verfügen. In der Praxis kann man etwas fast sofort entziffern. Etwas wird ein paar Monate oder sogar Jahre warten, bis es an die Reihe kommt. In manchen Fällen muss man es gar nicht erst in Angriff nehmen: Niemand wird 5 Jahre lang einen Supercomputer kostenlos mieten. Schlimm ist auch, dass sich ein scheinbar einfacher Fall bei genauer Betrachtung als äußerst komplex herausstellt. Es liegt an Ihnen, zu entscheiden, an wen Sie sich wenden.

  • Wenden Sie sich an das Antivirenlabor eines Unternehmens, das über eine Abteilung für Virenanalytiker verfügt, die sich mit diesem Problem befasst.
  • Hängen Sie dem Ticket eine mit einem Trojaner verschlüsselte Datei an (und, wenn möglich, eine unverschlüsselte Kopie davon);
  • Warten Sie auf die Antwort des Virenanalysten. Aufgrund der hohen Anzahl an Anfragen kann dies einige Zeit in Anspruch nehmen.
Wie kann ich Dateien wiederherstellen?

Adressen mit Formularen zum Versenden verschlüsselter Dateien:

  • Dr.Web (Anträge auf kostenlose Entschlüsselung werden nur von Benutzern des umfassenden Drweb-Antivirenprogramms angenommen)
  • Kaspersky Lab (Anfragen zur kostenlosen Entschlüsselung werden nur von Benutzern kommerzieller Produkte von Kaspersky Lab akzeptiert)
  • ESET, LLC ( Anträge auf kostenlose Entschlüsselung werden nur von Benutzern kommerzieller ESET-Produkte angenommen)
  • Das No More Ransom Project (Auswahl von Codeknackern)
  • Verschlüsseler - Erpresser (Auswahl der Entschlüsseler)
  • ID Ransomware (Auswahl an Entschlüsselern)

Wir Wir empfehlen absolut nicht Stellen Sie Dateien selbst wieder her, denn wenn Sie es ungeschickt machen, können Sie alle Informationen verlieren, ohne etwas wiederherzustellen!!! Darüber hinaus erfolgt die Wiederherstellung von Dateien, die durch bestimmte Arten von Trojanern verschlüsselt wurden es ist einfach unmöglich aufgrund der Stärke des Verschlüsselungsmechanismus.

Wgelöschte Dateien :
Einige Arten von Verschlüsselungstrojanern erstellen eine Kopie der verschlüsselten Datei, verschlüsseln sie und löschen die Originaldatei. In diesem Fall können Sie eines der Dienstprogramme zur Dateiwiederherstellung verwenden (es wird empfohlen, tragbare Versionen der Programme zu verwenden, die heruntergeladen und aufgezeichnet werden). auf einem Flash-Laufwerk auf einem anderen Computer):

  • R.sparer
  • Recuva
  • JPEG Ripper – Dienstprogramm zur Wiederherstellung beschädigter Bilder
  • JPGscan-Beschreibung)
  • PhotoRec – ein Dienstprogramm zum Wiederherstellen beschädigter Bilder (Beschreibung)
Methode zur Lösung von Problemen mit einigen Versionen Sperrverzeichnis

Mit einigen Versionen von Lockdir verschlüsselte Ordner können mit einem Archivierungsprogramm geöffnet werden 7-Reißverschluss

Nach erfolgreicher Datenwiederherstellung müssen Sie das System auf Malware überprüfen; dazu sollten Sie im Abschnitt ein Thema ausführen und erstellen, in dem das Problem beschrieben wird

Wiederherstellen verschlüsselter Dateien mithilfe des Betriebssystems.

Um Dateien mithilfe des Betriebssystems wiederherzustellen, müssen Sie den Systemschutz aktivieren, bevor der Ransomware-Trojaner auf Ihren Computer gelangt. Die meisten Ransomware-Trojaner versuchen, alle Schattenkopien auf Ihrem Computer zu löschen, aber manchmal ist dies nicht möglich (wenn Sie nicht über Administratorrechte verfügen und installiert sind). Windows-Updates), und Sie können Schattenkopien verwenden, um beschädigte Dateien wiederherzustellen.

Bitte beachten Sie, dass der Befehl zum Löschen von Schattenkopien:

Code:

Vssadmin löscht Schatten

funktioniert nur mit Administratorrechten. Nach der Aktivierung des Schutzes dürfen Sie daher nur als Benutzer mit eingeschränkten Rechten arbeiten und sorgfältig auf alle UAC-Warnungen bezüglich eines Versuchs der Rechteausweitung achten.


Spoiler: Wie aktiviere ich den Systemschutz?


Wie kann ich frühere Versionen von Dateien wiederherstellen, nachdem diese beschädigt wurden?


Notiz:

Wiederherstellen aus den Eigenschaften einer Datei oder eines Ordners über die Registerkarte „ Vorherige Versionen" verfügbar nur in Editionen von Windows 7 nicht niedriger als „Professional“. Für Home-Editionen von Windows 7 und alle Editionen neuerer Windows-Betriebssysteme gibt es eine Problemumgehung (siehe Spoiler).

Spoiler


Zweiter Weg - Dies ist die Verwendung des Dienstprogramms ShadowExplorer(Sie können sowohl das Installationsprogramm als auch die tragbare Version des Dienstprogramms herunterladen.)

Führen Sie das Programm aus
Wählen Sie das Laufwerk und das Datum aus, für das Sie Dateien wiederherstellen möchten




Wählen Sie die wiederherzustellende Datei oder den Ordner aus und klicken Sie mit der rechten Maustaste darauf
Menüpunkt auswählen Export und geben Sie den Pfad zu dem Ordner an, in dem Sie Dateien aus der Schattenkopie wiederherstellen möchten.



Möglichkeiten, sich vor Ransomware-Trojanern zu schützen

Leider gibt es Methoden zum Schutz vor Ransomware-Trojanern für normale Benutzer sind recht komplex, da Sicherheitsrichtlinien oder HIPS-Einstellungen erforderlich sind, um den Zugriff auf Dateien nur bestimmten Anwendungen zu ermöglichen, und keinen hundertprozentigen Schutz bieten, wenn ein Trojaner in den Adressraum einer vertrauenswürdigen Anwendung gelangt. Daher das Einzige auf zugängliche Weise Beim Schutz werden Benutzerdateien auf Wechselmedien gesichert. Wenn es sich bei diesen Medien außerdem um eine externe Festplatte oder ein Flash-Laufwerk handelt, sollten diese Medien nur für die Dauer der Sicherung an den Computer angeschlossen und in der übrigen Zeit nicht angeschlossen sein. Für mehr Sicherheit können Backups durch Booten durchgeführt werden LiveCD. Backups können auch auf dem sogenannten „ Cloud-Speicher " von einigen Unternehmen bereitgestellt.

Einstellungen Antivirenprogramme um die Wahrscheinlichkeit einer Infektion durch Verschlüsselungstrojaner zu verringern.

Gilt für alle Produkte:

Es ist notwendig, das Selbstverteidigungsmodul zu aktivieren und ein komplexes Passwort für die Antiviren-Einstellungen festzulegen!!!

AUFMERKSAMKEIT! Unternehmen ESET warnt davor In letzter Zeit Es wurde eine erhöhte Aktivität und ein erhöhtes Infektionsrisiko festgestellt Firmennetzwerk Schadsoftware, deren Folgen sind:

1) Verschlüsselung vertraulicher Informationen und Dateien, einschließlich Datenbanken 1C, Dokumente, Bilder. Die Art der verschlüsselten Dateien hängt von der spezifischen Modifikation des Verschlüsselungsprogramms ab. Der Verschlüsselungsprozess erfolgt gem komplexe Algorithmen und in jedem Fall erfolgt die Verschlüsselung nach einem bestimmten Muster. Daher ist es schwierig, verschlüsselte Daten wiederherzustellen.

2) In einigen Fällen wird der Verschlüsseler nach der Durchführung böswilliger Aktionen automatisch vom Computer entfernt, was die Auswahl eines Entschlüsselers erschwert.

Nach der Durchführung böswilliger Aktionen erscheint auf dem Bildschirm des infizierten Computers ein Fenster mit der Information „ Ihre Dateien werden verschlüsselt", sowie die Ransomware-Anforderungen, die erfüllt sein müssen, um den Entschlüsseler zu erhalten.

2) Verwenden Sie Antivirenlösungen mit integriertem Firewall-Modul ( ESET NOD32 Intelligente Sicherheit ), um die Wahrscheinlichkeit zu verringern, dass ein Angreifer eine Sicherheitslücke ausnutzt RDP auch wenn die notwendigen Betriebssystem-Updates nicht verfügbar sind. Es wird empfohlen, erweiterte Heuristiken zum Starten ausführbarer Dateien zu aktivieren (Zusätzliche Einstellungen(F5) – Computer – Viren- und Spyware-Schutz Programme - Schutz in Echtzeit - Zusätzliche Einstellungen. Außerdem, Bitte überprüfen Sie, ob ESET Live Grid aktiviert ist(Erweiterte Einstellungen (F5) – Dienstprogramme – ESET Live Grid).

3) An Mail-Server Der Empfang und die Übertragung ausführbarer Dateien sollte verboten sein *.exe, und auch *.js, da Verschlüsselungsprogramme von Angreifern häufig als Anhang an gesendet werden Email mit fiktiven Informationen zum Inkasso, Informationen darüber und anderen ähnlichen Inhalten, die den Benutzer dazu verleiten können, einen schädlichen Anhang einer E-Mail eines Angreifers zu öffnen und dadurch den Verschlüsseler zu starten.

4) Deaktivieren Sie die Ausführung von Makros in allen darin enthaltenen Anwendungen Microsoft Office oder ähnliche Software von Dritten. Makros können einen Befehl zum Herunterladen und Ausführen von Schadcode enthalten, der ausgeführt wird, wenn Sie normalerweise ein Dokument anzeigen (z. B. beim Öffnen eines Dokuments mit dem Namen „ Inkassomitteilung.doc„aus einem Brief von Cyberkriminellen kann zu einer Infektion des Systems führen, selbst wenn der Server die Durchleitung eines schädlichen Anhangs mit einer ausführbaren Datei des Verschlüsselers nicht zulässt, sofern Sie die Ausführung von Makros in den Einstellungen nicht deaktiviert haben Office-Programme).

5) Treiben Sie regelmäßig Sport Sicherung(Backup) wichtiger Informationen, die auf Ihrem Computer gespeichert sind. Beginnend mit dem Betriebssystem Windows Vista Teil Betriebssysteme Windows umfasst den Systemschutz für alle Laufwerke, der Dateien und Ordner sichert, wenn Sie ein Backup erstellen oder einen Systemwiederherstellungspunkt erstellen. Standardmäßig ist dieser Dienst nur für aktiviert Systempartition. Es wird empfohlen, diese Funktion für alle Abschnitte zu aktivieren.

Was tun, wenn bereits eine Infektion aufgetreten ist?

Wenn Sie Opfer von Kriminellen geworden sind und Ihre Dateien verschlüsselt sind, überweisen Sie nicht überstürzt Geld auf ihr Konto, um einen Entschlüsseler auszuwählen. Vorausgesetzt, Sie sind unser Kunde Wenden Sie sich an den technischen Support. Möglicherweise können wir einen Decoder für Ihren Fall auswählen oder ein solcher Decoder ist bereits verfügbar. Dazu müssen Sie ein Beispiel des Verschlüsselungsprogramms und ggf. andere verdächtige Dateien zum Archiv hinzufügen und dieses Archiv per an uns senden. Fügen Sie dem Archiv auch mehrere Beispiele verschlüsselter Dateien hinzu. Geben Sie in den Kommentaren die Umstände an, unter denen die Infektion aufgetreten ist, sowie Ihre Lizenzdaten und Kontakt E-mail Für Rückmeldung.

Sie können versuchen, die ursprüngliche, unverschlüsselte Version von Dateien aus Schattenkopien wiederherzustellen, sofern dies der Fall ist diese Funktion aktiviert wurde und die Schattenkopien nicht durch einen Verschlüsselungsvirus beschädigt wurden. Mehr dazu:

Zum Erhalten Weitere Informationen Kontakt .

Ich führe den berüchtigten Bereich auf meiner Website mit einer weiteren Geschichte fort, in der ich selbst ein Opfer war. Ich werde über den Ransomware-Virus Crusis (Dharma) sprechen, der alle Dateien auf einem Netzlaufwerk verschlüsselte und ihnen die Erweiterung .combo verlieh. Er arbeitete nicht nur an lokalen Dateien, wie es meistens der Fall ist, sondern auch an Netzwerkdateien.

Garantierte Entschlüsselung von Dateien nach einem Ransomware-Virus – dr-shifro.ru. Einzelheiten zur Arbeit und zum Schema der Interaktion mit dem Kunden finden Sie weiter unten in meinem Artikel oder auf der Website im Abschnitt „Arbeitsablauf“.

Einführung

Die Geschichte wird in der Ich-Perspektive erzählt, da die Daten und die Infrastruktur, die ich verwaltet habe, von der Verschlüsselung betroffen waren. So traurig es auch ist, dies zuzugeben, ich trage zum Teil die Schuld an dem, was passiert ist, obwohl ich Kryptographen schon sehr lange kenne. Zu meiner Verteidigung muss ich sagen, dass keine Daten verloren gegangen sind, alles schnell wiederhergestellt und ohne Verzögerung untersucht wurde. Aber das Wichtigste zuerst.

Der langweilige Morgen begann damit, dass um 9:15 Uhr der Systemadministrator von einem entfernten Standort aus anrief und sagte, dass es im Netzwerk einen Verschlüsseler gäbe, die Daten auf den Netzlaufwerken seien bereits verschlüsselt. Ein Schauer lief mir durch die Haut :) Er fing an, selbst nach der Infektionsquelle zu suchen, und ich begann, bei mir selbst nachzuschauen. Natürlich ging ich sofort zum Server, trennte die Netzwerklaufwerke und begann, mir das Datenzugriffsprotokoll anzusehen. Netzwerklaufwerke konfiguriert sind, müssen aktiviert sein. Aus dem Protokoll konnte ich sofort die Quelle der Infektion, das Konto, unter dem die Ransomware ausgeführt wurde, und die Startzeit der Verschlüsselung erkennen.

Beschreibung des Crusis (Dharma)-Ransomware-Virus

Dann begannen die Ermittlungen. Verschlüsselte Dateien erhielten die Erweiterung .Combo. Davon gab es viele. Der Kryptograf begann am späten Abend, gegen 23 Uhr, mit der Arbeit. Wir hatten Glück – die Sicherung der betroffenen Festplatten war zu diesem Zeitpunkt gerade abgeschlossen. Die Daten gingen überhaupt nicht verloren, da sie am Ende des Arbeitstages gesichert wurden. Ich habe sofort mit der Wiederherstellung aus dem Backup begonnen, das sich auf einem separaten Server ohne SMB-Zugriff befindet.

Über Nacht gelang es dem Virus, etwa 400 GB Daten auf Netzlaufwerken zu verschlüsseln. Das banale Löschen aller verschlüsselten Dateien mit der Combo-Erweiterung dauerte lange. Zuerst wollte ich sie alle auf einmal löschen, aber als das bloße Zählen dieser Dateien 15 Minuten dauerte, wurde mir klar, dass es nutzlos war dieser Moment Zeit. Stattdessen begann ich mit dem Herunterladen der neuesten Daten und säuberte anschließend die Festplatten von verschlüsselten Dateien.

Ich werde Ihnen gleich die einfache Wahrheit sagen. Mit aktuellen, zuverlässigen Backups ist jedes Problem lösbar. Ich kann mir gar nicht vorstellen, was ich tun soll, wenn sie nicht vorhanden oder nicht relevant sind. Ich lege immer besonderen Wert auf Backups. Ich kümmere mich um sie, ich schätze sie und ich gebe niemandem Zugang zu ihnen.

Nachdem ich mit der Wiederherstellung verschlüsselter Dateien begonnen hatte, hatte ich Zeit, die Situation in Ruhe zu verstehen und einen genaueren Blick auf den Verschlüsselungsvirus Crusis (Dharma) zu werfen. Hier erwarteten mich Überraschungen und Überraschungen. Die Infektionsquelle war eine virtuelle Maschine mit Windows 7 mit verlassen rdp Port über einen Backup-Kanal. Der Port war kein Standard – 33333. Ich denke, dass es der Hauptfehler war, einen solchen Port zu verwenden. Obwohl es kein Standard ist, erfreut es sich großer Beliebtheit. Natürlich ist es besser, RDP überhaupt nicht weiterzuleiten, aber in diesem Fall war es wirklich notwendig. Anstelle dieser virtuellen Maschine kommt jetzt übrigens auch eine virtuelle Maschine mit CentOS 7 zum Einsatz, die einen Container mit xfce und einen Browser in Docker ausführt. Nun, diese virtuelle Maschine hat nirgendwo Zugriff, sondern nur dort, wo sie benötigt wird.

Was ist an dieser ganzen Geschichte beängstigend? Die virtuelle Maschine wurde aktualisiert. Der Kryptograf nahm Ende August seine Arbeit auf. Es ist unmöglich, genau zu bestimmen, wann die Maschine infiziert wurde. Der Virus hat viele Dinge in der virtuellen Maschine selbst ausgelöscht. Updates für dieses System wurden im Mai installiert. Das heißt, es sollten keine alten offenen Löcher darin sein. Jetzt weiß ich nicht einmal, wie ich den RDP-Port über das Internet zugänglich machen soll. Es gibt zu viele Fälle, in denen dies wirklich notwendig ist. Beispielsweise ein Terminalserver auf gemieteter Hardware. Sie müssen nicht zusätzlich für jeden Server ein VPN-Gateway mieten.

Kommen wir nun näher zur Sache und zur Ransomware selbst. Die virtuelle Maschine hatte es deaktiviert Netzwerkschnittstelle, danach habe ich es gestartet. Begrüßt wurde ich von einem Standardschild, das ich schon oft von anderen Kryptografen gesehen hatte.

Alle Ihre Dateien wurden verschlüsselt! Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems auf Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail [email protected] Schreiben Sie diese ID in den Titel Ihrer Nachricht 501BED27. Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mails: [email protected] Die Entschlüsselung muss in Bitcoins bezahlt werden. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Entschlüsselungstool zu, das alle Ihre Dateien entschlüsselt. Kostenlose Entschlüsselung als Garantie Vor der Zahlung können Sie uns bis zu 1 Datei zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 1 MB betragen (nicht archiviert) und die Dateien dürfen keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.) So erhalten Sie Bitcoins Der einfachste Weg, Bitcoins zu kaufen, ist die Website LocalBitcoins. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsart und Preis auswählen. https://localbitcoins.com/buy_bitcoins Weitere Orte zum Kauf von Bitcoins und einen Leitfaden für Anfänger finden Sie hier: Achtung! Benennen Sie verschlüsselte Dateien nicht um. Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann. Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Auf dem Desktop befanden sich zwei Textdateien mit dem Namen DATEIEN VERSCHLÜSSELT.TXT folgender Inhalt:

Alle Ihre Daten wurden von uns gesperrt. Möchten Sie zurückkehren? E-Mail schreiben [email protected]

Interessant ist, dass sich die Verzeichnisberechtigungen geändert haben Desktop. Der Benutzer hatte keine Schreibberechtigung. Anscheinend hat der Virus dies getan, um zu verhindern, dass der Benutzer versehentlich Informationen in Textdateien vom Desktop löscht. Dort auf dem Desktop befand sich ein Verzeichnis Troy, die den Virus selbst enthielt – eine Datei l20VHC_playload.exe.

Wie der Crusis-Ransomware-Virus (Dharma) Dateien verschlüsselt

Nachdem ich alles in aller Ruhe herausgefunden und ähnliche Meldungen zum Thema Ransomware im Internet gelesen hatte, erfuhr ich, dass ich mir eine Version des berühmten Crusis-Ransomware-Virus (Dharma) eingefangen hatte. Kaspersky erkennt es wie Trojan-Ransom.Win32.Crusis.to. Es fügt Dateien verschiedene Erweiterungen hinzu, einschließlich and.combo. Meine Dateiliste sah ungefähr so ​​aus:

  • Vanino.docx.id-24EE2FBC..combo
  • Petropawlowsk-Kamtschatski.docx.id-24EE2FBC..combo
  • Khorol.docx.id-24EE2FBC..combo
  • Yakutsk.docx.id-24EE2FBC..combo

Ich erzähle Ihnen noch ein paar Details zur Funktionsweise der Ransomware. Ich habe eine wichtige Sache nicht erwähnt. Dieser Computer war in der Domäne. Die Dateien wurden von einem Domänenbenutzer verschlüsselt!!! Hier stellt sich die Frage: Woher kommt das Virus? Ich habe keine Informationen zu den Protokollen des Domänencontrollers und zur Auswahl des Benutzerkennworts gesehen. Es gab nicht viele fehlgeschlagene Anmeldungen. Entweder wurde irgendeine Schwachstelle ausgenutzt, oder ich weiß nicht, was ich davon halten soll. Es wird ein Konto verwendet, bei dem noch nie angemeldet wurde dieses System. Es erfolgte eine Autorisierung über RDP von einem Domänenbenutzerkonto und anschließend eine Verschlüsselung. Auch auf dem System selbst gab es keine Spuren von Brute-Force-Angriffen auf Benutzer und Passwörter. Fast sofort hatte ich eine Anmeldung mit einem RDP-Domänenkonto. Es musste mindestens nicht nur ein Passwort, sondern auch ein Name gewählt werden.

Leider hatte das Konto das Passwort 123456. Dies war das einzige Konto mit diesem Passwort, das den lokalen Administratoren entgangen war. Menschlicher Faktor. Es war der Anführer und aus irgendeinem Grund eine ganze Reihe von Systemadministratoren wusste von diesem Passwort, hat es aber nicht geändert. Offensichtlich ist dies der Grund für die Verwendung dieses speziellen Kontos. Aber dennoch gibt es einen Mechanismus, um selbst einen solchen zu erhalten einfaches Passwort und Benutzername.

Mit Ransomware infiziert virtuelle Maschine Ich habe es ausgeschaltet und gelöscht, nachdem ich das Disk-Image erstellt hatte. Der Virus selbst hat das Bild herausgenommen, um sich seine Wirkung anzusehen. Die weitere Geschichte basiert auf der Ausführung des Virus in einer virtuellen Maschine.

Noch ein kleines Detail. Der Virus durchsuchte das gesamte lokale Netzwerk und verschlüsselte gleichzeitig Informationen auf den Computern, auf denen es einige freigegebene Ordner gab, auf die jeder zugreifen konnte. Dies ist das erste Mal, dass ich eine solche Modifikation des Verschlüsselungsprogramms sehe. Das ist wirklich eine beängstigende Sache. Ein solcher Virus kann die Arbeit der gesamten Organisation einfach lahmlegen. Nehmen wir an, Sie hatten aus irgendeinem Grund Netzwerkzugriff auf die Backups selbst. Oder sie haben ein schwaches Passwort für das Konto verwendet. Es kann vorkommen, dass alles verschlüsselt wird – sowohl Daten als auch archivierte Kopien. Generell denke ich jetzt darüber nach, Backups nicht nur in einer isolierten Netzwerkumgebung zu speichern, sondern generell auf ausgeschalteten Geräten, die nur zum Erstellen eines Backups gestartet werden.

So behandeln Sie Ihren Computer und entfernen die Crusis-Ransomware (Dharma).

In meinem Fall war der Ransomware-Virus Crusis (Dharma) nicht besonders versteckt und die Entfernung sollte keine Probleme bereiten. Wie gesagt, es befand sich in einem Ordner auf meinem Desktop. Darüber hinaus zeichnete er sich selbst und eine Informationsmeldung im Autorun auf.

Der Körper des Virus selbst wurde im Startabschnitt dupliziert Start-up für alle Benutzer und Windows/system32. Ich habe nicht genauer hingeschaut, weil ich den Sinn darin nicht erkenne. Nach einer Ransomware-Infektion empfehle ich dringend, das System neu zu installieren. Nur so kann der Virus sicher entfernt werden. Sie werden nie ganz sicher sein, dass der Virus entfernt wurde, da er möglicherweise einige noch unveröffentlichte und unbekannte Schwachstellen ausgenutzt hat, um ein Lesezeichen auf dem System zu hinterlassen. Nach einiger Zeit können Sie durch diese Hypothek etwas bekommen neues Virus und alles wird sich im Kreis wiederholen.

Daher empfehle ich Ihnen, Ihren Computer sofort nach dem Erkennen der Ransomware nicht zu behandeln, sondern das System neu zu installieren und die verbleibenden Daten zu speichern. Möglicherweise hat es der Virus nicht geschafft, alles zu verschlüsseln. Diese Empfehlungen gelten für diejenigen, die nicht beabsichtigen, Dateien wiederherzustellen. Wenn Sie über aktuelle Backups verfügen, dann installieren Sie einfach das System neu und stellen Sie die Daten wieder her.

Wenn Sie keine Backups haben und bereit sind, Dateien um jeden Preis wiederherzustellen, versuchen wir, den Computer überhaupt nicht anzufassen. Ziehen Sie zunächst einfach das Netzwerkkabel ab, laden Sie ein paar verschlüsselte Dateien und eine Textdatei mit Informationen herunter sauber USB-Stick ein und fahren Sie dann den Computer herunter. Der Computer lässt sich nicht mehr einschalten. Wenn Sie sich mit Computerangelegenheiten überhaupt nicht auskennen, können Sie den Virus nicht selbst bekämpfen, geschweige denn Dateien entschlüsseln oder wiederherstellen. Kontaktieren Sie jemanden, der es weiß. Wenn Sie glauben, dass Sie selbst etwas tun können, dann lesen Sie weiter.

Wo kann man den Crusis (Dharma)-Entschlüsseler herunterladen?

Was folgt, ist mein allgemeiner Rat zu allen Ransomware-Viren. Es gibt eine Website – https://www.nomoreransom.org. Sie könnte theoretisch einen Entschlüsseler für Crusis oder Dharma oder andere Informationen zum Entschlüsseln von Dateien enthalten. In meiner Praxis ist das noch nie vorgekommen, aber vielleicht haben Sie Glück. Es ist einen Versuch wert. Um dies zu tun Startseite durch Anklicken zustimmen JA.

Hängen Sie zwei Dateien an, fügen Sie den Inhalt der Informationsnachricht der Ransomware ein und klicken Sie Überprüfen.

Wenn Sie Glück haben, erhalten Sie einige Informationen. In meinem Fall wurde nichts gefunden.

Alle vorhandenen Entschlüsselungsprogramme für Ransomware sind auf einer separaten Seite zusammengefasst – https://www.nomoreransom.org/ru/decryption-tools.html. Die Existenz dieser Liste lässt vermuten, dass diese Website und dieser Dienst immer noch einen gewissen Sinn haben. Kaspersky hat einen ähnlichen Service – https://noransom.kaspersky.com/ru/ Dort können Sie Ihr Glück versuchen.

Ich glaube nicht, dass es sich lohnt, irgendwo anders über eine Internetsuche nach Entschlüsselungsprogrammen zu suchen. Es ist unwahrscheinlich, dass sie gefunden werden. Höchstwahrscheinlich handelt es sich entweder um einen normalen Betrug mit Junk-Software oder um einen neuen Virus.

Wichtige Ergänzung. Wenn Sie eine lizenzierte Version eines Antivirenprogramms installiert haben, stellen Sie sicher, dass Sie eine Anfrage an das Antiviren-TP zur Dateientschlüsselung stellen. Manchmal hilft es wirklich. Ich habe Berichte über eine erfolgreiche Entschlüsselung durch den Antiviren-Support gesehen.

So entschlüsseln und stellen Sie Dateien nach dem Crusis-Virus (Dharma) wieder her

Was tun, wenn der Crusis-Virus (Dharma) Ihre Dateien verschlüsselt hat, keine der zuvor beschriebenen Methoden geholfen hat und Sie die Dateien wirklich wiederherstellen müssen? Die technische Implementierung der Verschlüsselung erlaubt keine Entschlüsselung von Dateien ohne Schlüssel oder Entschlüsselungsprogramm, über das nur der Autor des Verschlüsselungsprogramms verfügt. Vielleicht gibt es einen anderen Weg, es zu bekommen, aber ich habe diese Informationen nicht. Wir können nur versuchen, Dateien mit improvisierten Methoden wiederherzustellen. Diese beinhalten:

  • Werkzeug Schattenkopien Fenster.
  • Gelöschte Datenwiederherstellungsprogramme

Vor weiteren Manipulationen empfehle ich, ein Sektor-für-Sektor-Disk-Image zu erstellen. Dies ermöglicht Ihnen die Aufnahme Aktuellen Zustand Und wenn nichts klappt, dann kannst du wenigstens zum Ausgangspunkt zurückkehren und etwas anderes ausprobieren. Als nächstes müssen Sie die Ransomware selbst mit einem beliebigen Antivirenprogramm der neuesten Version entfernen Antiviren-Datenbanken. Wird tun Heil es oder Tool zum Entfernen von Kaspersky-Viren. Sie können jedes andere Antivirenprogramm im Testmodus installieren. Dies reicht aus, um den Virus zu entfernen.

Danach booten wir das infizierte System und prüfen, ob Schattenkopien aktiviert sind. Dieses Tool funktioniert standardmäßig unter Windows 7 und höher, sofern Sie es nicht manuell deaktivieren. Um dies zu überprüfen, öffnen Sie die Computereigenschaften und gehen Sie zum Abschnitt Systemschutz.

Wenn Sie während der Infektion die UAC-Anfrage zum Löschen von Dateien in Schattenkopien nicht bestätigt haben, sollten einige Daten dort verbleiben. Um Dateien einfach aus Schattenkopien wiederherzustellen, empfehle ich die Verwendung kostenloses Programm zu diesem Zweck - ShadowExplorer. Laden Sie das Archiv herunter, entpacken Sie das Programm und führen Sie es aus.

Die neueste Kopie der Dateien und das Stammverzeichnis von Laufwerk C werden geöffnet. Links obere Ecke kann auswählen Sicherheitskopie, wenn Sie mehrere davon haben. Überprüfen Sie die Verfügbarkeit verschiedener Exemplare notwendigen Dateien. Vergleichen Sie nach Datum, wo mehr letzte Version. In meinem Beispiel unten habe ich auf meinem Desktop zwei Dateien gefunden, die vor drei Monaten zum letzten Mal bearbeitet wurden.

Ich konnte diese Dateien wiederherstellen. Dazu habe ich sie ausgewählt, mit der rechten Maustaste geklickt, „Exportieren“ ausgewählt und den Ordner angegeben, in dem sie wiederhergestellt werden sollen.

Nach dem gleichen Prinzip können Sie Ordner sofort wiederherstellen. Wenn Sie Schattenkopien hatten und diese nicht gelöscht haben, haben Sie gute Chancen, alle oder fast alle vom Virus verschlüsselten Dateien wiederherzustellen. Vielleicht werden es einige mehr sein alte Version, als uns lieb ist, aber dennoch ist es besser als nichts.

Wenn Sie aus irgendeinem Grund keine Schattenkopien Ihrer Dateien haben, besteht Ihre einzige Chance, zumindest etwas von den verschlüsselten Dateien zu erhalten, darin, sie mit Tools zur Wiederherstellung gelöschter Dateien wiederherzustellen. Dazu empfehle ich die Verwendung des kostenlosen Programms Photorec.

Starten Sie das Programm und wählen Sie die Festplatte aus, auf der Sie Dateien wiederherstellen möchten. Durch Starten der grafischen Version des Programms wird die Datei ausgeführt qphotorec_win.exe. Sie müssen einen Ordner auswählen, in dem die gefundenen Dateien abgelegt werden. Es ist besser, wenn sich dieser Ordner nicht auf demselben Laufwerk befindet, auf dem wir suchen. Schließen Sie dazu ein Flash-Laufwerk oder eine externe Festplatte an.

Der Suchvorgang wird lange dauern. Am Ende sehen Sie Statistiken. Nun können Sie in den zuvor angegebenen Ordner gehen und sehen, was sich dort befindet. Es werden höchstwahrscheinlich viele Dateien vorhanden sein, und die meisten davon sind entweder beschädigt oder es handelt sich um eine Art System- und nutzlose Dateien. Aber dennoch können Sie in dieser Liste einige finden nützliche Dateien. Hier gibt es keine Garantien, Sie finden, was Sie finden. Bilder lassen sich in der Regel am besten wiederherstellen.

Wenn Sie mit dem Ergebnis nicht zufrieden sind, gibt es auch Programme zum Wiederherstellen gelöschter Dateien. Nachfolgend finden Sie eine Liste der Programme, die ich normalerweise verwende, wenn ich die maximale Anzahl an Dateien wiederherstellen muss:

  • R.sparer
  • Starus-Dateiwiederherstellung
  • JPEG-Wiederherstellung Pro
  • Aktiver Dateiwiederherstellungsprofi

Diese Programme sind nicht kostenlos, daher werde ich keine Links bereitstellen. Wenn Sie wirklich wollen, können Sie sie selbst im Internet finden.

Der gesamte Prozess der Dateiwiederherstellung mit den aufgeführten Programmen wird im Video ganz am Ende des Artikels ausführlich gezeigt.

Kaspersky, eset nod32 und andere im Kampf gegen die Crusis-Ransomware (Dharma).

Wie üblich durchstöberte ich die Foren beliebter Antivirenprogramme auf der Suche nach Informationen über die Ransomware, die die Erweiterung .combo installiert. Es gibt einen klaren Trend zur Ausbreitung des Virus. Viele Anfragen beginnen ab Mitte August. Jetzt scheinen sie nicht sichtbar zu sein, aber vielleicht vorübergehend, oder die Erweiterung der verschlüsselten Dateien hat sich einfach geändert.

Hier ist ein Beispiel für eine typische Anfrage aus dem Kaspersky-Forum.

Unten gibt es auch einen Kommentar des Moderators.

Das EsetNod32-Forum ist seit langem mit dem Virus vertraut, der die Erweiterung .combo installiert. So wie ich es verstehe, ist das Virus nicht einzigartig und nicht neu, sondern eine Variation der seit langem bekannten Crusis (Dharma)-Virenreihe. Hier ist eine typische Anfrage zum Entschlüsseln von Daten:

Mir ist aufgefallen, dass es im Eset-Forum viele Rezensionen gibt, dass der Virus über RDP in den Server eingedrungen ist. Es sieht so aus, als ob dies eine wirklich starke Bedrohung darstellt und Sie RDP nicht ohne Deckung verlassen können. Die einzige Frage, die sich stellt, ist, wie der Virus über RDP eindringt. Es errät ein Passwort, stellt eine Verbindung zu einem bekannten Benutzer und Passwort her oder etwas anderes.

Wohin für eine garantierte Entschlüsselung?

Ich traf zufällig ein Unternehmen, das tatsächlich Daten nach der Arbeit verschiedener Verschlüsselungsviren, darunter Crusis (Dharma), entschlüsselt. Ihre Adresse ist http://www.dr-shifro.ru. Zahlung erst nach Entschlüsselung und Ihrer Verifizierung. Hier ist ein ungefähres Arbeitsschema:

  1. Ein Unternehmensspezialist kommt zu Ihnen ins Büro oder nach Hause und unterzeichnet mit Ihnen einen Vertrag, in dem die Kosten für die Arbeiten festgelegt sind.
  2. Startet den Entschlüsseler auf Ihrem Computer und entschlüsselt einige Dateien.
  3. Sie stellen sicher, dass alle Dateien geöffnet sind, unterschreiben die Abnahmebescheinigung für abgeschlossene Arbeiten und erhalten ein Entschlüsselungsprogramm.
  4. Sie entschlüsseln Ihre Dateien und vervollständigen die restlichen Dokumente.

Du riskierst nichts. Bezahlung erst nach Demonstration der Funktionsfähigkeit des Decoders. Bitte schreiben Sie eine Bewertung über Ihre Erfahrungen mit diesem Unternehmen.

Methoden zum Schutz vor Ransomware-Viren

Ich werde die offensichtlichen Dinge beim Starten unbekannter Programme aus dem Internet und beim Öffnen von E-Mail-Anhängen nicht auflisten. Das weiß mittlerweile jeder. Darüber hinaus habe ich in meinen Artikeln im About-Bereich schon oft darüber geschrieben. Ich werde auf Backups achten. Sie müssen nicht nur existieren, sondern auch von außen unzugänglich sein. Wenn das so etwas ist Netzlaufwerk, dann muss ein separates Konto mit einem sicheren Passwort Zugriff darauf haben.

Wenn Sie persönliche Dateien auf einem Flash-Laufwerk sichern oder externes Laufwerk, halten Sie sie nicht ständig mit dem System verbunden. Nach der Schöpfung Archivkopien, Geräte vom Computer trennen. Das ideale Backup sehe ich auf einem separaten Gerät, das nur zum Erstellen eines Backups eingeschaltet und dann durch Abziehen des Netzwerkkabels oder einfaches Herunterfahren der Arbeit wieder physisch vom Netzwerk getrennt wird.

Sicherungen müssen inkrementell erfolgen. Dies ist notwendig, um zu vermeiden, dass der Verschlüsseler alle Daten verschlüsselt, ohne dass Sie es bemerken. Es wurde ein Backup durchgeführt, bei dem die alten Dateien durch neue, aber bereits verschlüsselte Dateien ersetzt wurden. Das Ergebnis ist, dass Sie ein Archiv haben, das jedoch keinen Nutzen hat. Sie benötigen eine Archivtiefe von mindestens mehreren Tagen. Ich denke, dass es in Zukunft, sofern sie noch nicht aufgetaucht sind, Ransomware geben wird, die stillschweigend einen Teil der Daten verschlüsselt und einige Zeit wartet, ohne sich zu offenbaren. Dies geschieht in der Erwartung, dass die verschlüsselten Dateien in Archiven landen und dort im Laufe der Zeit die echten Dateien ersetzen.

Für den Unternehmenssektor wird es eine schwierige Zeit. Ich habe oben bereits ein Beispiel aus dem eset-Forum gegeben, wo Netzlaufwerke mit 20 TB Daten verschlüsselt wurden. Stellen Sie sich nun vor, Sie hätten ein solches Netzlaufwerk, aber nur 500G Daten seien in Verzeichnissen verschlüsselt, auf die nicht ständig zugegriffen werde. Es vergehen ein paar Wochen, niemand bemerkt die verschlüsselten Dateien, weil sie in Archivverzeichnissen liegen und ständig nicht bearbeitet werden. Aber am Ende des Berichtszeitraums werden Daten benötigt. Sie gehen dorthin und sehen, dass alles verschlüsselt ist. Sie gehen ins Archiv und dort beträgt die Speichertiefe beispielsweise 7 Tage. Und das ist alles, die Daten sind weg.

Dies erfordert einen gesonderten, sorgfältigen Umgang mit Archiven. Müssen Software und Ressourcen für die langfristige Datenspeicherung.

Video über Dateientschlüsselung und -wiederherstellung

Hier ist ein Beispiel für eine ähnliche Modifikation des Virus, aber das Video ist für Combo völlig relevant.



Freunden erzählen
Twitter
Gerät mit...
Nächster Artikel
Lesen Sie auch
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
2023-10-23 00:05:22
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
2023-10-22 00:02:31
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
2023-10-22 00:02:31
Klassenkameraden arbeiten nicht!
Klassenkameraden arbeiten nicht!
2023-10-22 00:02:31