Moderne technologieën stellen hackers in staat om fraudemethoden voortdurend te verbeteren gewone gebruikers. Voor deze doeleinden wordt in de regel gebruik gemaakt van virussoftware die de computer binnendringt. Encryptievirussen worden als bijzonder gevaarlijk beschouwd. De dreiging is dat het virus zich zeer snel verspreidt en bestanden versleutelt (de gebruiker kan eenvoudigweg geen enkel document openen). En als het vrij eenvoudig is, is het veel moeilijker om de gegevens te decoderen.
Wat moet u doen als een virus gecodeerde bestanden op uw computer heeft?
Iedereen kan worden aangevallen door ransomware; zelfs gebruikers met krachtige antivirussoftware zijn niet immuun. Bestandsversleutelende Trojaanse paarden gepresenteerd andere code, die de antivirus mogelijk niet aankan. Hackers slagen er zelfs in om aan te vallen op een soortgelijke manier grote bedrijven die niet zorgden voor de noodzakelijke bescherming van hun informatie. Nadat u online een ransomwareprogramma heeft opgepikt, moet u dus een aantal maatregelen nemen.
De belangrijkste tekenen van infectie zijn: langzaam werk computer en het wijzigen van documentnamen (te zien op het bureaublad).
- Start uw computer opnieuw op om de codering te stoppen. Bevestig bij het inschakelen niet het starten van onbekende programma's.
- Voer uw antivirusprogramma uit als deze niet is aangevallen door ransomware.
- In sommige gevallen zal het helpen om informatie te herstellen schaduwkopieën. Om ze te vinden, opent u de “Eigenschappen” van het gecodeerde document. Deze methode werkt met gecodeerde gegevens Kluisextensies, waarover informatie op de portal staat.
- Download het hulpprogramma laatste versie om ransomware-virussen te bestrijden. De meest effectieve worden aangeboden door Kaspersky Lab.
Ransomwarevirussen in 2016: voorbeelden
Bij het bestrijden van een virusaanval is het belangrijk om te begrijpen dat de code heel vaak verandert, waardoor er nog meer wordt toegevoegd nieuwe bescherming van antivirusprogramma's. Natuurlijk hebben beveiligingsprogramma's enige tijd nodig voordat de ontwikkelaar de databases bijwerkt. We hebben de gevaarlijkste encryptievirussen van de afgelopen tijd geselecteerd.
Ishtar-ransomware
Ishtar is een ransomware die geld van de gebruiker afperst. Het virus werd in de herfst van 2016 opgemerkt en infecteerde een groot aantal computers van gebruikers uit Rusland en een aantal andere landen. Verdeeld via e-mail, die bijgevoegde documenten bevat (installatieprogramma's, documenten, enz.). Gegevens die zijn geïnfecteerd door de Ishtar-encryptor krijgen het voorvoegsel “ISHTAR” in de naam. Tijdens het proces wordt een testdocument gemaakt dat aangeeft waar u het wachtwoord kunt verkrijgen. De aanvallers eisen er 3.000 tot 15.000 roebel voor.
Gevaar Ishtar-virus Het probleem is dat er tegenwoordig geen decryptor is die gebruikers zou kunnen helpen. Antivirussoftwarebedrijven hebben tijd nodig om alle code te ontcijferen. Nu kunt u belangrijke informatie (als deze van bijzonder belang is) alleen op een afzonderlijk medium isoleren, in afwachting van de release van een hulpprogramma dat documenten kan ontsleutelen. Het wordt aanbevolen om het besturingssysteem opnieuw te installeren.
Neitrino
De Neitrino-encryptor verscheen in 2015 op internet. Het aanvalsprincipe is vergelijkbaar met andere virussen van een vergelijkbare categorie. Verandert de namen van mappen en bestanden door "Neitrino" of "Neutrino" toe te voegen. Het virus is moeilijk te ontsleutelen; niet alle vertegenwoordigers van antivirusbedrijven ondernemen dit, daarbij gebruik makend van een zeer complexe code. Sommige gebruikers kunnen baat hebben bij het herstellen van een schaduwkopie. Om dit te doen, klikt u op klik met de rechtermuisknop ga met de muis over het gecodeerde document, ga naar het tabblad “Eigenschappen”, “Vorige versies” en klik op “Herstellen”. Het zou een goed idee zijn om een gratis hulpprogramma van Kaspersky Lab te gebruiken.
Portemonnee of .wallet.
Eind 2016 verscheen het Wallet-encryptievirus. Tijdens het infectieproces verandert het de naam van de gegevens in “Naam..wallet” of iets dergelijks. Zoals de meeste ransomware-virussen komt het het systeem binnen via bijlagen in e-mails die door aanvallers worden verzonden. Omdat de dreiging zeer recentelijk is verschenen, merken antivirusprogramma's deze niet op. Na versleuteling maakt hij een document waarin de fraudeur de e-mail aangeeft voor communicatie. Momenteel werken ontwikkelaars van antivirussoftware aan het ontcijferen van de code van het ransomware-virus. [e-mailadres beveiligd]. Gebruikers die zijn aangevallen, kunnen alleen maar wachten. Als de gegevens belangrijk zijn, is het raadzaam deze op te slaan externe opslag, het systeem reinigen.
Raadsel
Het Enigma-ransomwarevirus begon eind april 2016 de computers van Russische gebruikers te infecteren. Er wordt gebruik gemaakt van het AES-RSA-coderingsmodel, dat tegenwoordig in de meeste ransomware-virussen wordt aangetroffen. Het virus dringt de computer binnen met behulp van een script dat de gebruiker uitvoert door bestanden uit een verdachte e-mail te openen. Nog steeds nee universele remedie om de Enigma-ransomware te bestrijden. Gebruikers met een antiviruslicentie kunnen om hulp vragen op de officiële website van de ontwikkelaar. Er werd ook een kleine “maas in de wet” gevonden - Windows UAC. Als de gebruiker op “Nee” klikt in het venster dat verschijnt tijdens het virusinfectieproces, kan hij vervolgens informatie herstellen met behulp van schaduwkopieën.
Graniet
Nieuw ransomware-virus Granit verscheen in het najaar van 2016 op internet. Infectie vindt plaats in het volgende scenario: de gebruiker start het installatieprogramma, dat alle gegevens op de pc en aangesloten schijven infecteert en codeert. Het bestrijden van het virus is moeilijk. Om het te verwijderen, kun je speciale hulpprogramma's van Kaspersky gebruiken, maar we hebben de code nog niet kunnen ontcijferen. Misschien helpt het herstellen van eerdere versies van de gegevens. Bovendien kan een specialist met ruime ervaring ontsleutelen, maar de service is duur.
Tyson
Onlangs gespot. Is al een extensie beroemde cryptograaf no_more_ransom, waarover u meer informatie kunt vinden op onze website. Het bereikt personal computers via e-mail. Veel bedrijfs-pc's werden aangevallen. Het virus creëert Tekstdocument met instructies voor het ontgrendelen, waarbij wordt aangeboden om “losgeld” te betalen. De Tyson-ransomware verscheen onlangs, dus er is nog geen ontgrendelingssleutel. De enige manier om informatie te herstellen is door terug te keren vorige versies, als ze niet door een virus zijn verwijderd. Je kunt uiteraard een risico nemen door geld over te maken naar de door de aanvallers opgegeven rekening, maar er is geen garantie dat je het wachtwoord ontvangt.
Spora
Begin 2017 werd een aantal gebruikers slachtoffer van de nieuwe Spora-ransomware. Qua werkingsprincipe verschilt het niet veel van zijn tegenhangers, maar het heeft een professioneler ontwerp: de instructies voor het verkrijgen van een wachtwoord zijn beter geschreven en de website ziet er mooier uit. Het Spora ransomware-virus is gemaakt in C-taal en gebruikt een combinatie van RSA en AES om de gegevens van het slachtoffer te versleutelen. In de regel werden computers aangevallen waarop het boekhoudprogramma 1C actief werd gebruikt. Het virus, dat zich verbergt onder het mom van een eenvoudige factuur in .pdf-formaat, dwingt werknemers van het bedrijf om het te lanceren. Er is nog geen behandeling gevonden.
1C.Daal.1
Dit 1C-encryptievirus verscheen in de zomer van 2016 en verstoorde het werk van veel boekhoudafdelingen. Het is speciaal ontwikkeld voor computers die 1C-software gebruiken. Eenmaal op de pc via een bestand in een e-mail, wordt de eigenaar gevraagd het programma bij te werken. Op welke knop de gebruiker ook drukt, het virus begint met het coderen van bestanden. Dr.Web-specialisten werken aan decoderingstools, maar er is nog geen oplossing gevonden. Dit komt door de complexe code, die verschillende wijzigingen kan hebben. De enige bescherming tegen 1C.Drop.1 is waakzaamheid van de gebruiker en het regelmatig archiveren van belangrijke documenten.
da_vinci_code
Nieuwe ransomware met een ongebruikelijke naam. Het virus verscheen in het voorjaar van 2016. Het verschilt van zijn voorgangers door de verbeterde code en de sterke encryptiemodus. da_vinci_code infecteert de computer dankzij een uitvoeringstoepassing (meestal gekoppeld aan een e-mail), die de gebruiker onafhankelijk start. De da Vinci-codeerder kopieert het lichaam naar systeemmap en register, verstrekken automatisch starten bij Windows inschakelen. Aan de computer van elk slachtoffer wordt een unieke ID toegewezen (helpt bij het verkrijgen van een wachtwoord). Het is vrijwel onmogelijk om de gegevens te decoderen. Je kunt geld betalen aan aanvallers, maar niemand garandeert dat je het wachtwoord ontvangt.
[e-mailadres beveiligd] / [e-mailadres beveiligd]
Twee e-mailadressen die in 2016 vaak gepaard gingen met ransomware-virussen. Ze dienen om het slachtoffer met de aanvaller te verbinden. Bijgevoegd waren de adressen van de meesten verschillende soorten virussen: da_vinci_code, no_more_ransom enzovoort. Het wordt ten zeerste aanbevolen om geen contact op te nemen met of geld over te maken naar oplichters. Gebruikers blijven in de meeste gevallen zonder wachtwoorden. Dit toont aan dat de ransomware van de aanvallers werkt en inkomsten genereert.
Slecht breken
Het verscheen begin 2015, maar verspreidde zich pas een jaar later actief. Het infectieprincipe is identiek aan dat van andere ransomware: een bestand uit een e-mail installeren, gegevens versleutelen. Conventionele antivirusprogramma's merken het Breaking Bad-virus in de regel niet op. Sommige code kan Windows UAC niet omzeilen, waardoor de gebruiker de mogelijkheid heeft om eerdere versies van documenten te herstellen. Geen enkel bedrijf dat antivirussoftware ontwikkelt, heeft tot nu toe een decryptor gepresenteerd.
XTBL
Een veel voorkomende ransomware die voor veel gebruikers problemen heeft veroorzaakt. Eenmaal op de pc verandert het virus de bestandsextensie binnen enkele minuten in .xtbl. Er wordt een document gemaakt waarin de aanvaller afperst contant geld. Sommige varianten van het XTBL-virus kunnen geen bestanden vernietigen voor systeemherstel, waardoor u belangrijke documenten terug kunt krijgen. Het virus zelf kan door veel programma's worden verwijderd, maar het decoderen van documenten is erg moeilijk. Als hij de eigenaar is gelicentieerd antivirusprogramma, maak gebruik van technische ondersteuning door voorbeelden van geïnfecteerde gegevens bij te voegen.
Kukaracha
De Cucaracha-ransomware werd in december 2016 ontdekt. Virus met interessante naam verbergt gebruikersbestanden met behulp van het RSA-2048-algoritme, dat zeer resistent is. Kaspersky-antivirus bestempelde het als Trojan-Ransom.Win32.Scatter.lb. Kukaracha kan van de computer worden verwijderd, zodat andere documenten niet worden geïnfecteerd. Geïnfecteerde bestanden zijn momenteel echter vrijwel onmogelijk te decoderen (een zeer krachtig algoritme).
Hoe werkt een ransomware-virus?
Er bestaat een groot aantal ransomware, maar ze werken allemaal volgens hetzelfde principe.
- Versieren Persoonlijke computer. Meestal dankzij een bijgevoegd bestand bij een e-mail. De installatie wordt door de gebruiker zelf gestart door het document te openen.
- Bestandsinfectie. Bijna alle soorten bestanden zijn gecodeerd (afhankelijk van het virus). Er wordt een tekstdocument gemaakt dat contacten bevat voor communicatie met de aanvallers.
- Alle. De gebruiker heeft geen toegang tot enig document.
Controlemiddelen uit populaire laboratoria
Het wijdverbreide gebruik van ransomware, dat wordt erkend als de gevaarlijkste bedreiging voor gebruikersgegevens, is voor velen een stimulans geworden antiviruslaboratoria. Elk populair bedrijf biedt zijn gebruikers programma's waarmee ze ransomware kunnen bestrijden. Bovendien helpen veel van hen bij het decoderen van documenten en systeembescherming.
Kaspersky- en ransomware-virussen
Een van de beroemdste antiviruslaboratoria in Rusland en de wereld biedt vandaag de dag de meest effectieve tools voor het bestrijden van ransomware-virussen. Het eerste obstakel voor een ransomware-virus zal zijn Kaspersky-eindpunt Beveiliging 10 sec laatste updates. De antivirus laat eenvoudigweg niet toe dat de dreiging uw computer binnendringt (hoewel nieuwe versies mogelijk niet worden tegengehouden). Om informatie te decoderen presenteert de ontwikkelaar verschillende gratis hulpprogramma's: XoristDecryptor, RakhniDecryptor en Ransomware Decryptor. Ze helpen het virus te vinden en het wachtwoord te selecteren.
dr. Web en ransomware
Dit lab raadt aan om hun antivirusprogramma te gebruiken, belangrijkste kenmerk wat een bestandsback-up werd. De opslag met kopieën van documenten is ook beschermd tegen ongeoorloofde toegang door indringers. Eigenaars van het gelicentieerde product Dr. De webhelpfunctie is beschikbaar in technische hulp. Het is waar dat zelfs ervaren specialisten dit soort bedreigingen niet altijd kunnen weerstaan.
ESET Nod 32 en ransomware
Ook dit bedrijf stond niet opzij en bood zijn gebruikers een goede bescherming tegen virussen die hun computer binnendringen. Bovendien heeft het laboratorium onlangs vrijgegeven gratis hulpprogramma Met huidige databanken– Eset Crysis-decryptor. De ontwikkelaars zeggen dat het zal helpen in de strijd tegen zelfs de nieuwste ransomware.
AANDACHT! Bedrijf ESET waarschuwt daarvoor De laatste tijd Er zijn verhoogde activiteit en risico op infectie geregistreerd bedrijfsnetwerk malware, waarvan de gevolgen zijn:
1) Encryptie vertrouwelijke informatie en bestanden, inclusief databases 1C, documenten, afbeeldingen. Het type gecodeerde bestanden hangt af van de specifieke wijziging van de encryptor. Het coderingsproces wordt uitgevoerd volgens moeilijke algoritmes en in elk geval vindt encryptie plaats volgens een bepaald patroon. Gecodeerde gegevens zijn dus moeilijk te herstellen.
2) In sommige gevallen na uitvoering kwaadaardige acties de encoder wordt automatisch van de computer verwijderd, wat de procedure voor het selecteren van een decryptor bemoeilijkt.
Na het uitvoeren van kwaadaardige acties verschijnt er een venster op het scherm van de geïnfecteerde computer met de informatie “ Uw bestanden zijn gecodeerd", evenals de ransomware-vereisten waaraan moet worden voldaan om de decryptor te verkrijgen.
2) Gebruik antivirusoplossingen met een ingebouwde firewallmodule ( ESET NOD32 Slimme beveiliging ) om de kans te verkleinen dat een aanvaller misbruik maakt van een kwetsbaarheid in RDP zelfs als de noodzakelijke updates ontbreken besturingssysteem. Het wordt aanbevolen om geavanceerde heuristieken in te schakelen voor het starten van uitvoerbare bestanden (Aanvullende instellingen(F5) - Computer - Virus- en spywarebescherming programma's - Bescherming in realtime - Aanvullende instellingen. Daarnaast, Controleer of de service is ingeschakeld ESET Live Rooster(Geavanceerde instellingen (F5) - Hulpprogramma's - ESET Live Grid).
3) Aan mail server ontvangst en verzending van uitvoerbare bestanden moeten worden verboden *.exe, En *.js, omdat encryptors vaak door aanvallers als bijlagen bij e-mail met fictieve informatie over incasso, informatie daarover en andere soortgelijke inhoud, die de gebruiker ertoe kan aanzetten een kwaadaardige bijlage uit een e-mail van een aanvaller te openen en daarmee de encryptor te starten.
4) Schakel actieve macro's uit in alle toepassingen die zijn opgenomen in Microsoft Office of vergelijkbare software externe fabrikanten. Macro's kunnen een opdracht bevatten die moet worden geladen en uitgevoerd kwaadaardige code, dat wordt uitgevoerd wanneer u normaal gesproken een document bekijkt (bijvoorbeeld wanneer u een document opent met de naam " Incassobericht.doc" uit een brief van aanvallers kan leiden tot infectie van het systeem, zelfs als de server de kwaadaardige bijlage niet toestaat uitvoerbaar bestand encoder, op voorwaarde dat u de uitvoering van macro's niet hebt uitgeschakeld in de instellingen kantoorprogramma's).
5) Beweeg regelmatig Back-up(back-up) belangrijke gegevens, opgeslagen op uw computer. Te beginnen met besturingssysteem Windows Vista
opgenomen in besturingssystemen ramen omvat de systeembeschermingsservice op alle schijven, die creëert back-ups bestanden en mappen tijdens het maken van een back-up of het maken van een systeemherstelpunt. Standaard is deze service alleen ingeschakeld voor de systeempartitie. Het wordt aanbevolen om deze functie voor alle secties in te schakelen.
Wat te doen als er al een infectie heeft plaatsgevonden?
Als u het slachtoffer bent geworden van criminelen en uw bestanden zijn gecodeerd, haast u dan niet om geld naar hun rekening over te maken om een decryptor te selecteren. Op voorwaarde dat u onze klant bent Neem contact op met de technische ondersteuning. Mogelijk kunnen we een decoder voor uw geval selecteren of is een dergelijke decoder al beschikbaar. Om dit te doen, moet u een voorbeeld-encoder en andere aan het archief toevoegen verdachte documenten, indien aanwezig, en verzend dit archief aan ons met de hulp van. Voeg ook verschillende voorbeelden van gecodeerde bestanden toe aan het archief. Geef in de opmerkingen de omstandigheden aan waaronder de infectie heeft plaatsgevonden, evenals uw licentiegegevens en contact email Voor feedback.
U kunt proberen de originele, niet-gecodeerde versie van bestanden uit schaduwkopieën te herstellen, op voorwaarde dat dit gebeurt deze functie was ingeschakeld en of de schaduwkopieën niet waren beschadigd door een encryptorvirus. Meer hierover:
Voor het krijgen Extra informatie contact .
Ransomware-hackers lijken sterk op gewone afpersers. Zowel in de echte wereld als in de cyberomgeving is er één of meerdere doelwitten van aanvallen. Het wordt gestolen of ontoegankelijk gemaakt. Vervolgens gebruiken criminelen bepaalde communicatiemiddelen met slachtoffers om hun eisen over te brengen. Computeroplichters kiezen meestal slechts een paar formaten voor losgeldbrieven, maar kopieën kunnen op vrijwel elke geheugenlocatie op een geïnfecteerd systeem worden gevonden. In het geval van de spywarefamilie die bekend staat als Troldesh of Shade, hanteren oplichters een speciale aanpak wanneer ze contact opnemen met het slachtoffer.
Laten we deze soort ransomware-virus, die gericht is op het Russischsprekende publiek, eens nader bekijken. De meeste soortgelijke infecties detecteren de toetsenbordindeling op de aangevallen pc, en als een van de talen Russisch is, stopt de inbraak. Echter, het ransomware-virus XTBL niet te ontcijferen: helaas voor gebruikers ontvouwt de aanval zich ongeacht hun geografische locatie en taalvoorkeuren. Een duidelijke belichaming van deze veelzijdigheid is een waarschuwing die op de bureaubladachtergrond verschijnt, evenals een TXT-bestand met instructies voor het betalen van het losgeld.
Het XTBL-virus wordt meestal verspreid via spam. Berichten zijn als brieven bekende merken, of vallen simpelweg op omdat de onderwerpregel uitdrukkingen gebruikt als “Dringend!” of “Belangrijke financiële documenten.” De phishing-truc werkt wanneer de ontvanger van een dergelijke e-mail. berichten downloaden een ZIP-bestand met daarin JavaScript-code of een Docm-object met een potentieel kwetsbare macro.
Nadat het basisalgoritme op de besmette pc is voltooid, gaat de ransomware-trojan verder met het zoeken naar gegevens die van waarde kunnen zijn voor de gebruiker. Voor dit doel scant het virus de lokale en extern geheugen, waarbij elk bestand tegelijkertijd wordt gekoppeld aan een reeks formaten die zijn geselecteerd op basis van de extensie van het object. Alle .jpg-, .wav-, .doc-, .xls-bestanden, evenals vele andere objecten, worden gecodeerd met behulp van het AES-256 symmetrische blokcrypto-algoritme.
Er zijn twee aspecten aan deze schadelijke impact. Allereerst verliest de gebruiker de toegang tot belangrijke gegevens. Bovendien zijn bestandsnamen diep gecodeerd, wat resulteert in een betekenisloze reeks hexadecimale tekens. Alles wat de namen van de getroffen bestanden gemeen hebben, is iets dat eraan wordt toegevoegd xtbl-extensie, d.w.z. naam van cyberdreiging. Gecodeerde bestandsnamen hebben soms een speciaal formaat. In sommige versies van Troldesh kunnen de namen van de gecodeerde objecten ongewijzigd blijven, en de unieke code: [e-mailadres beveiligd], [e-mailadres beveiligd], of [e-mailadres beveiligd].
Het is duidelijk dat de aanvallers e-mailadressen hebben ingevoerd. mail rechtstreeks in de namen van de bestanden en geef de slachtoffers de communicatiemethode aan. E-mail wordt ook elders aangegeven, namelijk in de brief met de vraag om losgeld in het bestand “Readme.txt”. Dergelijke Kladblok-documenten verschijnen op het bureaublad, evenals in alle mappen met gecodeerde gegevens. De belangrijkste boodschap is:
“Alle bestanden zijn gecodeerd. Om ze te decoderen, moet u de code: [Uw unieke code] naar e-mailadres [e-mailadres beveiligd] of [e-mailadres beveiligd]. Vervolgens krijg je alles noodzakelijke instructies. Pogingen om zelf te decoderen zullen leiden tot niets anders dan onherstelbaar verlies van informatie.”
Het e-mailadres kan veranderen afhankelijk van de chantagegroep die het virus verspreidt.
Betreft verdere ontwikkeling evenementen: op algemeen overzicht, reageren de oplichters met een aanbeveling om losgeld over te maken, dat kan 3 bitcoins zijn, of een ander bedrag in dit bereik. Houd er rekening mee dat niemand kan garanderen dat hackers hun belofte zullen nakomen, zelfs nadat ze het geld hebben ontvangen. Om de toegang tot .xtbl-bestanden te herstellen, wordt getroffen gebruikers aangeraden eerst alle beschikbare alternatieve methoden uit te proberen. In sommige gevallen kunnen gegevens op orde worden gebracht met behulp van de dienst schaduw kopiëren volumes (Volume Shadow Copy), rechtstreeks geleverd in Windows OS, evenals decoderingsprogramma's en gegevensherstel van onafhankelijke ontwikkelaars DOOR.
Verwijder de XTBL-ransomware met een automatische opschoner
Uitsluitend effectieve methode werken met malware in het algemeen en ransomware in het bijzonder. Met behulp van bewezen beschermend complex garandeert een grondige detectie van eventuele virale componenten, hun volledige verwijdering met één klik. Opmerking, we praten over over twee verschillende processen: het verwijderen van de infectie en het herstellen van bestanden op uw pc. De dreiging moet echter zeker worden verwijderd, omdat er informatie is over de introductie van andere computertrojans die er gebruik van maken.
- . Nadat u de software hebt gestart, klikt u op de knop Start Computerscan(Start scannen).
- De geïnstalleerde software levert een rapport op over de bedreigingen die tijdens het scannen zijn gedetecteerd. Selecteer de optie om alle gedetecteerde bedreigingen te verwijderen Bedreigingen oplossen(Elimineer bedreigingen). De betreffende malware wordt volledig verwijderd.
Herstel de toegang tot gecodeerde bestanden met de extensie .xtbl
Zoals opgemerkt vergrendelt de XTBL-ransomware bestanden met behulp van een krachtig versleutelingsalgoritme, zodat versleutelde gegevens niet met een veegbeweging kunnen worden hersteld toverstaf- als u geen rekening houdt met de betaling van een ongehoord losgeldbedrag. Maar sommige methoden kunnen echt een redder in nood zijn en u helpen belangrijke gegevens te herstellen. Hieronder kunt u er kennis mee maken.
Decryptor - programma automatisch herstel bestanden
Er is een zeer ongebruikelijke omstandigheid bekend. Deze infectie wordt gewist bronbestanden in niet-versleutelde vorm. Het versleutelingsproces voor afpersingsdoeleinden richt zich dus op kopieën ervan. Dit biedt hiervoor de mogelijkheid software hoe u gewiste objecten kunt herstellen, zelfs als de betrouwbaarheid van de verwijdering ervan gegarandeerd is. Het wordt sterk aanbevolen om gebruik te maken van de bestandsherstelprocedure, waarvan de effectiviteit meer dan eens is bevestigd. 
Schaduwkopieën van volumes
De basis van de aanpak geleverd door Windows een bestandsback-upprocedure die op elk herstelpunt wordt herhaald. Belangrijke arbeidsvoorwaarden deze methode: De functie “Systeemherstel” moet vóór infectie worden geactiveerd. Eventuele wijzigingen in het bestand die na het herstelpunt zijn aangebracht, verschijnen echter niet in de herstelde versie van het bestand.
Back-up
Dit is de beste van alle methoden zonder losgeld. Als de gegevensback-upprocedure is externe server werd gebruikt vóór de ransomware-aanval op uw computer. Om gecodeerde bestanden te herstellen hoeft u alleen maar de juiste interface te openen en te selecteren benodigde bestanden en start het gegevensherstelmechanisme vanaf de back-up. Voordat u de bewerking uitvoert, moet u ervoor zorgen dat de ransomware volledig is verwijderd.
Controleer op de mogelijke aanwezigheid van resterende componenten van het XTBL-ransomwarevirus
Bij handmatig opschonen bestaat het risico dat individuele stukjes ransomware verloren gaan die aan verwijdering kunnen ontsnappen als verborgen besturingssysteemobjecten of registeritems. Om het risico van gedeeltelijke retentie van individuele kwaadaardige elementen te elimineren, scant u uw computer met een betrouwbare universele antivirussuite.
Het zet zijn onderdrukkende mars over het internet voort, waarbij computers worden geïnfecteerd en belangrijke gegevens worden gecodeerd. Hoe kunt u uzelf beschermen tegen ransomware en Windows beschermen tegen ransomware? Zijn er patches uitgebracht om bestanden te decoderen en te desinfecteren?
Nieuw ransomware-virus 2017 Wanna Cry blijft bedrijfs- en privé-pc's infecteren. U De schade als gevolg van een virusaanval bedraagt in totaal $1 miljard. Binnen 2 weken is het ransomware-virus in ieder geval geïnfecteerd 300 duizend computers, ondanks waarschuwingen en veiligheidsmaatregelen.
Ransomware-virus 2017, wat is het?- in de regel kunt u schijnbaar de meest ongevaarlijke sites 'oppikken', bijvoorbeeld bankservers met gebruikerstoegang. Eenmaal aan HDD slachtoffers, de ransomware ‘vestigt’ zich systeemmap Systeem32. Van daaruit schakelt het programma onmiddellijk de antivirus- en gaat naar "Autorun"" Na elke herstart, ransomware loopt in het register, die aan zijn vuile werk begint. De ransomware begint soortgelijke kopieën van programma's als Ransom en Trojan te downloaden. Het komt ook vaak voor zelfreplicatie van ransomware. Dit proces kan kortstondig zijn, maar het kan ook weken duren voordat het slachtoffer merkt dat er iets mis is.
De ransomware vermomt zichzelf vaak als gewone afbeeldingen, tekstbestanden , maar de essentie is altijd hetzelfde - dit is een uitvoerbaar bestand met de extensie .exe, .drv, .xvd; Soms - bibliotheken.dll. Meestal heeft het bestand een volkomen onschadelijke naam, bijvoorbeeld “ document. doc", of " afbeelding.jpg", waarbij de extensie handmatig wordt geschreven, en het echte bestandstype is verborgen.
Nadat de codering is voltooid, ziet de gebruiker in plaats van bekende bestanden een reeks "willekeurige" tekens in de naam en binnenin, en de extensie verandert in een tot nu toe onbekende - .NO_MORE_RANSOM, .xdata en anderen.
Wanna Cry ransomware virus 2017 – hoe u uzelf kunt beschermen. Ik zou meteen willen opmerken dat Wanna Cry eerder een verzamelnaam is voor alle encryptie- en ransomware-virussen, aangezien het de laatste tijd het vaakst computers heeft geïnfecteerd. Dus we zullen erover praten Bescherm uzelf tegen de Ransom Ware-ransomware, waarvan er heel veel zijn: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Hoe Windows te beschermen tegen ransomware. – EternalBlue via SMB-poortprotocol.
Windows beschermen tegen ransomware 2017 – basisregels:
- Windows-update, tijdige overstap naar een gelicentieerd besturingssysteem (let op: de XP-versie is niet bijgewerkt)
- update antivirusdatabases en firewalls op aanvraag
- uiterste zorg bij het downloaden van bestanden (schattige “zegels” kunnen resulteren in het verlies van alle gegevens)
- maak een back-up van belangrijke informatie op verwisselbare media.
Ransomware-virus 2017: hoe bestanden te desinfecteren en decoderen.
Als u op antivirussoftware vertrouwt, kunt u de decryptor een tijdje vergeten. In laboratoria Kaspersky, dr. Web, Avast! en andere antivirusprogramma's voor nu er is geen oplossing gevonden voor de behandeling van geïnfecteerde bestanden. Op dit moment Het is mogelijk om het virus te verwijderen met behulp van een antivirusprogramma, maar er zijn nog geen algoritmen om alles weer “normaal” te maken.
Sommigen proberen decryptors te gebruiken, zoals het hulpprogramma RectorDecryptor, maar dit helpt niet: een algoritme voor het decoderen van nieuwe virussen is nog niet samengesteld. Het is ook absoluut onbekend hoe het virus zich zal gedragen als het niet wordt verwijderd na het gebruik van dergelijke programma's. Vaak kan dit resulteren in het wissen van alle bestanden - als waarschuwing voor degenen die de aanvallers, de auteurs van het virus, niet willen betalen.
Op dit moment het meest effectieve manier verloren gegevens terugkrijgen betekent contact opnemen met de technische ondersteuning. ondersteuning van de leverancier van het antivirusprogramma dat u gebruikt. Om dit te doen, moet u een brief sturen of het feedbackformulier op de website van de fabrikant gebruiken. Zorg ervoor dat u het gecodeerde bestand aan de bijlage toevoegt en, indien beschikbaar, een kopie van het origineel. Dit zal programmeurs helpen bij het samenstellen van het algoritme. Helaas voor velen virus aanval komt als een complete verrassing en er worden geen kopieën gevonden, wat de situatie enorm compliceert.
Cardiale methoden om Windows te behandelen tegen ransomware. Helaas moet je soms je toevlucht nemen tot volledige opmaak harde schijf, wat een volledige verandering van het besturingssysteem met zich meebrengt. Velen zullen denken aan het herstellen van het systeem, maar dit is geen optie - zelfs een “rollback” zal het virus verwijderen, maar de bestanden zullen nog steeds gecodeerd blijven.
