आज सर्वात समस्याप्रधान मालवेअरपैकी एक ट्रोजन किंवा व्हायरस आहे जो वापरकर्त्याच्या डिस्कवर फायली कूटबद्ध करतो. यापैकी काही फायली डिक्रिप्ट केल्या जाऊ शकतात आणि काही अद्यापही नाहीत. मॅन्युअलमध्ये दोन्ही परिस्थितींमधील क्रियांसाठी संभाव्य अल्गोरिदम आहेत, नो मोर रन्सॉम आणि आयडी रॅन्सोमवेअर सेवांवर विशिष्ट प्रकारचे एन्क्रिप्शन निर्धारित करण्याच्या पद्धती तसेच अँटी-व्हायरस एन्क्रिप्शन सॉफ्टवेअरचे संक्षिप्त पुनरावलोकन (ransomware).
अशा प्रकारच्या व्हायरस किंवा रान्सोमवेअरच्या ट्रोजन्समध्ये (आणि नवीन सतत दिसून येत आहेत) अनेक बदल आहेत, परंतु कामाचे सर्वसाधारण सार हे आहे की दस्तऐवज, प्रतिमा आणि इतर फायली संभाव्य महत्त्वपूर्ण फायली फायली स्थापित केल्या नंतर ते मूळ फाइल्सचे विस्तार आणि हटवून एनक्रिप्ट केले जातात. नंतर आपल्याला आपल्या सर्व फायली एनक्रिप्ट केल्या गेल्या आहेत आणि reader.txt फाइलमध्ये एक संदेश प्राप्त झाला आहे आणि त्यास डीक्रिप्ट करण्यासाठी आपल्याला आक्रमणकर्त्यास काही रक्कम पाठविण्याची आवश्यकता आहे. नोट: विंडोज 10 पतन निर्माते अद्ययावत आत्ता एनक्रिप्शन विषाणूंविरूद्ध अंतर्भूत संरक्षण आहे.
सर्व महत्त्वाचे डेटा एनक्रिप्ट केले असल्यास काय होते
प्रारंभकर्त्यांसाठी, आपल्या कॉम्प्यूटरवरील महत्त्वपूर्ण फायली कूटबद्ध करण्यासाठी काही सामान्य माहिती. आपल्या संगणकावरील महत्त्वपूर्ण डेटा एन्क्रिप्ट केला गेला असेल तर प्रथम आपण घाबरू नये.
आपल्याकडे अशी संधी असल्यास, आक्रमणकर्त्याकडून डिक्रिप्शनसाठी मजकूर विनंतीसह एक नमुना फाईल कॉपी करा आणि तसेच डिस्क डिस्कवर (फ्लॅश ड्राइव्ह) एन्क्रिप्टेड फाइलची एक उदाहरण कॉपी करा ज्यावर व्हायरस-एन्क्रिप्टर (रन्सोमवेअर) दिसून आला आहे. संगणक बंद करा जेणेकरून व्हायरस डेटा एनक्रिप्ट करणे सुरू ठेवू शकणार नाही आणि उर्वरित क्रिया दुसर्या संगणकावर चालू ठेवू शकेल.
पुढील चरण म्हणजे उपलब्ध एनक्रिप्टेड फाइल्सचा वापर करून आपला डेटा कशा प्रकारचा एन्क्रिप्टेड आहे हे शोधून काढणे हे आहे: त्यापैकी काही खाली उतरण्यासाठी आहेत (काही मी येथे दर्शविणार आहे, काही लेखाच्या शेवटी असल्याचे सूचित केले आहे), तरीही काही. परंतु या प्रकरणात, आपण अँटी-व्हायरस लॅब्स (कॅस्परस्की, डॉ. वेब) अभ्यासासाठी एनक्रिप्टेड फायलींचे उदाहरण पाठवू शकता.
नक्की कसे शोधायचे? आपण Google वापरून हे करू शकता, फाइल्स विस्ताराने चर्चा किंवा प्रकारचे क्रिप्टोग्राफर शोधू शकता. रन्सोमवेअरचा प्रकार निश्चित करण्यासाठी देखील सेवा प्रदर्शित करणे प्रारंभ केले.
नाही आणखी खंडणी
नो मोर रन्सॉम एक सक्रियपणे विकसनशील स्त्रोत आहे जो सुरक्षा साधनांच्या विकासकांद्वारे समर्थित आहे आणि रशियन आवृत्तीमध्ये उपलब्ध आहे, जे क्रिप्टोग्राफर्स (ट्रोजन-अॅक्रॉन्सटिस्टिस्ट्स) द्वारे व्हायरस विरूद्ध लढण्यासाठी आहे.
नशीबाने, नो मोर रन्सॉम आपली कागदपत्रे, डेटाबेसेस, फोटो आणि इतर माहिती डिक्रिप्ट करण्यात, डिक्रिप्शनसाठी आवश्यक प्रोग्राम डाउनलोड करण्यात मदत करू शकेल आणि भविष्यात अशा धोक्यांपासून वाचविण्यात मदत करणार्या माहिती देखील मिळवू शकेल.
नो मोर रन्सॉम वर, आपण आपल्या फाइल्स डिक्रिप्ट करण्याचा आणि खालील प्रकारचे एन्क्रिप्शन व्हायरस निर्धारित करण्याचा प्रयत्न करू शकता:
- //Www.nomoreransom.org/ru/index.html या सेवेच्या मुख्य पृष्ठावर "होय" क्लिक करा
- क्रिप्टो शेरीफ पृष्ठ उघडेल, आपण 1 एमबी आकारापेक्षा मोठी नसलेली एनक्रिप्टेड फाईल्सची उदाहरणे डाउनलोड करू शकता (मी गोपनीय डेटा अपलोड करण्याची शिफारस करतो) आणि फसवणूक करणार्यांनी खंडणीची विनंती करण्यासाठी ईमेल पत्ते किंवा साइट देखील निर्दिष्ट करा (किंवा readme.txt फाइल डाउनलोड करा आवश्यकता)
- "चेक" बटण क्लिक करा आणि चेकची प्रतीक्षा करा आणि त्याचा परिणाम पूर्ण होण्यास.
याव्यतिरिक्त, साइटवर उपयुक्त विभाग आहेत:
- डिक्रिप्टर - व्हायरस-एनक्रिप्टेड फाइल्स डिक्रिप्ट करण्यासाठी जवळजवळ सर्व सध्या अस्तित्वात असलेल्या उपयुक्तता.
- संक्रमणाची रोकथाम - मुख्यत्वे नवख्या वापरकर्त्यांसाठी माहिती आहे जी भविष्यात संक्रमण टाळण्यास मदत करू शकते.
- प्रश्न आणि उत्तरे - आपल्या संगणकावरील फायली एनक्रिप्ट केल्या गेल्या आहेत तेव्हा आपल्याला एनक्रिप्शन व्हायरसचे कार्य चांगल्या प्रकारे समजून घ्यायचे आहे आणि अशा प्रकरणांमध्ये कारवाई करण्याची इच्छा असलेल्यांसाठी माहिती.
आज, रशियन वापरकर्त्यासाठी फायली डिक्रिप्ट करण्यासाठी संबद्ध नॉन मोर रन्ससम बहुधा संबंधित आणि उपयुक्त स्त्रोत आहे, मी शिफारस करतो.
आयडी ransomware
अशी दुसरी सेवा //id-ransomware.malwarehunterteam.com/ आहे (जरी मला माहित नाही की हे व्हायरसच्या रशियन-भाषेच्या प्रकारांसाठी किती चांगले कार्य करते, परंतु सेवेस पोहचविणे हे एक एनक्रिप्टेड फाइलचे उदाहरण आणि खंडणी विनंतीसह मजकूर फाइलचे उदाहरण आहे).
क्रिप्टोग्राफरचा प्रकार निश्चित केल्यानंतर, आपण यशस्वी असल्यास, या पर्यायासाठी या पर्यायास डीिक्रिप्ट करण्यासाठी उपयुक्तता शोधण्याचा प्रयत्न करा जसे की: डीक्रिप्टर प्रकार_Chiler. अशा उपयुक्तता विनामूल्य आहेत आणि अँटीव्हायरस विकसकांद्वारे उत्पादित केली जातात, उदाहरणार्थ, कास्पर्सकी साइट //support.kaspersky.ru/viruses/utility वर इतर अशा उपयुक्तता आढळू शकतात (इतर उपयुक्तता लेखाच्या शेवटीच असतात). आणि, आधीच नमूद केल्याप्रमाणे, त्यांच्या फोरम किंवा मेल सपोर्ट सेवेवरील अँटीव्हायरस प्रोग्रामच्या विकसकांशी संपर्क साधण्यास संकोच करू नका.
दुर्दैवाने, हे सर्वकाही मदत करत नाही आणि नेहमीच फाइल डिक्रिप्टर कार्यरत नाहीत. या प्रकरणात, परिदृश्ये भिन्न आहेत: बरेच लोक घुसखोर देतात आणि त्यांना ही क्रिया सुरू ठेवण्यास प्रोत्साहित करतात. काही वापरकर्त्यांना संगणकावर डेटा पुनर्प्राप्त करण्यासाठी प्रोग्रामद्वारे मदत केली जाते (कारण व्हायरस, एनक्रिप्टेड फाइल बनवून, नियमित, महत्वाची फाइल हटवते जी सैद्धांतिकरित्या पुनर्प्राप्त केली जाऊ शकते).
संगणकावर फायली xtbl मध्ये एनक्रिप्ट केली जातात
Ransomware व्हायरसच्या नवीनतम प्रकारांपैकी एक फाइल्स एनक्रिप्ट करते, त्याऐवजी .xtbl विस्तारासह फायली आणि यादृच्छिक संच वर्णनासह एक नाव पुनर्स्थित करतात.
त्याच वेळी, संगणकावरील मजकूर फाइल readme.txt जवळजवळ खालील सामग्रीसह ठेवली आहे: "आपल्या फायली एन्क्रिप्ट झाल्या आहेत. त्यांना डीक्रिप्ट करण्यासाठी, आपल्याला कोड पत्ता [email protected], [email protected] किंवा [email protected] वर ईमेल पाठविणे आवश्यक आहे. पुढे आपल्याला सर्व आवश्यक सूचना प्राप्त होतील. फाइल्स डिक्रिप्ट करण्याचा प्रयत्न केल्याने माहितीची परत न होणारी हानी होईल "(ईमेल पत्ता आणि मजकूर भिन्न असू शकतो).
दुर्दैवाने, सध्या डिक्रिप्ट करण्याचा कोणताही मार्ग नाही .xtbl (जशी दिसते तसे, सूचना अद्यतनित केली जाईल). काही वापरकर्त्यांना ज्यांनी त्यांच्या संगणकावर अँटी-व्हायरस फोरम्सवर खरोखरच महत्वपूर्ण माहिती दिली होती त्यांनी 5000 रूबल पाठविली किंवा व्हायरसच्या लेखकांना आवश्यक त्या दुसर्या रकमेची माहिती दिली आणि त्यांना एक धोकादायक प्रतिसाद मिळाला, परंतु ही अतिशय धोकादायक आहे: आपल्याला काहीही प्राप्त होणार नाही.
जर .xtbl मधील फायली एनक्रिप्ट केल्या गेल्या तर काय होईल? माझी शिफारस खालीलप्रमाणे आहे (परंतु ते इतर अनेक थीमॅटिक साइट्सवरुन भिन्न आहेत, उदाहरणार्थ, ते शिफारस करतात की आपण संगणकावर तात्काळ वीजपुरवठा बंद करा किंवा व्हायरस काढू नका. माझ्या मते, हे अनावश्यक आहे आणि विशिष्ट परिस्थितीत ते कदाचित देखील असू शकते हानिकारक, तथापि आपण निर्णय घ्या.):
- आपण करू शकता, कार्य व्यवस्थापक मधील संबंधित कार्य काढून टाकून एन्क्रिप्शन प्रक्रियेत व्यत्यय आणू शकता, आपला संगणक इंटरनेटवरून डिस्कनेक्ट करणे (ही एन्क्रिप्शनसाठी आवश्यक स्थिती असू शकते)
- हल्लेखोरांना ईमेल पत्त्यावर पाठविण्याची आवश्यकता असलेली कोड लक्षात ठेवा किंवा लिहा (केवळ कॉम्प्यूटरवरील टेक्स्ट फाईलमध्येच नव्हे तर ते एन्क्रिप्ट केले जाणार नाही).
- मालवेअरबाइट्स अँटीमालवेअर वापरुन, कॅस्परस्की इंटरनेट सिक्युरिटीची चाचणी आवृत्ती किंवा डॉ. वेब क्यूर इट फाइल्स कूटबद्ध करणारे व्हायरस काढून टाकण्यासाठी (वरील सर्व साधने यासह चांगली नोकरी करतात). मी आपल्याला सूचीतील प्रथम आणि द्वितीय उत्पादनांचा वापर करून वळण घेण्याची सल्ला देतो (तथापि, आपल्याकडे अँटीव्हायरस स्थापित असल्यास, "शीर्षस्थानी" दुसरा स्थापित करणे अवांछित आहे, कारण यामुळे संगणकाच्या ऑपरेशनमध्ये समस्या येऊ शकते.)
- एंटी-व्हायरस कंपनी प्रकट होण्याची प्रतीक्षा करा. येथे सर्वात पुढे कॅस्परस्की लॅब आहे.
- आपण एन्क्रिप्टेड फाइल आणि आवश्यक कोडचा एक उदाहरण देखील पाठवू शकता [email protected]जर आपल्याकडे समान फाइलची कॉपी एन्क्रिप्टेड स्वरूपात असेल तर ते देखील पाठवा. सिद्धांतानुसार, हे डीकोडरचे स्वरूप वाढवते.
काय करायचे नाही:
- एनक्रिप्टेड फायली पुनर्नामित करा, विस्तार बदला आणि ते आपल्यासाठी महत्वाचे असल्यास त्या हटवा.
या वेळी सध्या .xtbl विस्तारासह कूटबद्ध फायलींबद्दल मी हे सांगू शकतो.
फाइल्स एनक्रिप्ट केल्या जातात better_call_saul
नवीनतम एन्क्रिप्शन व्हायरस चांगला कॉल शाऊल (Trojan-Ransom.Win32.Shade) आहे, जो एनक्रिप्ट केलेल्या फायलींसाठी .better_call_saul विस्तार सेट करते. अशा फाइल्स डिक्रिप्ट करणे अद्याप स्पष्ट नाही. Kaspersky Labs आणि Dr.Web शी संपर्क साधलेल्या वापरकर्त्यांना माहिती मिळाली की या क्षणी हे शक्य नाही (परंतु तरीही पाठविण्याचा प्रयत्न करा - विकसकांद्वारे एनक्रिप्टेड फायलींच्या अधिक नमुन्यांचा = मार्ग शोधण्याची अधिक शक्यता).
जर आपल्याला डिक्रिप्ट करण्याचा मार्ग सापडला असेल तर (म्हणजे, तो कुठेतरी पोस्ट केले गेले होते परंतु मी अनुसरण केले नाही) असे आढळल्यास, कृपया टिप्पण्यांमध्ये टिप्पण्या सामायिक करा.
ट्रोजन-Ransom.Win32.Aura आणि ट्रोजन-Ransom.Win32.Rakhni
खालील ट्रोजन जे या फायलीमधून फायली कूटबद्ध करते आणि विस्तार स्थापित करते:
- लॉक
- क्रिप्टो
- .क्रॅकन
- .एएस 256 (हे ट्रोजन आवश्यक नाही, इतर समान विस्तार स्थापित करीत आहेत).
- .codercsu @ gmail_com
- .एनसी
- .ओशिट
- आणि इतर.
या व्हायरसच्या ऑपरेशननंतर फाइल्स डिक्रिप्ट करण्यासाठी, कॅस्पेर्स्कीच्या वेबसाइटवर विनामूल्य उपयोगिता, राखनीडेक्रिप्टर, अधिकृत पृष्ठ //support.kaspersky.com/viruses/disinfection/10556 वर उपलब्ध आहे.
एनक्रिप्टेड फाइल्स कशी पुनर्प्राप्त करायची हे दर्शविण्याबद्दल या युटिलिटीचा उपयोग कसा करावा याबद्दल एक सविस्तर सूचना देखील आहे, ज्यामधून मी आयटम "यशस्वी डिक्रिप्शन नंतर एन्क्रिप्टेड फायली हटवा" हटवल्यास (स्थापित केलेल्या पर्यायासह सर्वकाही ठीक होईल असे मला वाटते).
आपल्याकडे डॉ. वेब अँटी-व्हायरस परवाना असल्यास, आपण //support.drweb.com/new/free_unlocker/ येथे या कंपनीकडून विनामूल्य डिक्रिप्शन वापरू शकता.
एनक्रिप्शन व्हायरसचे अधिक रूपे
अधिक क्वचितच, परंतु खालील Trojans देखील आहेत, फाइल्स एनक्रिप्ट करणे आणि डिक्रिप्शनसाठी पैसे आवश्यक. प्रदान केलेल्या दुवे केवळ आपल्या फायली परत मिळविण्यासाठी उपयुक्त नसतात, परंतु या विशिष्ट विषाणूचे निर्धारण करण्यात मदत करण्यासाठी चिन्हे यांचे वर्णन देखील उपलब्ध आहे. सर्वसाधारणपणे, सर्वोत्तम मार्गः कॅस्परस्की अँटी-व्हायरसच्या सहाय्याने सिस्टम स्कॅन करा, या कंपनीच्या वर्गीकरणाद्वारे ट्रोजनचे नाव शोधा आणि नंतर त्या नावाद्वारे उपयुक्तता शोधा.
- येथे उपलब्ध डिक्रिप्शन आणि वापर मार्गदर्शिकेसाठी ट्रोजन-रॅन्सॉम.Win32.Rector एक विनामूल्य रेक्टरडीक्रीप्टर उपयुक्तता आहे: //support.kaspersky.com/viruses/disinfection/4264
- ट्रोजन-रॅन्सॉम.Win32.Xorist ही अशी ट्रोजन आहे जी आपल्याला एक सशुल्क एसएमएस पाठविण्याची किंवा डीकोडिंगवरील सूचनांसाठी ई-मेलद्वारे संपर्क साधण्यासाठी एक विंडो प्रदर्शित करते. एनक्रिप्टेड फाईल्स पुनर्प्राप्त करण्यासाठी निर्देश आणि यासाठी XoristDecryptor उपयुक्तता पृष्ठ //support.kaspersky.com/viruses/disinfection/2911 वर आहे.
- ट्रोजन- Ransom.Win32.Rannoh, ट्रोजन-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 उपयुक्तता
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 आणि त्याच नावाचे इतर (जेव्हा डॉ. वेब अँटी-व्हायरस किंवा क्यूर इट युटिलिटिद्वारे शोधताना) आणि वेगवेगळे नंबर - ट्रोजनच्या नावाद्वारे इंटरनेट शोधण्याचा प्रयत्न करा. त्यापैकी काही डॉ. वेब डिक्रिप्शन युटिलिटिज देखील आहेत, जर आपल्याला उपयुक्तता सापडली नाही तर डॉवेब लायसन्स आहे, आपण अधिकृत पृष्ठ //support.drweb.com/new/free_unlocker/ वापरू शकता.
- क्रिप्टो लॉकर - क्रिप्टो लॉकर चालविल्यानंतर फाइल्स डिक्रिप्ट करण्यासाठी, आपण साइट //decryptcryptolocker.com साइट वापरू शकता - नमुना फाइल पाठविल्यानंतर, आपल्या फायली पुनर्प्राप्त करण्यासाठी आपल्याला एक की आणि उपयुक्तता प्राप्त होईल.
- साइटवर//bitbucket.org/jadacyrus/ransomwareremovalkit/डाउनलोड्स रान्सोमवेअर रिमूव्हल किट - विविध प्रकारचे क्रिप्टोग्राफर्स आणि डिक्रिप्शन युटिलिटिजवरील माहितीसह एक मोठा संग्रह (इंग्रजीमध्ये)
नुकतेच, ताज्या बातम्या - कॅस्परस्की लॅबने नेदरलँडच्या कायद्याची अंमलबजावणी करणार्या अधिकाऱ्यांसह रोनोमवेअर डिक्रिप्टर (//noransom.kaspersky.com) विकसित केले आणि सिक्न व्हॉल्ट नंतर फायली डीक्रिप्ट करण्यासाठी विकसित केले, तथापि, हे लापरवाही अद्याप आमच्या अक्षांशांमध्ये आढळले नाही.
अँटी-व्हायरस एन्क्रिप्टर्स किंवा रन्सोमवेअर
रान्सोमवेअरच्या प्रसाराने, अँटी-व्हायरस आणि अँटी-मालवेअर साधनांच्या बर्याच उत्पादकांनी संगणकावर एन्क्रिप्शन टाळण्यासाठी त्यांचे उपाय सोडण्यास सुरवात केली:- मालवेअरबाइट्स एंटी-रन्सोमवेअर
- बिट डिफेंडर अँटी-रान्सोमवेअर
- WinAntiRansom
परंतु: हे प्रोग्राम डिक्रिप्ट करण्यासाठी डिझाइन केलेले नाहीत, परंतु केवळ आपल्या संगणकावरील महत्त्वपूर्ण फायलींचे एन्क्रिप्शन टाळण्यासाठी. आणि सर्वसाधारणपणे, मला असे वाटते की हे कार्य एंटी-व्हायरस उत्पादनांमध्ये अंमलात आणणे आवश्यक आहे, अन्यथा एक विचित्र परिस्थिती प्राप्त केली गेली आहे: वापरकर्त्यास अँटीव्हायरस संगणकावर, अॅडवेअर आणि मालवेअरला लढण्यासाठी आणि आता अँटी-रन्सोमवेअर वापरण्याची देखील आवश्यकता आहे, तसेच अँटी- शोषण
तसे, जर अचानक असे दिसून आले की आपल्याकडे काही जोडण्याची इच्छा आहे (कारण डिक्रिप्शन पद्धतींसह काय होत आहे याची देखरेख करण्यासाठी माझ्याकडे वेळ नसू शकेल), टिप्पण्यांमध्ये अहवाल द्या, ही माहिती इतर वापरकर्त्यांना अडचणीत आली असेल ज्यांना समस्या आली असेल.
