Und jedes Jahr tauchen immer mehr neue auf... immer interessanter. Der in letzter Zeit beliebteste Virus (Trojan-Ransom.Win32.Rector), der alle Ihre Dateien (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar usw.) verschlüsselt . .D.). Das Problem besteht darin, dass die Entschlüsselung solcher Dateien äußerst schwierig und zeitaufwändig ist; je nach Art der Verschlüsselung kann die Entschlüsselung Wochen, Monate oder sogar Jahre dauern. Meiner Meinung nach stellt dieser Virus derzeit unter anderen Viren den Höhepunkt der Gefahr dar. Dies ist besonders gefährlich für Heimcomputer/Laptops, da die meisten Benutzer ihre Daten nicht sichern und beim Verschlüsseln von Dateien alle Daten verloren gehen. Für Organisationen ist dieser Virus weniger gefährlich, weil sie es tun Backups Wichtige Daten werden gespeichert und im Falle einer Infektion einfach wiederhergestellt, natürlich nach der Entfernung des Virus. Ich bin mehrmals auf diesen Virus gestoßen. Ich werde beschreiben, wie es passiert ist und wozu es geführt hat.

Das erste Mal stieß ich Anfang 2014 auf einen Virus, der Dateien verschlüsselt. Ein Administrator aus einer anderen Stadt hat mich kontaktiert und mir die unangenehmste Nachricht mitgeteilt: Alle Dateien auf dem Dateiserver sind verschlüsselt! Die Infektion erfolgte auf elementare Weise – die Buchhaltung erhielt einen Brief mit dem Anhang „Act of Something there.pdf.exe“, wie Sie wissen, wurde dieser geöffnet EXE-Datei Und der Prozess begann ... er verschlüsselte alle persönlichen Dateien auf dem Computer und wechselte zu Dateiserver(es war über ein Netzlaufwerk verbunden). Der Administrator und ich fingen an, im Internet nach Informationen zu suchen... damals gab es keine Lösung... alle schrieben, dass es so einen Virus gäbe, man wisse nicht, wie man damit umgehen solle, die Dateien könnten vielleicht nicht entschlüsselt werden Das Senden der Dateien an Kaspersky, Dr. Web oder Nod32 würde helfen. Sie können sie nur senden, wenn Sie deren Antivirenprogramme (lizenziert) verwenden. Wir schickten die Dateien an Dr. Web und Nod32, das Ergebnis war 0, ich kann mich nicht erinnern, was sie zu Dr. Web sagten, und Nod 32 schwieg völlig und ich erhielt keine Antwort von ihnen. Im Allgemeinen war alles traurig und wir haben nie eine Lösung gefunden; wir haben einige Dateien aus dem Backup wiederhergestellt.

Die zweite Geschichte – neulich (Mitte Oktober 2014) erhielt ich einen Anruf von einer Organisation, die mich bat, ein Problem mit einem Virus zu lösen; wie Sie wissen, waren alle Dateien auf dem Computer verschlüsselt. Hier ist ein Beispiel dafür, wie es aussah.

Wie Sie sehen können, wurde jeder Datei die Erweiterung *.AES256 hinzugefügt. In jedem Ordner befand sich eine Datei „Attention_open-me.txt“, die Kontakte zur Kommunikation enthielt.

Beim Versuch, diese Dateien zu öffnen, wurde ein Programm mit Kontakten geöffnet, um die Autoren des Virus zu kontaktieren und die Entschlüsselung zu bezahlen. Natürlich empfehle ich auch nicht, sie zu kontaktieren oder den Code zu bezahlen, da Sie sie nur finanziell unterstützen und es keine Tatsache ist, dass Sie den Entschlüsselungsschlüssel erhalten.

Die Infektion erfolgte während der Installation eines aus dem Internet heruntergeladenen Programms. Das Überraschendste war, dass sie, als sie bemerkten, dass sich die Dateien geändert hatten (Symbole und Dateierweiterungen hatten sich geändert), nichts unternahmen und weiterarbeiteten, während die Ransomware weiterhin alle Dateien verschlüsselte.

Aufmerksamkeit!!! Wenn Sie eine Verschlüsselung von Dateien auf Ihrem Computer bemerken (Änderung der Symbole, Änderung der Erweiterung), schalten Sie Ihren Computer/Laptop sofort aus und suchen Sie nach einer Lösung auf einem anderen Gerät (von einem anderen Computer/Laptop, Telefon, Tablet) oder wenden Sie sich an IT-Spezialisten. Je länger Ihr Computer/Laptop eingeschaltet ist, desto weitere Dateien es wird verschlüsselt.

Im Allgemeinen wollte ich ihnen schon die Hilfe verweigern, aber ich beschloss, im Internet zu surfen, vielleicht war bereits eine Lösung für dieses Problem aufgetaucht. Als Ergebnis der Suche habe ich viele Informationen gelesen, dass es nicht entschlüsselt werden kann, dass man Dateien an Antiviren-Unternehmen (Kaspersky, Dr. Web oder Nod32) senden muss – vielen Dank für die Erfahrung.
Ich bin auf ein Dienstprogramm von Kaspersky gestoßen – RectorDecryptor. Und siehe da, die Dateien wurden entschlüsselt. Nun, das Wichtigste zuerst...

Der erste Schritt besteht darin, die Ransomware zu stoppen. Sie werden keine Antivirenprogramme finden, da das installierte Dr. Web nichts gefunden hat. Zuerst ging ich zum Startup und deaktivierte alle Startups (außer Antivirus). Habe den Computer neu gestartet. Dann fing ich an zu schauen, welche Art von Dateien sich im Startup befanden.

Wie Sie im Feld „Befehl“ sehen können, wird angezeigt, wo sich die Datei befindet. Besonderes Augenmerk muss auf Anwendungen ohne Signatur gelegt werden (Hersteller – Keine Daten). Im Allgemeinen habe ich die Schadsoftware und Dateien gefunden und gelöscht, die mir noch nicht klar waren. Danach habe ich temporäre Ordner und Browser-Caches geleert; für diese Zwecke ist es am besten, das Programm zu verwenden CCleaner .

Dann habe ich angefangen, die Dateien zu entschlüsseln, dafür habe ich sie heruntergeladen Entschlüsselungsprogramm RectorDecryptor . Ich startete es und sah eine eher asketische Benutzeroberfläche des Dienstprogramms.

Ich klickte auf „Scannen starten“ und gab die Erweiterung an, die alle geänderten Dateien hatten.

Und gab die verschlüsselte Datei an. In neueren Versionen von RectorDecryptor können Sie einfach die verschlüsselte Datei angeben. Klicken Sie auf die Schaltfläche „Öffnen“.

Tada-a-a-am!!! Ein Wunder geschah und die Datei wurde entschlüsselt.

Danach überprüft das Dienstprogramm automatisch alle Dateien auf dem Computer und die Dateien auf dem angeschlossenen Gerät Netzlaufwerk und entschlüsselt sie. Der Entschlüsselungsvorgang kann mehrere Stunden dauern (abhängig von der Anzahl der verschlüsselten Dateien und der Geschwindigkeit Ihres Computers).

Infolgedessen wurden alle verschlüsselten Dateien erfolgreich in dasselbe Verzeichnis entschlüsselt, in dem sie sich ursprünglich befanden.

Jetzt müssen nur noch alle Dateien mit der Erweiterung .AES256 gelöscht werden; dies könnte durch Aktivieren des Kontrollkästchens „Verschlüsselte Dateien nach erfolgreicher Entschlüsselung löschen“ erfolgen, wenn Sie im RectorDecryptor-Fenster auf „Scanparameter ändern“ klicken.

Denken Sie jedoch daran, dass es besser ist, dieses Kontrollkästchen nicht zu aktivieren, denn wenn die Dateien nicht erfolgreich entschlüsselt werden, werden sie gelöscht und Sie müssen zunächst versuchen, sie erneut zu entschlüsseln wiederherstellen .

Als ich versuchte, alle verschlüsselten Dateien mithilfe der Standardsuche und -löschung zu löschen, kam es zu Abstürzen und einem extrem langsamen Betrieb des Computers.

Um es zu entfernen, ist es daher am besten, die Befehlszeile zu verwenden, es auszuführen und zu schreiben del"<диск>:\*.<расширение зашифрованного файла>"/f/s. In meinem Fall del "d:\*.AES256" /f /s.

Vergessen Sie nicht, die Dateien „Attention_open-me.txt“ zu löschen Befehlszeile Verwenden Sie den Befehl del"<диск>:\*.<имя файла>"/f/s, Zum Beispiel
del "d:\Achtung_open-me.txt" /f /s

Somit wurde der Virus besiegt und die Dateien wiederhergestellt. Das möchte ich Sie warnen diese Methode Es wird nicht jedem helfen, der springende Punkt ist, dass Kapersky in diesem Dienstprogramm alle bekannten Entschlüsselungsschlüssel gesammelt hat (aus den Dateien, die von den mit dem Virus infizierten Personen gesendet wurden) und eine Brute-Force-Methode verwendet, um die Schlüssel auszuwählen und zu entschlüsseln . Diese. Wenn Ihre Dateien durch einen Virus mit einem unbekannten Schlüssel verschlüsselt sind, hilft diese Methode nicht. Sie müssen die infizierten Dateien an Antivirenunternehmen senden – Kaspersky, Dr. Web oder Nod32, um sie zu entschlüsseln.

Hallo zusammen, heute erzähle ich euch, wie man Dateien nach einem Virus in Windows entschlüsselt. Eine der problematischsten Malware heutzutage ist ein Trojaner oder Virus, der Dateien auf dem Laufwerk eines Benutzers verschlüsselt. Einige dieser Dateien können entschlüsselt werden, andere jedoch noch nicht. In dem Artikel werde ich mögliche Handlungsalgorithmen in beiden Situationen beschreiben.

Es gibt mehrere Modifikationen dieses Virus, aber der allgemeine Kern der Arbeit besteht darin, dass nach der Installation auf Ihrem Computer Ihre Dokumentdateien, Bilder und andere potenziell wichtige Dateien mit einer Änderung der Erweiterung verschlüsselt werden, woraufhin Sie eine Nachricht erhalten, dass alle Ihre Dateien wurden verschlüsselt und um sie zu entschlüsseln, müssen Sie einen bestimmten Betrag an den Angreifer senden.

Dateien auf dem Computer werden in xtbl verschlüsselt

Ein von neueste Optionen Der Ransomware-Virus verschlüsselt Dateien und ersetzt sie durch Dateien mit der Erweiterung .xtbl und einem Namen, der aus einem zufälligen Satz von Zeichen besteht.

Gleichzeitig wird es auf dem Computer abgelegt Textdatei readme.txt mit etwa folgendem Inhalt: „Ihre Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code an senden E-Mail [email protected], [email protected] oder [email protected]. Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, Dateien selbst zu entschlüsseln, führen zu einem unwiederbringlichen Informationsverlust“ (Mailadresse und Text können abweichen).

Leider gibt es derzeit keine Möglichkeit, .xtbl zu entschlüsseln (sobald es verfügbar ist, werden die Anweisungen aktualisiert). Einige Benutzer, die wirklich wichtige Informationen auf ihrem Computer hatten, berichten in Antiviren-Foren, dass sie den Autoren des Virus 5.000 Rubel oder einen anderen erforderlichen Betrag geschickt und einen Entschlüsseler erhalten haben, aber das ist sehr riskant: Sie erhalten möglicherweise nichts.

Was tun, wenn die Dateien in .xtbl verschlüsselt waren? Meine Empfehlungen lauten wie folgt (sie unterscheiden sich jedoch von denen auf vielen anderen thematischen Websites, wo beispielsweise empfohlen wird, den Computer sofort von der Stromversorgung zu trennen oder den Virus nicht zu entfernen. Meiner Meinung nach ist dies und unter einigen unnötig Unter bestimmten Umständen kann es sogar schädlich sein, aber die Entscheidung liegt bei Ihnen.):

1. Wenn Sie wissen, wie das geht, unterbrechen Sie den Verschlüsselungsprozess, indem Sie die entsprechenden Aufgaben im Task-Manager löschen und den Computer vom Internet trennen (dies kann eine notwendige Voraussetzung für die Verschlüsselung sein).
2. Merken oder notieren Sie sich den Code, den die Angreifer an eine E-Mail-Adresse senden müssen (nur nicht an eine Textdatei auf dem Computer, nur für den Fall, dass sie auch nicht verschlüsselt ist).
3. Verwendung von Malwarebytes Antimalware, Testversion Kaspersky-Versionen Internet sicherheit oder Dr.Web Cure It, um einen Virus zu entfernen, der Dateien verschlüsselt (alle oben aufgeführten Tools leisten hier gute Arbeit). Ich empfehle Ihnen, nacheinander das erste und zweite Produkt aus der Liste zu verwenden (wenn Sie jedoch ein Antivirenprogramm installiert haben, ist die Installation des zweiten „von oben“ unerwünscht, da dies zu Problemen mit dem Computer führen kann.)
4. Warten Sie, bis ein Entschlüsselungsprogramm von einem Antiviren-Unternehmen erscheint. Kaspersky Lab steht hier an vorderster Front.
5. Sie können auch ein Beispiel einer verschlüsselten Datei und den erforderlichen Code an senden [email protected] Wenn Sie eine unverschlüsselte Kopie derselben Datei haben, senden Sie diese bitte ebenfalls. Theoretisch könnte dies das Erscheinen des Entschlüsselers beschleunigen.

Was Sie nicht tun sollten:

• Benennen Sie verschlüsselte Dateien um, ändern Sie die Erweiterung und löschen Sie sie, wenn sie für Sie wichtig sind.

Das ist wahrscheinlich alles, was ich derzeit über verschlüsselte Dateien mit der Erweiterung .xtbl sagen kann.

Trojan-Ransom.Win32.Aura und Trojan-Ransom.Win32.Rakhni

Der folgende Trojaner verschlüsselt Dateien und installiert Erweiterungen aus dieser Liste:

• .gesperrt
• .crypto
• .Krake
• .AES256 (nicht unbedingt dieser Trojaner, es gibt andere, die dieselbe Erweiterung installieren).
• .codercsu@gmail_com
• Scheiße
• Und andere.

Um Dateien zu entschlüsseln, nachdem die angegebenen Viren ausgeführt wurden, bietet die Kaspersky-Website die Möglichkeit kostenloses Dienstprogramm RakhniDecryptor, verfügbar auf der offiziellen Seite http://support.kaspersky.ru/viruses/disinfection/10556.

Es gibt auch detaillierte Anleitungüber die Verwendung dieses Dienstprogramms, das zeigt, wie man verschlüsselte Dateien wiederherstellt, aus dem ich für alle Fälle den Punkt „Verschlüsselte Dateien nach erfolgreicher Entschlüsselung löschen“ entfernen würde (obwohl ich denke, dass mit der installierten Option alles in Ordnung sein wird).

Wenn Sie über eine Dr.Web-Antivirenlizenz verfügen, können Sie die kostenlose Entschlüsselung dieses Unternehmens auf der Seite http://support.drweb.com/new/free_unlocker/ nutzen.

Weitere Optionen für Ransomware-Viren

Weniger verbreitet, aber auch anzutreffen sind die folgenden Trojaner, die Dateien verschlüsseln und für die Entschlüsselung Geld verlangen. Die bereitgestellten Links enthalten nicht nur Dienstprogramme zum Zurücksenden Ihrer Dateien, sondern auch eine Beschreibung der Anzeichen, anhand derer Sie feststellen können, dass Sie diesen bestimmten Virus haben. Im Allgemeinen besteht die optimale Methode jedoch darin, das System mit Kaspersky Antivirus zu scannen, den Namen des Trojaners anhand der Klassifizierung dieses Unternehmens herauszufinden und dann nach einem Dienstprogramm mit diesem Namen zu suchen.

• Trojan-Ransom.Win32.Rector – das kostenlose RectorDecryptor-Entschlüsselungsdienstprogramm und Anweisungen zur Verwendung finden Sie hier: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist ist ein ähnlicher Trojaner, der ein Fenster anzeigt, in dem Sie aufgefordert werden, eine kostenpflichtige SMS zu senden oder per E-Mail Kontakt aufzunehmen, um Entschlüsselungsanweisungen zu erhalten. Anweisungen zum Wiederherstellen verschlüsselter Dateien und das Dienstprogramm XoristDecryptor hierfür finden Sie auf der Seite http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – RannohDecryptor-Dienstprogrammhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 und andere mit demselben Namen (bei der Suche über Dr.Web Antivirus oder das Dienstprogramm Cure It) und verschiedene Zahlen- Suchen Sie im Internet nach dem Namen des Trojaners. Für einige von ihnen gibt es Entschlüsselungsdienstprogramme von Dr.Web. Wenn Sie das Dienstprogramm nicht finden konnten, aber über eine Dr.Web-Lizenz verfügen, können Sie die offizielle Seite http://support.drweb.com/new/free_unlocker verwenden /
• CryptoLocker – Um Dateien zu entschlüsseln, nachdem CryptoLocker funktioniert, können Sie die Website http://decryptcryptolocker.com verwenden – nach dem Senden der Beispieldatei erhalten Sie einen Schlüssel und ein Dienstprogramm zum Wiederherstellen Ihrer Dateien.

Naja von neueste Nachrichten- Kaspersky Lab hat zusammen mit Polizeibeamten aus den Niederlanden den Ransomware Decryptor (http://noransom.kaspersky.com) entwickelt, um Dateien nach CoinVault zu entschlüsseln, aber diese Ransomware ist in unseren Breitengraden noch nicht zu finden.

Übrigens, wenn sich plötzlich herausstellt, dass Sie etwas hinzuzufügen haben (da ich möglicherweise keine Zeit habe, zu überwachen, was mit den Entschlüsselungsmethoden passiert), lassen Sie es mich in den Kommentaren wissen. Diese Informationen werden für andere Benutzer nützlich sein mit einem Problem konfrontiert.

Viren selbst als Computerbedrohung überraschen heute niemanden mehr. Aber während sie früher das System als Ganzes beeinträchtigten und zu Leistungsstörungen führten, wirken sich die Aktionen einer eindringenden Bedrohung heute, mit dem Aufkommen einer Sorte wie eines Verschlüsselungsvirus, auf mehr Benutzerdaten aus. Es stellt möglicherweise eine noch größere Bedrohung dar als ausführbare Anwendungen, die Windows zerstören, oder Spyware-Applets.

Was ist ein Ransomware-Virus?

Der in einem selbstkopierenden Virus geschriebene Code selbst beinhaltet die Verschlüsselung fast aller Benutzerdaten mit speziellen kryptografischen Algorithmen, was keine Auswirkungen hat Systemdateien Betriebssystem.

Die Logik der Auswirkungen des Virus war vielen zunächst nicht ganz klar. Alles wurde erst klar, als die Hacker, die solche Applets erstellt hatten, begannen, Geld für die Wiederherstellung der ursprünglichen Dateistruktur zu verlangen. Gleichzeitig erlaubt der verschlüsselte Virus selbst aufgrund seiner Eigenschaften nicht, Dateien zu entschlüsseln. Dazu benötigen Sie einen speziellen Entschlüsseler, ggf. einen Code, ein Passwort oder einen Algorithmus, der zur Wiederherstellung des gewünschten Inhalts erforderlich ist.

Das Prinzip des Eindringens in das System und der Funktionsweise des Virencodes

In der Regel ist es ziemlich schwierig, solchen Mist im Internet „aufzuschnappen“. Die Hauptverbreitungsquelle der „Infektion“ ist E-Mail auf der Ebene der auf einem bestimmten Computerterminal installierten Programme wie Outlook, Thunderbird, Die Fledermaus usw. Beachten wir gleich: Dies gilt nicht für Internet-Mailserver, da diese über ein recht hohes Maß an Schutz verfügen und der Zugriff auf Benutzerdaten nur auf der Ebene möglich ist

Eine andere Sache ist eine Anwendung auf einem Computerterminal. Hier ist das Wirkungsfeld von Viren so groß, dass man es sich kaum vorstellen kann. Allerdings lohnt sich auch hier ein Vorbehalt: In den meisten Fällen haben Viren es auf große Unternehmen abgesehen, von denen sie Geld für die Bereitstellung eines Entschlüsselungscodes „abzocken“ können. Dies ist verständlich, denn nicht nur auf lokalen Computerterminals, sondern auch auf den Servern solcher Unternehmen können Dateien sozusagen in einer einzigen Kopie gespeichert werden, die auf keinen Fall zerstört werden kann. Und dann wird das Entschlüsseln von Dateien nach einem Ransomware-Virus ziemlich problematisch.

Natürlich kann ein normaler Benutzer einem solchen Angriff ausgesetzt sein, aber in den meisten Fällen ist dies unwahrscheinlich, wenn Sie die einfachsten Empfehlungen zum Öffnen von Anhängen mit Erweiterungen befolgen unbekannter Typ. Auch wenn Mail-Client Definiert einen Anhang mit der Erweiterung .jpg als Standard-Grafikdatei. Zuerst müssen Sie überprüfen, ob er standardmäßig auf dem System installiert ist.

Geschieht dies nicht, beim Öffnen Doppelklick(Standardmethode) Die Aktivierung des Codes wird gestartet und der Verschlüsselungsprozess beginnt. Danach kann derselbe Breaking_Bad (Verschlüsselungsvirus) nicht nur nicht mehr entfernt werden, sondern die Dateien werden nach Beseitigung der Bedrohung auch nicht wiederhergestellt.

Allgemeine Folgen des Eindringens aller Viren dieser Art

Wie bereits erwähnt, dringen die meisten Viren dieser Art über E-Mail in das System ein. Nehmen wir an, eine große Organisation erhält einen Brief an eine bestimmte registrierte E-Mail mit Inhalten wie „Wir haben den Vertrag geändert, eine gescannte Kopie ist beigefügt“ oder „Sie haben eine Rechnung für den Versand der Waren erhalten (eine Kopie dort)“. Natürlich öffnet der ahnungslose Mitarbeiter die Akte und...

Alle Benutzerdateien auf der Ebene von Office-Dokumenten, Multimedia, speziellen AutoCAD-Projekten oder anderen Archivdaten werden sofort verschlüsselt, und zwar unabhängig davon, ob sich das Computerterminal darin befindet lokales Netzwerk, kann der Virus weiter übertragen werden und Daten auf anderen Maschinen verschlüsseln (dies macht sich sofort durch das „Abbremsen“ des Systems und das Einfrieren von Programmen oder aktuell laufenden Anwendungen bemerkbar).

Am Ende des Verschlüsselungsprozesses sendet der Virus offenbar selbst eine Art Bericht, woraufhin das Unternehmen möglicherweise eine Nachricht erhält, dass diese oder jene Bedrohung in das System eingedrungen ist und dass nur diese und jene Organisation sie entschlüsseln kann. Dabei handelt es sich in der Regel um einen Virus. [email protected]. Als nächstes kommt die Verpflichtung, für Entschlüsselungsdienste zu zahlen, mit dem Angebot, mehrere Dateien an die E-Mail-Adresse des Kunden zu senden, was meist fiktiv ist.

Schaden durch Code-Exposition

Falls jemand es noch nicht verstanden hat: Das Entschlüsseln von Dateien nach einem Ransomware-Virus ist ein ziemlich arbeitsintensiver Prozess. Selbst wenn man den Forderungen der Angreifer nicht nachgibt und versucht, offizielle staatliche Stellen in die Bekämpfung und Verhinderung von Computerkriminalität einzubinden, kommt meist nichts Gutes dabei heraus.

Wenn Sie alle Dateien löschen, die Originaldaten von Wechselmedien erstellen und sogar kopieren (natürlich, wenn eine solche Kopie vorhanden ist), wird bei einer Aktivierung des Virus immer noch alles wieder verschlüsselt. Machen Sie sich also keine allzu großen Illusionen, zumal der Benutzer beim Einstecken desselben Flash-Laufwerks in einen USB-Anschluss gar nicht merkt, wie der Virus auch die darauf befindlichen Daten verschlüsselt. Dann werden Sie keine Probleme haben.

Erstgeborener der Familie

Wenden wir uns nun dem ersten Verschlüsselungsvirus zu. Zum Zeitpunkt seines Erscheinens hatte noch niemand darüber nachgedacht, wie man Dateien wiederherstellen und entschlüsseln kann, nachdem sie einem ausführbaren Code ausgesetzt waren, der in einem E-Mail-Anhang mit einem Dating-Angebot enthalten war. Das Ausmaß der Katastrophe wurde erst mit der Zeit bewusst.

Dieser Virus hatte den romantischen Namen „I Love You“. Ein ahnungsloser Benutzer öffnete einen Anhang in einer E-Mail-Nachricht und erhielt völlig nicht abspielbare Multimediadateien (Grafiken, Video und Audio). Damals sahen solche Aktionen jedoch destruktiver aus (Schädigung der Medienbibliotheken der Benutzer) und niemand verlangte Geld dafür.

Die neuesten Modifikationen

Wie wir sehen, hat sich die Weiterentwicklung der Technologie zu einem recht profitablen Geschäft entwickelt, insbesondere wenn man bedenkt, dass viele Manager großer Organisationen sofort losrennen, um die Entschlüsselungsbemühungen zu bezahlen, ohne überhaupt daran zu denken, dass sie sowohl Geld als auch Informationen verlieren könnten.

Schauen Sie sich übrigens nicht all diese „falschen“ Beiträge im Internet an, in denen es heißt: „Ich habe den erforderlichen Betrag bezahlt/bezahlt, sie haben mir einen Code geschickt, alles wurde wiederhergestellt.“ Unsinn! All dies wurde von den Entwicklern des Virus selbst geschrieben, um potenzielle, entschuldigen Sie, „Idioten“ anzulocken. Nach den Maßstäben eines normalen Benutzers sind die zu zahlenden Beträge jedoch recht hoch: von Hunderten bis zu mehreren Tausend oder Zehntausenden von Euro oder Dollar.

Schauen wir uns nun an neueste Typen Viren dieser Art, die erst vor relativ kurzer Zeit erfasst wurden. Alle von ihnen sind praktisch ähnlich und gehören nicht nur zur Kategorie der Verschlüsselungsprogramme, sondern auch zur Gruppe der sogenannten Ransomware. In manchen Fällen verhalten sie sich korrekter (wie Paycrypt), indem sie scheinbar offizielle Geschäftsangebote oder Nachrichten versenden, dass sich jemand um die Sicherheit des Benutzers oder der Organisation kümmert. Ein solcher verschlüsselnder Virus führt den Benutzer einfach mit seiner Nachricht in die Irre. Wenn er auch nur die geringsten Maßnahmen ergreift, um zu zahlen, ist das alles – die „Scheidung“ ist vollständig.

XTBL-Virus

Diese relativ neue Variante kann als klassische Version der Ransomware eingestuft werden. Typischerweise gelangt es über E-Mail-Nachrichten mit Dateianhängen in das System, was bei Windows-Bildschirmschonern Standard ist. Das System und der Benutzer denken, dass alles in Ordnung ist und aktivieren das Anzeigen oder Speichern des Anhangs.

Dies führt leider zu traurigen Konsequenzen: Die Dateinamen werden in einen Zeichensatz umgewandelt und .xtbl an die Haupterweiterung angehängt, woraufhin eine Nachricht an die gewünschte E-Mail-Adresse über die Möglichkeit der Entschlüsselung nach Zahlung des angegebenen Betrags gesendet wird (normalerweise 5.000 Rubel).

CBF-Virus

Auch dieser Virentyp gehört zu den Klassikern des Genres. Es erscheint auf dem System nach dem Öffnen von E-Mail-Anhängen, benennt dann Benutzerdateien um und fügt am Ende eine Erweiterung wie .nochance oder .perfect hinzu.

Leider ist es nicht möglich, einen solchen Ransomware-Virus zu entschlüsseln, um den Inhalt des Codes zu analysieren, selbst wenn er im System erscheint, da er sich nach Abschluss seiner Aktionen selbst zerstört. Selbst das, was viele für ein universelles Tool wie RectorDecryptor halten, hilft nicht weiter. Auch hier erhält der Nutzer einen Zahlungsaufforderungsbrief, für den ihm eine Frist von zwei Tagen eingeräumt wird.

Breaking_Bad-Virus

Diese Art von Bedrohung funktioniert auf die gleiche Weise, benennt jedoch Dateien in der Standardversion um und fügt der Erweiterung .breaking_bad hinzu.

Die Situation ist nicht darauf beschränkt. Im Gegensatz zu früheren Viren kann dieser Virus eine weitere Erweiterung erstellen – .Heisenberg, sodass es nicht immer möglich ist, alle infizierten Dateien zu finden. Breaking_Bad (ein Ransomware-Virus) ist also eine ziemlich ernste Bedrohung. Übrigens gibt es Fälle, in denen sogar das Lizenzpaket für Kaspersky Endpoint Security 10 diese Art von Bedrohung übersieht.

Virus [email protected]

Hier liegt eine weitere, vielleicht schwerwiegendste Bedrohung, die sich vor allem gegen große kommerzielle Organisationen richtet. In der Regel erhalten einige Abteilungen einen Brief mit scheinbaren Änderungen des Liefervertrags oder auch nur eine Rechnung. Der Anhang kann eine normale JPG-Datei (z. B. ein Bild) enthalten, häufiger jedoch eine ausführbare Datei script.js (Java-Applet).

Wie entschlüsselt man diese Art von Verschlüsselungsvirus? Gemessen an der Tatsache, dass dort ein unbekannter RSA-1024-Algorithmus verwendet wird, auf keinen Fall. Aufgrund des Namens kann man davon ausgehen, dass es sich um ein 1024-Bit-Verschlüsselungssystem handelt. Aber falls sich jemand erinnert, gilt 256-Bit-AES heute als das fortschrittlichste.

Encryptor-Virus: So desinfizieren und entschlüsseln Sie Dateien mit Antivirensoftware

Bisher wurden noch keine Lösungen gefunden, um Bedrohungen dieser Art zu entschlüsseln. Sogar solche Meister auf diesem Gebiet Virenschutz, wie Kaspersky, Dr. Web und Eset können den Schlüssel zur Lösung des Problems nicht finden, wenn das System mit einem verschlüsselnden Virus infiziert ist. Wie desinfiziert man Dateien? In den meisten Fällen wird empfohlen, eine Anfrage an die offizielle Website des Antiviren-Entwicklers zu senden (übrigens nur, wenn das System über lizenzierte Software dieses Entwicklers verfügt).

In diesem Fall müssen Sie mehrere verschlüsselte Dateien sowie ggf. deren „fehlerfreie“ Originale anhängen. Im Allgemeinen speichern im Großen und Ganzen nur wenige Menschen Kopien von Daten, sodass das Problem ihrer Abwesenheit die ohnehin schon unangenehme Situation nur noch verschlimmert.

Mögliche Möglichkeiten, die Bedrohung manuell zu identifizieren und zu beseitigen

Ja, das Scannen mit herkömmlichen Antivirenprogrammen erkennt Bedrohungen und entfernt sie sogar vom System. Doch wohin mit den Informationen?

Einige versuchen, Entschlüsselungsprogramme wie das bereits erwähnte Dienstprogramm RectorDecryptor (RakhniDecryptor) zu verwenden. Merken wir gleich: Das wird nicht helfen. Und im Fall des Breaking_Bad-Virus kann es nur Schaden anrichten. Und deshalb.

Tatsache ist, dass Menschen, die solche Viren erzeugen, versuchen, sich selbst zu schützen und anderen Orientierung zu geben. Bei der Verwendung von Entschlüsselungsdienstprogrammen kann der Virus so reagieren, dass das gesamte System „fliegt“ und alle darauf gespeicherten Daten vollständig zerstört werden Festplatte oder in logischen Partitionen. Dies ist sozusagen eine beispielhafte Lektion zur Erbauung all derer, die nicht zahlen wollen. Wir können uns nur auf offizielle Antivirenlabore verlassen.

Kardinalmethoden

Wenn es jedoch wirklich schlecht läuft, müssen Sie auf Informationen verzichten. Um die Bedrohung vollständig zu beseitigen, müssen Sie die gesamte Festplatte einschließlich der virtuellen Partitionen formatieren und anschließend das Betriebssystem erneut installieren.

Leider gibt es keinen anderen Ausweg. Selbst bis zu einem bestimmten gespeicherten Wiederherstellungspunkt hilft das nicht. Der Virus verschwindet möglicherweise, die Dateien bleiben jedoch verschlüsselt.

Anstelle eines Nachworts

Zusammenfassend lässt sich festhalten, dass die Situation wie folgt aussieht: Ein Ransomware-Virus dringt in das System ein, verrichtet seine Drecksarbeit und kann von niemandem geheilt werden nach bekannten Methoden. Antiviren-Schutztools waren für diese Art von Bedrohung nicht gerüstet. Es versteht sich von selbst, dass es möglich ist, einen Virus nach der Exposition zu erkennen oder zu entfernen. Doch die verschlüsselten Informationen bleiben unansehnlich. Daher hoffe ich, dass die besten Köpfe der Unternehmen, die Antivirensoftware entwickeln, dennoch eine Lösung finden, auch wenn dies, gemessen an den Verschlüsselungsalgorithmen, sehr schwierig sein wird. Denken Sie nur an die Enigma-Verschlüsselungsmaschine, die die deutsche Marine im Zweiten Weltkrieg besaß. Die besten Kryptographen konnten das Problem eines Algorithmus zum Entschlüsseln von Nachrichten erst lösen, als sie das Gerät in die Hände bekamen. So ist es auch hier.

ist ein Schadprogramm, das bei Aktivierung alle persönlichen Dateien wie Dokumente, Fotos usw. verschlüsselt. Die Zahl solcher Programme ist sehr groß und nimmt täglich zu. Erst kürzlich sind wir auf Dutzende von Ransomware-Varianten gestoßen: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff usw. Das Ziel solcher Verschlüsselungsviren besteht darin, Benutzer dazu zu zwingen, oft für eine große Geldsumme das Programm und den Schlüssel zu kaufen, die zum Entschlüsseln ihrer eigenen Dateien erforderlich sind.

Natürlich können Sie verschlüsselte Dateien wiederherstellen, indem Sie einfach den Anweisungen folgen, die die Ersteller des Virus auf dem infizierten Computer hinterlassen. Meistens sind die Kosten für die Entschlüsselung jedoch sehr hoch, und Sie müssen auch wissen, dass einige Ransomware-Viren Dateien so verschlüsseln, dass es einfach unmöglich ist, sie später zu entschlüsseln. Und natürlich ist es einfach nervig, für die Wiederherstellung der eigenen Dateien zu bezahlen.

Im Folgenden werden wir ausführlicher über Verschlüsselungsviren sprechen, wie sie in den Computer des Opfers eindringen und wie man den Verschlüsselungsvirus entfernt und von ihm verschlüsselte Dateien wiederherstellt.

Wie dringt ein Ransomware-Virus in einen Computer ein?

Ein Ransomware-Virus wird normalerweise per E-Mail verbreitet. Der Brief enthält infizierte Dokumente. Solche Briefe werden an eine riesige Datenbank mit E-Mail-Adressen gesendet. Die Autoren dieses Virus verwenden irreführende Kopfzeilen und Inhalte von Briefen und versuchen, den Benutzer dazu zu verleiten, ein dem Brief beigefügtes Dokument zu öffnen. Einige Briefe informieren über die Notwendigkeit, eine Rechnung zu bezahlen, andere bieten an, sich die aktuelle Preisliste anzusehen, andere bieten an, ein lustiges Foto zu öffnen usw. In jedem Fall führt das Öffnen der angehängten Datei dazu, dass Ihr Computer mit einem Ransomware-Virus infiziert wird.

Was ist ein Ransomware-Virus?

Ein Ransomware-Virus ist ein Schadprogramm, das moderne Versionen von Windows-Betriebssystemen wie Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 infiziert. Diese Viren versuchen, die stärksten möglichen Verschlüsselungsmodi zu verwenden, zum Beispiel RSA-2048 mit Die Schlüssellänge beträgt 2048 Bit, wodurch die Möglichkeit, einen Schlüssel zum unabhängigen Entschlüsseln von Dateien auszuwählen, praktisch ausgeschlossen ist.

Bei der Infektion eines Computers verwendet der Ransomware-Virus das Systemverzeichnis %APPDATA%, um seine eigenen Dateien zu speichern. Für automatischer Start Wenn Sie den Computer einschalten, erstellt die Ransomware einen Eintrag Windows-Registrierung: Abschnitte HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Unmittelbar nach dem Start scannt der Virus alle verfügbaren Laufwerke, einschließlich Netzwerk- und Cloud-Speicher, um zu bestimmen, welche Dateien verschlüsselt werden. Ein Ransomware-Virus verwendet eine Dateinamenerweiterung, um eine Gruppe von Dateien zu identifizieren, die verschlüsselt werden sollen. Fast alle Dateitypen sind verschlüsselt, darunter auch die folgenden:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Unmittelbar nachdem eine Datei verschlüsselt wurde, erhält sie eine neue Erweiterung, die häufig zur Identifizierung des Namens oder der Art der Ransomware verwendet werden kann. Einige Arten dieser Malware können auch die Namen verschlüsselter Dateien ändern. Der Virus erstellt dann ein Textdokument mit Namen wie HELP_YOUR_FILES, README, das Anweisungen zum Entschlüsseln der verschlüsselten Dateien enthält.

Während seines Betriebs versucht der Verschlüsselungsvirus, die Wiederherstellung von Dateien mithilfe des SVC-Systems (Shadow Copy of Files) zu blockieren. Dazu ruft der Virus das Administrationsdienstprogramm im Befehlsmodus auf Schattenkopien Dateien mit einem Schlüssel, der den Vorgang startet vollständige Entfernung. Daher ist es fast immer unmöglich, Dateien mithilfe ihrer Schattenkopien wiederherzustellen.

Der Ransomware-Virus nutzt aktiv Einschüchterungstaktiken, indem er dem Opfer einen Link zu einer Beschreibung des Verschlüsselungsalgorithmus gibt und eine Drohmeldung auf dem Desktop anzeigt. Auf diese Weise versucht er, den Benutzer des infizierten Computers ohne zu zögern dazu zu zwingen, die Computer-ID an die E-Mail-Adresse des Virusautors zu senden, um zu versuchen, seine Dateien zurückzugewinnen. Die Antwort auf eine solche Nachricht ist meist der Lösegeldbetrag und die E-Wallet-Adresse.

Ist mein Computer mit einem Ransomware-Virus infiziert?

Es lässt sich ganz einfach feststellen, ob ein Computer mit einem Verschlüsselungsvirus infiziert ist oder nicht. Achten Sie auf die Erweiterungen Ihrer persönlichen Dateien wie Dokumente, Fotos, Musik usw. Wenn sich die Erweiterung geändert hat oder Ihre persönlichen Dateien verschwunden sind und viele Dateien mit unbekannten Namen zurückbleiben, ist Ihr Computer infiziert. Darüber hinaus ist das Vorhandensein einer Datei namens HELP_YOUR_FILES oder README in Ihren Verzeichnissen ein Anzeichen einer Infektion. Diese Datei enthält Anweisungen zum Entschlüsseln der Dateien.

Wenn Sie vermuten, dass Sie eine mit einem Ransomware-Virus infizierte E-Mail geöffnet haben, es aber noch keine Infektionssymptome gibt, schalten Sie Ihren Computer nicht aus und starten Sie ihn nicht neu. Befolgen Sie die in diesem Handbuch im Abschnitt beschriebenen Schritte. Ich wiederhole es noch einmal: Es ist sehr wichtig, den Computer nicht auszuschalten. Bei einigen Arten von Ransomware wird der Dateiverschlüsselungsprozess aktiviert, wenn Sie den Computer nach der Infektion zum ersten Mal einschalten!

Wie entschlüssele ich mit einem Ransomware-Virus verschlüsselte Dateien?

Wenn diese Katastrophe passiert, besteht kein Grund zur Panik! Sie müssen jedoch wissen, dass es in den meisten Fällen keinen kostenlosen Entschlüsseler gibt. Dies liegt an den starken Verschlüsselungsalgorithmen, die diese Malware verwendet. Das bedeutet, dass es ohne einen privaten Schlüssel nahezu unmöglich ist, Dateien zu entschlüsseln. Aufgrund der großen Länge des Schlüssels ist die Verwendung der Schlüsselauswahlmethode ebenfalls keine Option. Daher ist es leider die einzige Möglichkeit, den Entschlüsselungsschlüssel zu erhalten, indem man den Autoren des Virus nur den gesamten angeforderten Betrag zahlt.

Natürlich gibt es keine Garantie dafür, dass sich die Autoren des Virus nach der Zahlung mit Ihnen in Verbindung setzen und Ihnen den zum Entschlüsseln Ihrer Dateien erforderlichen Schlüssel zur Verfügung stellen. Darüber hinaus müssen Sie verstehen, dass Sie durch die Zahlung von Geld an Virenentwickler diese selbst dazu ermutigen, neue Viren zu entwickeln.

Wie entferne ich einen Ransomware-Virus?

Bevor Sie beginnen, müssen Sie sich darüber im Klaren sein, dass Sie durch die Entfernung des Virus und den Versuch, die Dateien selbst wiederherzustellen, die Möglichkeit zum Entschlüsseln der Dateien blockieren, indem Sie den Autoren des Virus den von ihnen geforderten Betrag zahlen.

Kaspersky-Virus Removal Tool und Malwarebytes Anti-Malware erkennen können verschiedene Typen aktive Ransomware-Viren und können diese leicht von Ihrem Computer entfernen, ABER sie können verschlüsselte Dateien nicht wiederherstellen.

5.1. Entfernen Sie Ransomware mit dem Kaspersky Virus Removal Tool

Standardmäßig ist das Programm so konfiguriert, dass es alle Dateitypen wiederherstellt. Um die Arbeit zu beschleunigen, wird jedoch empfohlen, nur die Dateitypen beizubehalten, die Sie wiederherstellen müssen. Wenn Sie Ihre Auswahl abgeschlossen haben, klicken Sie auf OK.

Suchen Sie unten im QPhotoRec-Programmfenster die Schaltfläche „Durchsuchen“ und klicken Sie darauf. Sie müssen das Verzeichnis auswählen, in dem die wiederhergestellten Dateien gespeichert werden. Es wird empfohlen, eine Festplatte zu verwenden, die keine verschlüsselten Dateien enthält, die wiederhergestellt werden müssen (Sie können ein Flash-Laufwerk oder ein externes Laufwerk verwenden).

Um den Vorgang zum Suchen und Wiederherstellen von Originalkopien verschlüsselter Dateien zu starten, klicken Sie auf die Schaltfläche „Suchen“. Dieser Vorgang dauert ziemlich lange, seien Sie also geduldig.

Wenn die Suche abgeschlossen ist, klicken Sie auf die Schaltfläche „Beenden“. Öffnen Sie nun den Ordner, den Sie zum Speichern der wiederhergestellten Dateien ausgewählt haben.

Der Ordner enthält Verzeichnisse mit den Namen recup_dir.1, recup_dir.2, recup_dir.3 usw. Je mehr Dateien das Programm findet, desto mehr Verzeichnisse gibt es. Um die benötigten Dateien zu finden, überprüfen Sie alle Verzeichnisse nacheinander. Um das Auffinden der benötigten Datei unter einer großen Anzahl wiederhergestellter Dateien zu erleichtern, verwenden Sie das integrierte System Windows-Suche(nach Dateiinhalt) und vergessen Sie auch nicht die Funktion zum Sortieren von Dateien in Verzeichnissen. Sie können das Datum, an dem die Datei geändert wurde, als Sortieroption auswählen, da QPhotoRec versucht, diese Eigenschaft beim Wiederherstellen einer Datei wiederherzustellen.

Wie kann verhindert werden, dass ein Ransomware-Virus Ihren Computer infiziert?

Die meisten modernen Antivirenprogramme verfügen bereits über ein integriertes Schutzsystem gegen das Eindringen und die Aktivierung von Verschlüsselungsviren. Daher, wenn Ihr Computer dies nicht hat Antivirus Programm, und installieren Sie es dann unbedingt. Wie Sie es auswählen, erfahren Sie hier.

Darüber hinaus gibt es spezielle Schutzprogramme. Dies ist zum Beispiel CryptoPrevent, weitere Details.

Noch ein paar abschließende Worte

Wenn Sie diese Anweisungen befolgen, wird Ihr Computer vom Ransomware-Virus befreit. Wenn Sie Fragen haben oder Hilfe benötigen, kontaktieren Sie uns bitte.