Virüs tarafından şifrelenmiş dosyalar nasıl açılır? Virüs şifreleyen bir dosya nasıl kaldırılır ve dosyaların şifresi nasıl çözülür?

Web sitemdeki kötü şöhretli bölüme, benim de kurbanı olduğum başka bir hikayeyle devam ediyorum. Bir ağ sürücüsündeki tüm dosyaları şifreleyen ve onlara .combo uzantısını veren fidye yazılımı virüsü Crusis'ten (Dharma) bahsedeceğim. Çoğu zaman olduğu gibi yalnızca yerel dosyalar üzerinde değil, aynı zamanda ağ dosyaları üzerinde de çalıştı.

Fidye yazılımı virüsünden sonra dosyaların şifresinin çözülmesi garantilidir - dr-shifro.ru. İşin detayları ve müşteri ile etkileşim şeması aşağıda yazımda veya web sitesinde “İş Prosedürü” bölümünde yer almaktadır.

giriiş

Yönettiğim veriler ve altyapı şifreleyiciden etkilendiği için hikaye birinci şahıs ağzından olacak. Bunu kabul etmek ne kadar üzücü olsa da, kriptografları çok uzun zamandır tanıyor olmama rağmen olanlardan kısmen ben sorumluyum. Savunmamda hiçbir verinin kaybolmadığını, her şeyin hızlı bir şekilde geri yüklendiğini ve gecikmeden araştırıldığını söyleyeceğim. Ama önce ilk şeyler.

Sıkıcı sabah, saat 9:15'te uzak bir siteden sistem yöneticisinin arayıp ağda bir şifreleyici olduğunu, ağ sürücülerindeki verilerin zaten şifrelenmiş olduğunu söylemesiyle başladı. Cildimden bir ürperti geçti :) O enfeksiyonun kaynağını kendi başına kontrol etmeye başladı, ben de kendi başıma kontrol etmeye başladım. Tabii hemen sunucuya gittim, ağ sürücülerinin bağlantısını kestim ve veri erişim günlüğüne bakmaya başladım. Ağ sürücüleri yapılandırılacak şekilde etkinleştirilmelidir. Günlükten bulaşmanın kaynağını, fidye yazılımının çalıştığı hesabı ve şifrelemenin başlangıç zamanını hemen gördüm.

Crusis (Dharma) fidye yazılımı virüsünün açıklaması

Daha sonra soruşturma başladı. Şifrelenmiş dosyalar uzantıyı aldı .combo. Birçoğu vardı. Kriptograf akşam geç saatlerde, yaklaşık 23:00 civarında çalışmaya başladı. Şanslıydık; etkilenen disklerin yedeklenmesi bu sırada henüz tamamlanmıştı. Çalışma gününün sonunda yedeklendiği için veriler hiçbir şekilde kaybolmadı. Hemen SMB erişimi olmayan ayrı bir sunucuda bulunan yedekten geri yüklemeye başladım.

Virüs, bir gecede ağ sürücülerindeki yaklaşık 400 GB veriyi şifrelemeyi başardı. Birleşik uzantıya sahip tüm şifrelenmiş dosyaların banal olarak silinmesi uzun zaman aldı. İlk başta hepsini birden silmek istedim ancak bu dosyaları saymak 15 dakika sürdükten sonra bunun şu aşamada faydasız olduğunu fark ettim. Bunun yerine en son verileri indirmeye başladım ve ardından diskleri şifrelenmiş dosyalardan temizledim.

Size hemen basit gerçeği anlatacağım. Güncel, güvenilir yedeklemelere sahip olmak her türlü sorunu çözülebilir hale getirir. Eğer orada değillerse ya da alakalı değillerse ne yapacağımı hayal bile edemiyorum. Yedeklemelere her zaman özel önem veriyorum. Ben onlarla ilgileniyorum, onlara değer veriyorum ve kimsenin onlara erişmesine izin vermiyorum.

Şifrelenmiş dosyaları kurtarmayı başlattıktan sonra durumu sakin bir şekilde anlayacak ve Crusis (Dharma) şifreleme virüsüne daha yakından bakacak zamanım oldu. Burada beni sürprizler ve sürprizler bekliyordu. Enfeksiyonun kaynağı sanal bir makineydi Windows 7 terkedilmiş rdp bir yedekleme kanalı üzerinden bağlantı noktası. Bağlantı noktası standart değildi - 33333. Böyle bir bağlantı noktasını kullanmanın ana hata olduğunu düşünüyorum. Standart olmasa da oldukça popülerdir. Elbette rdp'yi hiç iletmemek daha iyidir, ancak bu durumda bu gerçekten gerekliydi. Bu arada artık bu sanal makine yerine CentOS 7 yüklü bir sanal makine de kullanılıyor, xfce içeren bir konteyner ve Docker'da bir tarayıcı çalıştırıyor. Peki, bu sanal makinenin hiçbir yere erişimi yok, yalnızca ihtiyaç duyulan yere erişim var.

Bütün bu hikayede korkutucu olan ne? Sanal makine güncellendi. Kriptograf ağustos ayının sonunda çalışmaya başladı. Makineye tam olarak ne zaman bulaştığını belirlemek imkansızdır. Virüs, sanal makinedeki birçok şeyi sildi. Bu sisteme yönelik güncellemeler Mayıs ayında yüklendi. Yani üzerinde eski açık delikler olmamalıdır. Artık rdp bağlantı noktasını İnternetten nasıl erişilebilir bırakacağımı bile bilmiyorum. Buna gerçekten ihtiyaç duyulan çok fazla durum var. Örneğin, kiralanan donanımdaki bir terminal sunucusu. Ayrıca her sunucu için bir VPN ağ geçidi kiralamazsınız.

Şimdi asıl konuya ve fidye yazılımının kendisine yaklaşalım. Sanal makinenin ağ arayüzü devre dışı bırakıldı ve ardından başlattım. Diğer kriptograflardan defalarca gördüğüm standart bir işaretle karşılandım.

Tüm dosyalarınız şifrelendi! Bilgisayarınızdaki bir güvenlik sorunu nedeniyle tüm dosyalarınız şifrelendi. Bunları geri yüklemek istiyorsanız bize e-posta yazın [e-posta korumalı] Bu ID'yi mesajınızın başlığına yazın 501BED27 24 saat içinde yanıt alınamaması durumunda bize şu e-postalara yazın: [e-posta korumalı]Şifre çözme için Bitcoin cinsinden ödeme yapmanız gerekir. Fiyat bize ne kadar hızlı yazdığınıza bağlıdır. Ödeme yapıldıktan sonra size tüm dosyalarınızın şifresini çözecek şifre çözme aracını göndereceğiz. Garanti olarak ücretsiz şifre çözme Ödeme yapmadan önce, ücretsiz şifre çözme için bize en fazla 1 dosya gönderebilirsiniz. Dosyaların toplam boyutu 1Mb'den az (arşivlenmemiş) olmalı ve dosyalar değerli bilgiler içermemelidir. (veritabanları, yedeklemeler, büyük excel sayfaları vb.) Bitcoin nasıl elde edilir Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kayıt olmanız, "Bitcoin satın al" seçeneğine tıklamanız ve ödeme yöntemi ve fiyatına göre satıcıyı seçmeniz gerekir. https://localbitcoins.com/buy_bitcoins Ayrıca Bitcoin satın alabileceğiniz diğer yerleri ve yeni başlayanlar kılavuzunu burada bulabilirsiniz: Dikkat! Şifrelenmiş dosyaları yeniden adlandırmayın. Üçüncü taraf yazılımlar kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir. Dosyalarınızın üçüncü şahısların yardımıyla şifresinin çözülmesi, fiyatların artmasına neden olabilir (ücretlerini bizim ücretimize eklerler) veya bir dolandırıcılığın kurbanı olabilirsiniz.

Masaüstünde adlı 2 metin dosyası vardı DOSYALAR ŞİFRELENMİŞ.TXT aşağıdaki içerik:

Tüm verileriniz bize kilitlendi. Geri dönmek istiyor musunuz? eposta yaz [e-posta korumalı]

Dizin izinlerinin değişmesi ilginç Masaüstü. Kullanıcının yazma izinleri yoktu. Görünüşe göre virüs bunu kullanıcının metin dosyalarındaki bilgileri yanlışlıkla masaüstünden silmesini önlemek için yaptı. Masaüstünde bir dizin vardı Truva, virüsün kendisini içeren bir dosya l20VHC_playload.exe.

Crusis (Dharma) fidye yazılımı virüsü dosyaları nasıl şifreler?

Her şeyi sakince anladıktan ve internette fidye yazılımı konusundaki benzer mesajları okuduktan sonra, ünlü Crusis (Dharma) fidye yazılımı virüsünün bir versiyonunu yakaladığımı öğrendim. Kaspersky bunu şöyle algılıyor Trojan-Ransom.Win32.Crusis.to. And.combo da dahil olmak üzere dosyalara farklı uzantılar koyar. Dosya listem şuna benziyordu:

Vanino.docx.id-24EE2FBC..combo
Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
Khorol.docx.id-24EE2FBC..combo
Yakutsk.docx.id-24EE2FBC..combo

Fidye yazılımının nasıl çalıştığı hakkında size daha fazla ayrıntı anlatacağım. Önemli bir şeyden bahsetmedim. Bu bilgisayar bir etki alanındaydı. Dosyalar bir etki alanı kullanıcısından şifrelendi!!! İşte bu noktada şu soru ortaya çıkıyor: Virüs onu nereden aldı? Etki alanı denetleyicisi günlükleri ve kullanıcı parolasının seçimi hakkında bilgi görmedim. Çok fazla başarısız giriş olmadı. Ya bir tür güvenlik açığından yararlanıldı ya da ne düşüneceğimi bilmiyorum. Bu sisteme hiç giriş yapmamış bir hesap kullanılmış. Bir etki alanı kullanıcı hesabından rdp aracılığıyla yetkilendirme ve ardından şifreleme yapıldı. Ayrıca sistemin kendisinde kullanıcılara ve şifrelere yönelik kaba kuvvet saldırılarına dair hiçbir iz yoktu. Hemen hemen rdp etki alanı hesabını kullanarak giriş yaptım. En azından yalnızca bir şifreyi değil aynı zamanda bir adı da seçmek gerekiyordu.

Ne yazık ki hesabın şifresi 123456 idi. Bu, yerel yöneticiler tarafından gözden kaçırılan şifreye sahip tek hesaptı. İnsan faktörü. Bu yöneticiydi ve bazı nedenlerden dolayı bir dizi sistem yöneticisi bu şifreyi biliyordu ancak değiştirmedi. Açıkçası, bu özel hesabı kullanmanın nedeni budur. Ancak yine de bu kadar basit bir şifre ve kullanıcı adını elde etmenin mekanizması hala bilinmiyor.

Önce disk imajını aldıktan sonra şifreleyici bulaşmış sanal makineyi kapatıp sildim. Virüsün kendisi, çalışmasına bakmak için görüntüyü çıkardı. Sonraki hikaye, virüsün sanal bir makinede çalıştırılmasına dayanacak.

Küçük bir detay daha. Virüs, tüm yerel ağı taradı ve aynı zamanda herkesin erişimi olan bazı paylaşılan klasörlerin bulunduğu bilgisayarlardaki bilgileri şifreledi. Şifreleyicide bu kadar değişiklik yapıldığını ilk defa görüyorum. Bu gerçekten korkutucu bir şey. Böyle bir virüs tüm organizasyonun çalışmasını felce uğratabilir. Diyelim ki, bir nedenden dolayı yedeklemelere ağ erişiminiz oldu. Veya hesap için bir çeşit zayıf şifre kullanmışlar. Hem veriler hem de arşivlenmiş kopyalar olmak üzere her şeyin şifrelenmesi mümkündür. Genel olarak, artık yedekleri yalnızca yalıtılmış bir ağ ortamında değil, genellikle yalnızca yedekleme yapmak için başlatılan kapalı ekipmanlarda depolamayı düşünüyorum.

Bilgisayarınızı nasıl tedavi edersiniz ve Crusis (Dharma) fidye yazılımını nasıl kaldırabilirsiniz?

Benim durumumda, Crusis (Dharma) fidye yazılımı virüsü özellikle gizlenmemişti ve onu kaldırmak herhangi bir sorun yaratmayacaktır. Dediğim gibi masaüstümdeki bir klasördeydi. Ayrıca otomatik çalıştırmada kendisini ve bir bilgi mesajını kaydetti.

Başlatma bölümünde virüsün gövdesi kopyalandı Başlatmak tüm kullanıcılar için ve pencereler/sistem32. Daha yakından bakmadım çünkü bunda bir anlam göremiyorum. Fidye yazılımı bulaştıktan sonra sistemi yeniden yüklemenizi şiddetle tavsiye ederim. Virüsü kaldırdığınızdan emin olmanın tek yolu budur. Virüsün temizlendiğinden hiçbir zaman tam olarak emin olamayacaksınız çünkü henüz yayınlanmamış ve bilinmeyen bazı güvenlik açıklarını kullanarak sistemde bir yer imi bırakmış olabilir. Bir süre sonra bu ipotek sayesinde yeni bir virüs kapabilirsiniz ve her şey bir daire içinde tekrarlanacaktır.

Bu nedenle, fidye yazılımını tespit ettikten hemen sonra bilgisayarınıza müdahale etmemenizi, sistemi yeniden kurarak kalan verileri kaydetmenizi öneririm. Belki de virüs her şeyi şifrelemeyi başaramadı. Bu öneriler, dosyaları kurtarmayı denemeyenler için geçerlidir. Mevcut yedeklemeleriniz varsa, sistemi yeniden yükleyin ve verileri geri yükleyin.

Yedeklemeniz yoksa ve ne pahasına olursa olsun dosyaları geri yüklemeye hazırsanız, bilgisayara hiç dokunmamaya çalışırız. Her şeyden önce, ağ kablosunu çıkarın, birkaç şifrelenmiş dosya ve hakkında bilgi içeren bir metin dosyası indirin. temiz flash sürücüyü çıkarın, ardından bilgisayarı kapatın. Bilgisayar artık açılamaz. Bilgisayarla ilgili konuları hiç anlamıyorsanız, dosyaların şifresini çözmek veya geri yüklemek şöyle dursun, virüsle kendiniz başa çıkamazsınız. Bilen biriyle iletişime geçin. Kendi başınıza bir şeyler yapabileceğinizi düşünüyorsanız okumaya devam edin.

Crusis (Dharma) şifre çözücüyü nereden indirebilirim?

Aşağıda tüm fidye yazılımı virüslerine ilişkin evrensel tavsiyem yer almaktadır. Bir web sitesi var - https://www.nomoreransom.org Teorik olarak Crusis veya Dharma için bir şifre çözücü veya dosyaların şifresini çözmeye ilişkin başka bilgiler içerebilir. Benim pratiğimde bu daha önce hiç olmadı, ama belki şanslı olursun. Denemeye deger. Bunu yapmak için ana sayfada tıklayarak kabul ediyoruz. EVET.

2 dosya ekleyin ve fidye yazılımının bilgi mesajının içeriğini yapıştırın ve tıklayın. Kontrol etmek.

Şanslıysanız biraz bilgi alırsınız. Benim durumumda hiçbir şey bulunamadı.

Fidye yazılımına yönelik mevcut tüm şifre çözücüler ayrı bir sayfada toplanır - https://www.nomoreransom.org/ru/decryption-tools.html Bu listenin varlığı, bu sitede ve hizmette hâlâ bir anlam olduğunu beklememize olanak tanır. Kaspersky'nin de benzer bir hizmeti var - https://noransom.kaspersky.com/ru/ Şansınızı orada deneyebilirsiniz.

İnternet araması yoluyla başka herhangi bir yerde şifre çözücü aramaya değeceğini düşünmüyorum. Bulunmaları pek mümkün değil. Büyük ihtimalle ya önemsiz yazılım içeren sıradan bir dolandırıcılık ya da yeni bir virüs olacaktır.

Önemli ekleme. Yüklü bir antivirüs yazılımının lisanslı bir sürümüne sahipseniz, dosya şifresinin çözülmesi için antivirüs TP'sine bir istek oluşturduğunuzdan emin olun. Bazen gerçekten yardımcı oluyor. Antivirüs desteğiyle başarılı şifre çözme incelemeleri gördüm.

Crusis (Dharma) virüsünden sonra dosyaların şifresi nasıl çözülür ve kurtarılır

Crusis (Dharma) virüsü dosyalarınızı şifrelediğinde, daha önce açıklanan yöntemlerin hiçbiri işe yaramadığında ve dosyaları gerçekten geri yüklemeniz gerektiğinde ne yapmalısınız? Şifrelemenin teknik uygulaması, yalnızca şifreleyicinin yazarının sahip olduğu bir anahtar veya şifre çözücü olmadan dosyaların şifresinin çözülmesine izin vermez. Belki bunu elde etmenin başka bir yolu vardır, ancak bu bilgiye sahip değilim. Yalnızca doğaçlama yöntemler kullanarak dosyaları kurtarmayı deneyebiliriz. Bunlar şunları içerir:

Alet gölge kopyalar pencereler.
Silinen veri kurtarma programları

Daha fazla değişiklik yapmadan önce sektör bazında bir disk görüntüsü oluşturmanızı öneririm. Bu, mevcut durumu kaydetmenize olanak tanır ve hiçbir şey işe yaramazsa en azından başlangıç noktanıza dönüp başka bir şey deneyebilirsiniz. Daha sonra, en yeni anti-virüs veritabanlarına sahip herhangi bir antivirüs kullanarak fidye yazılımını kaldırmanız gerekir. Yapacak tedavi et veya Kaspersky Virüs Temizleme Aracı. Deneme modunda başka bir antivirüs kurabilirsiniz. Bu virüsü kaldırmak için yeterlidir.

Bundan sonra, virüslü sisteme önyükleme yapıyoruz ve gölge kopyaların etkin olup olmadığını kontrol ediyoruz. Bu araç, manuel olarak devre dışı bırakmadığınız sürece Windows 7 ve üzeri sürümlerde varsayılan olarak çalışır. Kontrol etmek için bilgisayar özelliklerini açın ve sistem koruma bölümüne gidin.

Bulaşma sırasında UAC'nin gölge kopyalardaki dosyaları silme isteğini onaylamadıysanız, bazı verilerin orada kalması gerekir. Dosyaları gölge kopyalardan kolayca geri yüklemek için, bunun için ücretsiz bir program olan ShadowExplorer'ı kullanmanızı öneririm. Arşivi indirin, programı açın ve çalıştırın.

Dosyaların en son kopyası ve C sürücüsünün kökü açılacaktır.Eğer birkaç tane varsa, sol üst köşede bir yedek kopya seçebilirsiniz. Gerekli dosyalar için farklı kopyaları kontrol edin. En son sürüm için tarihe göre karşılaştırın. Aşağıdaki örneğimde, masaüstümde en son düzenlendikleri üç ay öncesine ait 2 dosya buldum.

Bu dosyaları kurtarabildim. Bunu yapmak için onları seçtim, sağ tıkladım, Dışa Aktar'ı seçtim ve geri yüklenecekleri klasörü belirttim.

Aynı prensibi kullanarak klasörleri hemen geri yükleyebilirsiniz. Çalışan gölge kopyalarınız varsa ve bunları silmediyseniz, virüs tarafından şifrelenen dosyaların tamamını veya neredeyse tamamını kurtarma şansınız yüksektir. Belki bazıları bizim istediğimizden daha eski bir versiyon olacak, ama yine de hiç yoktan iyidir.

Herhangi bir nedenle dosyalarınızın gölge kopyalarına sahip değilseniz, şifrelenmiş dosyalardan en azından bir şeyler alma şansınız, silinmiş dosya kurtarma araçlarını kullanarak bunları geri yüklemektir. Bunu yapmak için ücretsiz Photorec programını kullanmanızı öneririm.

Programı başlatın ve dosyaları geri yükleyeceğiniz diski seçin. Programın grafik versiyonunu başlatmak dosyayı çalıştırır qphotorec_win.exe. Bulunan dosyaların yerleştirileceği klasörü seçmelisiniz. Bu klasörün aradığımız sürücüde bulunmaması daha iyidir. Bunu yapmak için bir flash sürücü veya harici sabit sürücü bağlayın.

Arama süreci uzun zaman alacaktır. Sonunda istatistikleri göreceksiniz. Artık önceden belirtilen klasöre gidebilir ve orada ne bulunduğunu görebilirsiniz. Büyük olasılıkla çok sayıda dosya olacak ve bunların çoğu ya hasar görmüş olacak ya da bir tür sistem ve işe yaramaz dosyalar olacak. Ancak yine de bu listede bazı yararlı dosyalar bulunabilir. Burada hiçbir garanti yok; ne bulursanız onu bulacaksınız. Görüntüler genellikle en iyi şekilde geri yüklenir.

Sonuç sizi tatmin etmiyorsa silinen dosyaları kurtarmaya yönelik programlar da vardır. Maksimum sayıda dosyayı kurtarmam gerektiğinde genellikle kullandığım programların listesi aşağıdadır:

R. koruyucu
Starus Dosya Kurtarma
JPEG Kurtarma Pro
Aktif Dosya Kurtarma Uzmanı

Bu programlar ücretsiz değildir, dolayısıyla bağlantı vermeyeceğim. Gerçekten istiyorsanız, bunları internette kendiniz bulabilirsiniz.

Listelenen programları kullanarak dosyaları kurtarma sürecinin tamamı, makalenin en sonundaki videoda ayrıntılı olarak gösterilmektedir.

Kaspersky, eset nod32 ve diğerleri Crusis (Dharma) fidye yazılımına karşı mücadelede

Her zamanki gibi, .combo uzantısını yükleyen fidye yazılımı hakkında bilgi aramak için popüler antivirüslerin forumlarını inceledim. Virüsün yayılma yönünde net bir eğilim var. Ağustos ortasından itibaren birçok talep başlıyor. Artık görünür değiller gibi görünüyor, ancak belki geçici olarak veya şifrelenmiş dosyaların uzantısı basitçe değişmiştir.

Kaspersky forumundan gelen tipik bir talebin bir örneğini burada bulabilirsiniz.

Aşağıda moderatörün bir yorumu da var.

EsetNod32 forumu, .combo uzantısını yükleyen virüse uzun zamandır aşinadır. Anladığım kadarıyla virüs benzersiz ve yeni değil, uzun süredir bilinen Crusis (Dharma) virüs serisinin bir varyasyonu. Verilerin şifresini çözmek için tipik bir istek:

Eset forumunda virüsün sunucuya rdp aracılığıyla sızdığına dair birçok inceleme olduğunu fark ettim. Görünüşe göre bu gerçekten güçlü bir tehdit ve rdp'yi korumasız bırakamazsınız. Ortaya çıkan tek soru, virüsün rdp yoluyla nasıl girdiğidir? Bir şifreyi tahmin eder, bilinen bir kullanıcı ve şifreye veya başka bir şeye bağlanır.

Garantili şifre çözme için nereye gitmeli

Crusis (Dharma) dahil olmak üzere çeşitli şifreleme virüslerinin çalışmasından sonra verilerin şifresini gerçekten çözen bir şirketle tanıştım. Adresleri http://www.dr-shifro.ru'dur. Yalnızca şifre çözüldükten ve doğrulamanızdan sonra ödeme yapın. İşte yaklaşık bir çalışma şeması:

Bir şirket uzmanı ofisinize veya evinize gelerek sizinle işin maliyetini belirleyen bir sözleşme imzalar.
Bilgisayarınızda şifre çözücüyü başlatır ve bazı dosyaların şifresini çözer.
Tüm dosyaların açıldığından emin olursunuz, tamamlanan çalışma için kabul sertifikasını imzalarsınız ve bir şifre çözücü alırsınız.
Dosyalarınızın şifresini çözersiniz ve kalan belgeleri tamamlarsınız.

Hiçbir şeyi riske atmazsın. Ödeme yalnızca kod çözücünün çalışmasının gösterilmesinden sonra yapılır. Lütfen bu şirketle olan deneyiminiz hakkında bir inceleme yazın.

Fidye yazılımı virüsüne karşı korunma yöntemleri

İnternetten bilinmeyen programların başlatılması ve postadaki eklerin açılmasıyla ilgili bariz şeyleri listelemeyeceğim. Bunu artık herkes biliyor. Ayrıca hakkında kısmındaki yazılarımda da bunu defalarca yazdım. Yedeklemelere dikkat edeceğim. Sadece var olmamalı, aynı zamanda dışarıdan erişilemez olmalıdırlar. Bu bir tür ağ sürücüsüyse, güçlü bir parolaya sahip ayrı bir hesabın ona erişimi olmalıdır.

Kişisel dosyalarınızı bir flash sürücüye veya harici sürücüye yedeklerseniz, bunları sürekli olarak sisteme bağlı tutmayın. Yedek kopyaları oluşturduktan sonra cihazların bilgisayarla olan bağlantısını kesin. İdeal yedeklemeyi, yalnızca yedekleme yapmak için açılan ve ardından ağ kablosunun bağlantısını keserek veya işi kapatarak ağ bağlantısının fiziksel olarak tekrar kesildiği ayrı bir cihazda görüyorum.

Yedeklemeler artımlı olmalıdır. Bu, şifreleyicinin siz fark etmeden tüm verileri şifrelediği bir durumdan kaçınmak için gereklidir. Eski dosyaları yeni ancak zaten şifrelenmiş olanlarla değiştiren bir yedekleme gerçekleştirildi. Sonuç olarak elinizde bir arşiv var ama bir işe yaramıyor. En az birkaç günlük arşiv derinliğine sahip olmanız gerekir. Gelecekte, eğer henüz ortaya çıkmamışlarsa bile, verilerin bir kısmını sessizce şifreleyecek ve kendilerini açığa vurmadan bir süre bekleyecek fidye yazılımlarının olacağını düşünüyorum. Bu, şifrelenmiş dosyaların arşivlere düşeceği ve orada zamanla gerçek dosyaların yerini alacağı beklentisiyle yapılacaktır.

Bu, kurumsal sektör için zor bir dönem olacak. Yukarıda 20 TB veri içeren ağ sürücülerinin şifrelendiği eset forumundan bir örnek vermiştim. Şimdi böyle bir ağ sürücünüz olduğunu ancak sürekli erişilmeyen dizinlerde yalnızca 500G verinin şifrelendiğini hayal edin. Birkaç hafta geçiyor, kimse şifrelenmiş dosyaları fark etmiyor çünkü bunlar arşiv dizinlerinde ve üzerinde sürekli çalışılmıyor. Ancak raporlama döneminin sonunda verilere ihtiyaç vardır. Oraya giderler ve her şeyin şifrelenmiş olduğunu görürler. Arşive gidiyorlar ve orada depolama derinliği diyelim 7 gün. Ve hepsi bu, veriler gitti.

Bu, arşivlere ayrı ve dikkatli bir yaklaşım gerektirir. Uzun vadeli veri depolama için yazılıma ve kaynaklara ihtiyacınız var.

Dosya şifre çözme ve kurtarma hakkında video

İşte virüsün benzer bir modifikasyonuna bir örnek, ancak video tamamen kombo ile alakalı.

Yeni virüs tehditleriyle mücadele - fidye yazılımı

Yakın zamanda internette yeni tehditlerin yayıldığı gerçeğini yazdık - fidye yazılımı virüsleri veya daha yaygın olarak dosya şifreleme virüsleri; bunlar hakkında daha ayrıntılı olarak web sitemizde, bu bağlantıda okuyabilirsiniz.

Bu konuda size bir virüs tarafından şifrelenmiş verileri nasıl iade edebileceğinizi anlatacağız; bunun için Kaspersky ve Doctor Web antivirüslerinden iki şifre çözücü kullanacağız, bunlar şifrelenmiş bilgileri döndürmenin en etkili yöntemleridir.

1. Dosyaların şifresini çözmek için yardımcı programları şu bağlantılardan indirin: Kaspersky ve Dr.WEB

Veya belirli bir şifrelenmiş dosya türü için şifre çözücüler.

2. Öncelikle Kaspersky'nin bir programını kullanarak dosyaların şifresini çözmeye çalışacağız:

2.1. Kaspersky şifre çözücü programını başlatın, eğer başlatma izni gibi bazı eylemler isterse başlatırız, güncelleme isterse güncelleriz, bu şifrelenmiş verilerin geri dönme şansını artıracaktır

2.2. Dosyaların şifresini çözmek için görünen program penceresinde birkaç düğme görüyoruz. Gelişmiş ayarları yapılandırın ve taramaya başlayın.

2.3. Gerekirse ek seçenekleri seçin ve şifrelenmiş dosyaların nerede aranacağını belirtin ve gerekirse şifre çözüldükten sonra silin.Bu seçeneği seçmenizi önermiyorum, dosyaların şifresi her zaman doğru şekilde çözülmez!

2.4. Taramayı başlatıyoruz ve virüsle şifrelenmiş verilerimizin şifresinin çözülmesini bekliyoruz.

3. İlk yöntem işe yaramadıysa. Dr.'nin bir programını kullanarak dosyaların şifresini çözmeye çalışalım. AĞ

3.1. Şifre çözme uygulamasını indirdikten sonra, örneğin "C:" sürücüsünün köküne koyun., bu nedenle "te102decrypt.exe" dosyasının "c:\te102decrypt.exe" konumunda bulunması gerekir

3.2. Şimdi komut satırına git(Başlat-Arama-Tırnak işaretleri olmadan “CMD” yazın-Enter tuşuna basarak çalıştırın)

3.3. Dosyaların şifresini çözmeye başlamak için "c:\te102decrypt.exe -k 86 -e (şifreleyici kodu)" komutunu yazın. Fidye yazılımı kodu, dosyanın sonuna eklenen bir uzantıdır, örneğin " [e-posta korumalı] _45jhj" - tırnak işaretleri ve parantez olmadan, boşlukları gözlemleyerek yazın. c:\te102decrypt.exe -k 86 -e gibi bir şey almalısınız. [e-posta korumalı] _45jhj

3.4. Enter tuşuna basın ve dosyaların şifresinin çözülmesini bekleyinşifrelenmiş, bazı durumlarda şifresi çözülmüş dosyaların birkaç kopyası oluşturulur, bunları çalıştırmayı denersiniz, şifresi çözülmüş dosyanın normal şekilde açılan kopyasını kaydedersiniz, geri kalanı silinebilir.

Diğer dosya şifre çözücülerini indirin:

Dikkat:şifrelenmiş dosyaların bir kopyasını harici bir sürücüye veya başka bir bilgisayara kaydettiğinizden emin olun. Aşağıda sunulan şifre çözücüler dosyaların şifresini çözemeyebilir, yalnızca onları bozabilir!

Şifre çözücüyü sanal bir makinede veya özel olarak hazırlanmış bir bilgisayarda, önce birkaç dosya indirdikten sonra çalıştırmak en iyisidir.

Aşağıda sunulan şifre çözücüler şu şekilde çalışır:Örneğin, dosyalarınız amba şifreleyici ile şifrelenir ve dosyalar "Agreement.doc.amba" veya "Account.xls.amba" gibi görünür, ardından amba dosyaları için şifre çözücüyü indirin ve çalıştırın, tüm dosyaları bulacaktır. bu uzantıyı bulun ve şifresini çözün, ancak tekrar ediyorum, önce kendinizi koruyun şifrelenmiş dosyaların bir kopyasını oluştur aksi takdirde yanlış şifresi çözülmüş verilerinizi sonsuza kadar kaybedebilirsiniz!

Risk almak istemiyorsanız bize birkaç dosya gönderin, geri bildirim formunu kullanarak bizimle iletişime geçtikten sonra şifre çözücüyü özel olarak hazırlanmış, internetten izole edilmiş bir bilgisayarda başlatacağız.

Sunulan dosyalar Kaspersky antivirüsün en son sürümü ve en son veritabanı güncellemeleri ile kontrol edildi.

etkinleştirildiğinde belgeler, fotoğraflar vb. gibi tüm kişisel dosyaları şifreleyen kötü amaçlı bir programdır. Bu tür programların sayısı oldukça fazladır ve her geçen gün artmaktadır. Yakın zamanda düzinelerce fidye yazılımı çeşidiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff, vb. Bu tür şifreleme virüslerinin amacı, kullanıcıları, genellikle büyük miktarda para karşılığında, kendi dosyalarının şifresini çözmek için gerekli programı ve anahtarı satın almaya zorlamaktır.

Elbette, şifrelenmiş dosyaları, virüsün yaratıcılarının virüslü bilgisayarda bıraktığı talimatları izleyerek geri yükleyebilirsiniz. Ancak çoğu zaman şifre çözme maliyeti çok yüksektir ve ayrıca bazı fidye yazılımı virüslerinin, dosyaları daha sonra şifresini çözmenin imkansız olacağı şekilde şifrelediğini de bilmeniz gerekir. Ve elbette, kendi dosyalarınızı geri yüklemek için ödeme yapmak da can sıkıcıdır.

Aşağıda şifreleme virüsleri, kurbanın bilgisayarına nasıl nüfuz ettikleri, şifreleme virüsünün nasıl kaldırılacağı ve onun tarafından şifrelenen dosyaların nasıl geri yükleneceği hakkında daha ayrıntılı olarak konuşacağız.

Fidye yazılımı virüsü bilgisayara nasıl nüfuz eder?

Fidye yazılımı virüsü genellikle e-posta yoluyla yayılır. Mektup virüslü belgeler içeriyor. Bu tür mektuplar büyük bir e-posta adresi veritabanına gönderilir. Bu virüsün yazarları yanıltıcı başlıklar ve mektup içerikleri kullanarak kullanıcıyı mektuba ekli bir belgeyi açması için kandırmaya çalışır. Bazı mektuplar fatura ödeme ihtiyacı hakkında bilgi verir, diğerleri en son fiyat listesine bakmayı teklif eder, diğerleri komik bir fotoğraf açmayı teklif eder vb. Her durumda, ekli dosyayı açmak bilgisayarınıza fidye yazılımı virüsünün bulaşmasına neden olacaktır.

Fidye yazılımı virüsü nedir?

Fidye yazılımı virüsü, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 gibi Windows işletim sistemlerinin modern sürümlerini etkileyen kötü amaçlı bir programdır. Bu virüsler, örneğin RSA-2048 gibi mümkün olan en güçlü şifreleme modlarını kullanmaya çalışır. anahtar uzunluğu 2048 bittir; bu, dosyaların şifresini bağımsız olarak çözmek için bir anahtar seçme olasılığını pratik olarak ortadan kaldırır.

Fidye yazılımı virüsü bir bilgisayara bulaştığında kendi dosyalarını depolamak için %APPDATA% sistem dizinini kullanır. Fidye yazılımı, bilgisayarı açtığınızda otomatik olarak kendini başlatmak için Windows kayıt defterinde bir giriş oluşturur: bölümler HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Virüs, başlatıldıktan hemen sonra, şifrelenecek dosyaları belirlemek için ağ ve bulut depolama da dahil olmak üzere mevcut tüm sürücüleri tarar. Fidye yazılımı virüsü, şifrelenecek bir grup dosyayı tanımlamanın bir yolu olarak dosya adı uzantısını kullanır. Aşağıdakiler gibi yaygın olanlar da dahil olmak üzere hemen hemen tüm dosya türleri şifrelenir:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, cüzdan, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Bir dosya şifrelendikten hemen sonra, genellikle fidye yazılımının adını veya türünü tanımlamak için kullanılabilen yeni bir uzantı alır. Bu kötü amaçlı yazılımların bazı türleri şifrelenmiş dosyaların adlarını da değiştirebilir. Virüs daha sonra HELP_YOUR_FILES, README gibi adlara sahip, şifrelenmiş dosyaların şifresini çözmeye yönelik talimatları içeren bir metin belgesi oluşturur.

İşlemi sırasında şifreleme virüsü, SVC (dosyaların gölge kopyası) sistemini kullanarak dosyaları geri yükleme yeteneğini engellemeye çalışır. Bunu yapmak için, virüs, komut modunda, dosyaların gölge kopyalarını yönetme yardımcı programını, bunları tamamen silme prosedürünü başlatan bir anahtarla çağırır. Bu nedenle, dosyaları gölge kopyalarını kullanarak geri yüklemek neredeyse her zaman imkansızdır.

Fidye yazılımı virüsü, kurbana şifreleme algoritmasının açıklamasına bir bağlantı vererek ve Masaüstünde bir tehdit mesajı görüntüleyerek korkutma taktiklerini aktif olarak kullanır. Bu şekilde, virüs bulaşmış bilgisayarın kullanıcısını, dosyalarını geri almak için tereddüt etmeden bilgisayar kimliğini virüsün yazarının e-posta adresine göndermeye zorlamaya çalışır. Böyle bir mesaja verilen yanıt çoğunlukla fidye miktarı ve e-cüzdan adresidir.

Bilgisayarıma fidye yazılımı virüsü bulaştı mı?

Bir bilgisayara şifreleme virüsü bulaşıp bulaşmadığını belirlemek oldukça kolaydır. Belge, fotoğraf, müzik vb. kişisel dosyalarınızın uzantılarına dikkat edin. Uzantı değiştiyse veya kişisel dosyalarınız kaybolduysa ve arkasında bilinmeyen adlara sahip birçok dosya kaldıysa, bilgisayarınıza virüs bulaşmış demektir. Ayrıca, dizinlerinizde HELP_YOUR_FILES veya README adlı bir dosyanın bulunması da bulaşma belirtisidir. Bu dosya, dosyaların şifresini çözmek için talimatlar içerecektir.

Fidye yazılımı virüsü bulaşmış bir e-postayı açtığınızdan şüpheleniyorsanız ancak henüz enfeksiyon belirtisi yoksa, bilgisayarınızı kapatmayın veya yeniden başlatmayın. Bu kılavuzun bölümünde açıklanan adımları izleyin. Bir kez daha tekrar ediyorum, bilgisayarı kapatmamak çok önemli; bazı fidye yazılımı türlerinde, enfeksiyondan sonra bilgisayarı ilk açtığınızda dosya şifreleme işlemi devreye giriyor!

Fidye yazılımı virüsüyle şifrelenmiş dosyaların şifresi nasıl çözülür?

Bu felaket gerçekleşirse paniğe gerek yok! Ancak çoğu durumda ücretsiz bir şifre çözücünün olmadığını bilmeniz gerekir. Bunun nedeni, bu tür kötü amaçlı yazılımların kullandığı güçlü şifreleme algoritmalarıdır. Bu, özel anahtar olmadan dosyaların şifresini çözmenin neredeyse imkansız olduğu anlamına gelir. Anahtarın uzunluğunun büyük olması nedeniyle anahtar seçme yöntemini kullanmak da bir seçenek değildir. Bu nedenle, ne yazık ki, şifre çözme anahtarını elde etmenin tek yolu yalnızca virüsün yazarlarına istenen tutarın tamamını ödemektir.

Elbette, ödeme yapıldıktan sonra virüsün yazarlarının sizinle iletişime geçip dosyalarınızın şifresini çözmek için gerekli anahtarı sağlayacağının kesinlikle bir garantisi yoktur. Ayrıca, virüs geliştiricilerine para ödeyerek onları yeni virüsler yaratmaya teşvik ettiğinizi de anlamalısınız.

Bir fidye yazılımı virüsü nasıl kaldırılır?

Başlamadan önce, virüsü temizlemeye başlayarak ve dosyaları kendiniz geri yüklemeye çalışarak, virüsün yazarlarına talep ettikleri tutarı ödeyerek dosyaların şifresini çözme yeteneğini engellemiş olduğunuzu bilmeniz gerekir.

Kaspersky Virus Removal Tool ve Malwarebytes Anti-malware, farklı türdeki aktif fidye yazılımı virüslerini algılayabilir ve bunları bilgisayarınızdan kolayca kaldırabilir, ANCAK şifrelenmiş dosyaları kurtaramaz.

5.1. Kaspersky Virüs Temizleme Aracı'nı kullanarak fidye yazılımını kaldırın

Varsayılan olarak program tüm dosya türlerini kurtaracak şekilde yapılandırılmıştır, ancak işi hızlandırmak için yalnızca kurtarmanız gereken dosya türlerini bırakmanız önerilir. Seçiminizi tamamladığınızda Tamam'ı tıklayın.

QPhotoRec program penceresinin alt kısmında Gözat düğmesini bulun ve tıklayın. Kurtarılan dosyaların kaydedileceği dizini seçmeniz gerekir. Kurtarma gerektiren şifrelenmiş dosyalar içermeyen bir disk kullanılması tavsiye edilir (bir flash sürücü veya harici sürücü kullanabilirsiniz).

Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesini tıklayın. Bu süreç oldukça uzun sürüyor, bu yüzden sabırlı olun.

Arama tamamlandığında Çık düğmesine tıklayın. Şimdi kurtarılan dosyaları kaydetmek için seçtiğiniz klasörü açın.

Klasör recup_dir.1, recup_dir.2, recup_dir.3 vb. adlı dizinleri içerecektir. Program ne kadar çok dosya bulursa, o kadar çok dizin olacaktır. İhtiyacınız olan dosyaları bulmak için tüm dizinleri tek tek kontrol edin. İhtiyacınız olan dosyayı çok sayıda kurtarılan dosya arasında bulmayı kolaylaştırmak için yerleşik Windows arama sistemini kullanın (dosya içeriğine göre) ve ayrıca dizinlerdeki dosyaları sıralama işlevini de unutmayın. QPhotoRec, bir dosyayı geri yüklerken bu özelliği geri yüklemeye çalıştığından, bir sıralama seçeneği olarak dosyanın değiştirildiği tarihi seçebilirsiniz.

Fidye yazılımı virüsünün bilgisayarınıza bulaşmasını nasıl önleyebilirsiniz?

Çoğu modern anti-virüs programı, şifreleme virüslerinin sızmasına ve etkinleştirilmesine karşı zaten yerleşik bir koruma sistemine sahiptir. Bu nedenle bilgisayarınızda antivirüs programı yoksa mutlaka yükleyin. Bunu okuyarak nasıl seçeceğinizi öğrenebilirsiniz.

Ayrıca özel koruma programları da bulunmaktadır. Örneğin, bu CryptoPrevent, daha fazla ayrıntı.

Son birkaç söz

Bu talimatları uyguladığınızda bilgisayarınız fidye yazılımı virüsünden temizlenecektir. Herhangi bir sorunuz varsa veya yardıma ihtiyacınız varsa lütfen bizimle iletişime geçin.

Şifreleyiciler (kripto kilitleyiciler), çeşitli şifreleme algoritmaları kullanarak bir bilgisayardaki dosyalara (örneğin, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, vb. olarak bilinir) kullanıcı erişimini engelleyen bir kötü amaçlı program ailesi anlamına gelir.

Tipik olarak virüs, popüler kullanıcı dosyası türlerini şifreler: belgeler, elektronik tablolar, 1C veritabanları, herhangi bir veri dizisi, fotoğraf vb. Dosya şifre çözme para karşılığında sunulur - yaratıcılar, genellikle bitcoin cinsinden belirli bir miktarın aktarılmasını gerektirir. Kuruluş, önemli bilgilerin güvenliğini sağlamak için uygun önlemleri almamışsa, gerekli miktarın saldırganlara aktarılması, şirketin işlevselliğini geri kazanmanın tek yolu olabilir.

Çoğu durumda virüs, vergi dairesinden gelen bildirimler, kanunlar ve sözleşmeler, satın almalarla ilgili bilgiler vb. gibi oldukça sıradan mektuplar gibi görünerek e-posta yoluyla yayılır. Kullanıcı, böyle bir dosyayı indirip açarak, farkında olmadan kötü amaçlı kod çalıştırır. . Virüs, gerekli dosyaları sırayla şifreler ve ayrıca garantili imha yöntemlerini kullanarak orijinal kopyaları siler (böylece kullanıcı, yakın zamanda silinen dosyaları özel araçlar kullanarak kurtaramaz).

Modern fidye yazılımı

Kullanıcıların verilere erişimini engelleyen fidye yazılımları ve diğer virüsler, bilgi güvenliğinde yeni bir sorun değildir. İlk sürümler 90'lı yıllarda ortaya çıktı, ancak çoğunlukla ya "zayıf" (kararsız algoritmalar, küçük anahtar boyutu) ya da simetrik şifreleme (çok sayıda kurbandan gelen dosyalar tek bir anahtarla şifrelendi; anahtarı kurtarmak da mümkündü) kullanıyorlardı virüs kodunu inceleyerek), hatta kendi algoritmalarını bile geliştirdiler. Modern kopyaların bu tür dezavantajları yoktur; saldırganlar hibrit şifreleme kullanır: simetrik algoritmalar kullanılarak dosyaların içeriği çok yüksek hızda şifrelenir ve şifreleme anahtarı asimetrik bir algoritma ile şifrelenir. Bu, dosyaların şifresini çözmek için yalnızca saldırganın sahip olduğu bir anahtara ihtiyacınız olduğu anlamına gelir; bu anahtar, programın kaynak kodunda bulunamaz. Örneğin, CryptoLocker, 2048 bit anahtar uzunluğuna sahip RSA algoritmasını, 256 bit anahtar uzunluğuna sahip simetrik AES algoritmasıyla birlikte kullanır. Bu algoritmalar şu anda kriptoya dayanıklı olarak kabul edilmektedir.

Bilgisayara bir virüs bulaşmış. Ne yapalım?

Fidye yazılımı virüsleri modern şifreleme algoritmaları kullansa da bilgisayardaki tüm dosyaları anında şifreleme yeteneğine sahip olmadıklarını unutmamak gerekir. Şifreleme sırayla gerçekleşir; hız, şifrelenmiş dosyaların boyutuna bağlıdır. Bu nedenle, çalışırken normal dosya ve programlarınızın artık düzgün açılmadığını fark ederseniz, bilgisayarda çalışmayı hemen bırakıp bilgisayarı kapatmalısınız. Bu şekilde bazı dosyaları şifrelemeden koruyabilirsiniz.

Bir sorunla karşılaştığınızda yapmanız gereken ilk şey virüsün kendisinden kurtulmaktır. Bu konu üzerinde detaylı durmayacağız, anti-virüs programlarını kullanarak bilgisayarınızı iyileştirmeye çalışmanız veya virüsü manuel olarak kaldırmanız yeterlidir. Virüsün genellikle şifreleme algoritması tamamlandıktan sonra kendi kendini yok ettiğini, dolayısıyla saldırganlardan yardım almadan dosyaların şifresinin çözülmesini zorlaştırdığını belirtmekte fayda var. Bu durumda antivirüs programı hiçbir şey tespit edemeyebilir.

Asıl soru şifrelenmiş verilerin nasıl kurtarılacağıdır? Ne yazık ki, fidye yazılımı virüsünden sonra dosyaları kurtarmak neredeyse imkansızdır. En azından başarılı bir enfeksiyon durumunda hiç kimse tam veri kurtarmayı garanti edemez. Birçok antivirüs üreticisi, dosyaların şifresini çözme konusunda yardım sunar. Bunu yapmak için, üreticilerin web sitelerinde yayınlanan özel formlar aracılığıyla şifrelenmiş bir dosya ve ek bilgiler (saldırganların bağlantılarını içeren bir dosya, genel anahtar) göndermeniz gerekir. Belirli bir virüsle savaşmanın bir yolunun bulunması ve dosyalarınızın şifresinin başarıyla çözülmesi küçük bir ihtimaldir.

Silinen dosya kurtarma yardımcı programlarını kullanmayı deneyin. Virüsün garantili imha yöntemlerini kullanmamış olması mümkündür ve bazı dosyalar kurtarılabilir (bu özellikle büyük dosyalarda, örneğin onlarca gigabaytlık dosyalarda işe yarayabilir). Dosyaları gölge kopyalardan kurtarma şansı da vardır. Sistem Geri Yükleme özelliklerini kullandığınızda Windows, geri yükleme noktasının oluşturulduğu andaki dosya verilerini içerebilecek anlık görüntüler ("anlık görüntüler") oluşturur.

Verileriniz bulut hizmetlerinde şifrelendiyse teknik destekle iletişime geçin veya kullandığınız hizmetin yeteneklerini inceleyin: çoğu durumda hizmetler, dosyaların önceki sürümlerine bir "geri alma" işlevi sağlar, böylece geri yüklenebilirler.

Şiddetle tavsiye etmediğimiz şey, fidye yazılımının izinden gitmek ve şifre çözme için ödeme yapmaktır. İnsanların para verip anahtarları alamadıkları durumlar vardı. Hiç kimse, parayı alan saldırganların gerçekten şifreleme anahtarını göndereceğini ve sizin de dosyaları geri yükleyebileceğinizi garanti etmez.

Kendinizi fidye yazılımı virüsünden nasıl korursunuz? Önleyici tedbirler

Tehlikeli sonuçları önlemek, onları düzeltmekten daha kolaydır:

Güvenilir antivirüs araçları kullanın ve antivirüs veritabanlarını düzenli olarak güncelleyin. Önemsiz gibi görünse de bu, bir virüsün kendisini bilgisayarınıza başarılı bir şekilde enjekte etme olasılığını önemli ölçüde azaltacaktır.
Verilerinizin yedek kopyalarını saklayın.

Bu en iyi şekilde özel yedekleme araçları kullanılarak yapılır. Çoğu kripto kilitleyici yedek kopyaları da şifreleyebilir, bu nedenle yedek kopyaları diğer bilgisayarlarda (örneğin sunucularda) veya yabancılaştırılmış ortamlarda saklamak mantıklıdır.

Yedekleme klasörlerindeki dosyaları değiştirme haklarını sınırlayarak yalnızca ek yazmaya izin verin. Yedekleme sistemleri, fidye yazılımının sonuçlarına ek olarak, veri kaybıyla ilişkili diğer birçok tehdidi de etkisiz hale getirir. Virüsün yayılması bu tür sistemlerin kullanılmasının alaka ve önemini bir kez daha ortaya koyuyor. Verileri kurtarmak, şifresini çözmekten çok daha kolaydır!

Etki alanındaki yazılım ortamını sınırlayın.

Bununla mücadele etmenin bir başka etkili yolu, örneğin .js, .cmd, .bat, .vba, .ps1 vb. uzantılara sahip belirli potansiyel olarak tehlikeli dosya türlerinin başlatılmasını kısıtlamaktır. Bu, AppLocker aracı kullanılarak yapılabilir (içinde Enterprise sürümleri) veya SRP politikalarını etki alanında merkezi olarak yönetin. Bunun nasıl yapılacağına dair internette oldukça ayrıntılı kılavuzlar var. Çoğu durumda, kullanıcının yukarıda listelenen komut dosyalarını kullanmasına gerek kalmayacak ve fidye yazılımının başarılı bir şekilde sızma şansı daha az olacaktır.

Dikkatli ol.

Farkındalık, tehdidi önlemenin en etkili yöntemlerinden biridir. Bilinmeyen kişilerden aldığınız her mektuptan şüphelenin. Tüm ekleri açmak için acele etmeyin; şüpheniz varsa, bir soruyla yöneticiyle iletişime geçmek daha iyidir.

Alexander Vlasov SKB Kontur Bilgi Güvenliği Sistemleri Uygulama Departmanı Kıdemli Mühendisi

Şifrelenmiş dosyaları kurtarma- Bu, çeşitli şifreleme virüslerinin kurbanı olan çok sayıda kişisel bilgisayar kullanıcısının karşılaştığı bir sorundur. Bu gruptaki kötü amaçlı yazılımların sayısı oldukça fazladır ve her geçen gün artmaktadır. Yakın zamanda düzinelerce fidye yazılımı çeşidiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, vb.

Şifrelenmiş dosyaları ücretsiz kurtarmanın yolları

ShadowExplorer ve PhotoRec gibi tamamen ücretsiz ve kanıtlanmış programları kullanarak şifrelenmiş dosyaları kurtarmanın birkaç yolu vardır. Kurtarma işleminden önce ve kurtarma sırasında, virüslü bilgisayarı mümkün olduğunca az kullanmaya çalışın, böylece başarılı dosya kurtarma şansınızı artırırsınız.

Aşağıda açıklanan talimatlar adım adım takip edilmelidir, işinize yaramayan bir şey olursa DURUN, bu makaleye yorum yazarak veya bizim makalemizde yeni bir konu oluşturarak yardım isteyin.

1. Fidye yazılımı virüsünü kaldırın

1.1. Kaspersky Virüs Temizleme Aracı'nı kullanarak fidye yazılımını kaldırın

Düğmeye tıklayın Tara Fidye yazılımı virüsünün varlığına karşı bilgisayarınızda bir tarama yapmak için.

Bu işlemin tamamlanmasını ve bulunan kötü amaçlı yazılımları kaldırmasını bekleyin.

1.2. Malwarebytes Anti-malware'i kullanarak fidye yazılımını kaldırın

Programı indirin. İndirme işlemi tamamlandıktan sonra indirilen dosyayı çalıştırın.

Program güncelleme prosedürü otomatik olarak başlayacaktır. Bittiğinde düğmeye basın Taramayı çalıştır. Malwarebytes Anti-malware bilgisayarınızı taramaya başlayacaktır.

Bilgisayarınızı taradıktan hemen sonra Malwarebytes Anti-malware, fidye yazılımı virüsünün bulunan bileşenlerinin bir listesini açacaktır.

Düğmeye tıklayın Silme seçildi Bilgisayarınızı temizlemek için. Kötü amaçlı yazılım kaldırılırken Malwarebytes Anti-malware, işleme devam etmek için bilgisayarınızı yeniden başlatmanızı gerektirebilir. Evet'i seçerek bunu onaylayın.

Bilgisayar yeniden başladıktan sonra Malwarebytes Anti-malware temizleme işlemine otomatik olarak devam edecektir.

2. ShadowExplorer'ı kullanarak şifrelenmiş dosyaları kurtarın

ShadowExplorer, Windows işletim sistemi (7-10) tarafından otomatik olarak oluşturulan dosyaların gölge kopyalarını geri yüklemenize olanak tanıyan küçük bir yardımcı programdır. Bu, şifrelenmiş dosyalarınızı orijinal durumuna geri yüklemenize olanak tanır.

Programı indirin. Program zip arşivindedir. Bu nedenle indirilen dosyaya sağ tıklayın ve Tümünü çıkar seçeneğini seçin. Daha sonra ShadowExplorerPortable klasörünü açın.

ShadowExplorer'ı başlatın. İhtiyacınız olan diski ve gölge kopyaların oluşturulduğu tarihi, aşağıdaki şekilde sırasıyla 1 ve 2 numaralarını seçin.

Bir kopyasını geri yüklemek istediğiniz dizine veya dosyaya sağ tıklayın. Görünen menüden Dışa Aktar'ı seçin.

Ve son olarak kurtarılan dosyanın kopyalanacağı klasörü seçin.

3. PhotoRec'i kullanarak şifrelenmiş dosyaları kurtarın

PhotoRec, silinen ve kaybolan dosyaları kurtarmak için tasarlanmış ücretsiz bir programdır. Bunu kullanarak, fidye yazılımı virüslerinin şifrelenmiş kopyalarını oluşturduktan sonra sildiği orijinal dosyaları geri yükleyebilirsiniz.

Programı indirin. Program arşivde bulunmaktadır. Bu nedenle indirilen dosyaya sağ tıklayın ve Tümünü çıkar seçeneğini seçin. Daha sonra testdisk klasörünü açın.

Dosya listesinde QPhotoRec_Win'i bulun ve çalıştırın. Kullanılabilir disklerin tüm bölümlerini gösteren bir program penceresi açılacaktır.

Bölümler listesinde şifrelenmiş dosyaların bulunduğu bölümü seçin. Daha sonra Dosya Formatları butonuna tıklayın.

Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesini tıklayın. Bu süreç oldukça uzun sürüyor, bu yüzden sabırlı olun.

Arama tamamlandığında Çık düğmesine tıklayın. Şimdi kurtarılan dosyaları kaydetmek için seçtiğiniz klasörü açın.