Menú
Está libre
registrarse
el principal  /  Instalación y configuración / Crypted000007 Virus: cómo descifrar archivos y eliminar el extinto. Acerca de la actualización de Windows desde Wannacry Cifer Virus Cómo descifrar y restaurar archivos después de Crypted000007 Virus

Crypted000007 Virus: cómo descifrar archivos y eliminar el extorsionista. Acerca de la actualización de Windows desde Wannacry Cifer Virus Cómo descifrar y restaurar archivos después de Crypted000007 Virus

Esta instrucción no está destinada a especialistas técnicos, por lo que:

  1. las definiciones de algunos términos se simplifican;
  2. no se consideran detalles técnicos;
  3. los métodos de protección del sistema no se consideran (instalando actualizaciones, configurando sistemas de seguridad, etc.).
La instrucción está escrita por mí para ayudar a los SysAdminams que desean realizar capacitación de empleados de la compañía lejos de la esfera de TI (contabilidad, marcos, ventas, etc.), lo básico de los cibergigiennes.

Glosario

Software (En lo sucesivo, por) - un programa o muchos programas utilizados para controlar la computadora.

Cifrado- Esta conversión de datos en la vista no está disponible para leer sin clave de cifrado.

Clave de encriptación - Esta es la información secreta utilizada en los archivos de cifrado / decodificación.

Descifrador- Un programa que implementa el algoritmo de descifrado.

Algoritmo- Un conjunto de instrucciones que describen el procedimiento para las acciones del contratista para lograr un resultado.

Apego poste - Archivo adjunto a un correo electrónico.

Expansión(La expansión del nombre del archivo) es una secuencia de caracteres agregados al nombre del archivo y está destinado a identificar un tipo de archivo (por ejemplo, * .doc, * .jpg). De acuerdo con el tipo de archivo, se utilizará un programa específico para abrirlos. Por ejemplo, si el archivo tiene una extensión * .doc, entonces comenzará a MS Word para abrirlo si * .jpg, luego inicie el visor de imágenes, etc.

Enlace(o, más precisamente, hipervínculo): parte de la página web del documento que se refiere a otro elemento (comando, texto, encabezado, nota, imagen) en el propio documento u otro objeto (archivo, directorio, aplicación) ubicado en el disco local o en la red informática.

Archivo de texto - Archivo de computadora que contiene datos de texto.

Archivado- Esto es compresión, es decir, una disminución en el tamaño del archivo.

Copia de respaldo - Archivo o grupo de archivos creados como resultado de la información de respaldo.

Respaldo - El proceso de creación de una copia de los datos en un portador (disco duro, disquete, etc.), diseñado para recuperar datos en el lugar original o nuevo de almacenamiento en caso de daños o destrucción.

Dominio(Nombre de dominio): un nombre que hace posible acceder a los nodos de Internet y los recursos de red ubicados en ellos (sitios web, servidores de correo electrónico, otros servicios) en un formulario de una persona conveniente. Por ejemplo, en lugar de 172.217.18.131, se introduce Google.com.ua, donde UA, COM, Google son dominios de diferentes niveles.


¿Qué es: el encriptamiento de virus?

Encriptamiento de virus (NEXT - CIRPTER) - Software malicioso, cifrado archivos de usuario y requiriendo redención para decodificar. Los más a menudo cifrados tipos populares de tipos de archivos: documentos y tablas MS Office ( doce, xlsx), Imágenes ( jPEG, pNG., tIF.), archivos de video ( aVI., mpeg, mKV.et al.), documentos en formato pDF.et al., así como archivos de base de datos - 1c ( 1cd., dBF.), Acento ( mDF.). Los archivos y programas del sistema generalmente no están cifrados para guardar ventanas y proporcionar al usuario la capacidad de ponerse en contacto con el extorsionador. En casos raros, el disco completo se cifra, la carga de Windows no es posible en este caso.

¿Cuál es el peligro de tales virus?

En la abrumadora mayoría de los casos, la descifrado es imposible por su cuenta, porque Se utilizan algoritmos de cifrado extremadamente complejos. En casos muy raros, los archivos se pueden descifrar si ocurrió un tipo de virus ya conocido, para el cual los fabricantes de antivirus se han liberado un decodificador, pero incluso en este caso, la recuperación de la información está 100% no garantizada. A veces, el virus tiene un defecto en su código, y la descifrado se vuelve imposible en principio, incluso al autor de un programa malicioso.

En la mayoría abrumadora después de la codificación, el cifrado elimina los archivos de origen utilizando algoritmos especiales, lo que elimina la posibilidad de recuperación.

Otra característica peligrosa de los virus de este tipo es bastante "invisible" para los antivirus, porque Los algoritmos utilizados para el cifrado también se aplican en muchos programas legales (por ejemplo, cliente-banco), por lo que muchos cifradores no son percibidos por los antivirus como software malicioso.

Formas de infección.

La mayoría de las veces, la infección ocurre a través de las inversiones postales. El usuario viene un correo electrónico de un correo electrónico del destinatario conocido por él o disfrazado de una organización (impuesto, banco). La carta puede requerir la conciliación contable, confirme el pago de la cuenta, la oferta para familiarizarse con la deuda de crédito en el banco o algo así. Es decir, la información será la siguiente que ciertamente estará interesada en o ejecutar el usuario y alentará a abrir la inversión postal con el virus. La mayoría de las veces se verá como un archivo, dentro de la cual el archivo con la extensión * .js, * .scr, * .exe, * .hta, * .vbs, * .cmd, * .bat. Después de iniciar dicho archivo, inmediatamente o después de un tiempo, comienza el proceso de cifrado de archivos en la PC. Además, el archivo infectado se puede enviar al usuario en uno de los programas de mensajería instantánea (Skype, Viber, etc.).

A la derecha, a menudo, la infección ocurre después de instalar pirateada por o después de la transición al enlace infectado en el sitio o en el cuerpo de la letra.

Vale la pena tener en cuenta que muy a menudo, al infectar una PC en la red, el virus puede extenderse a otras máquinas utilizando vulnerabilidades en Windows o / y en los programas instalados.

Signos de infección.

  1. Muy a menudo, después de iniciar el archivo adjunto a la letra, existe una alta actividad del disco duro, el procesador se carga hasta el 100%, es decir,. La computadora comienza a "disminuir la velocidad".
  2. Algún tiempo después del lanzamiento del virus, la PC se reinicia repentinamente (en la mayoría de los casos).
  3. Después de reiniciar, se abre un archivo de texto, que informa que los archivos de usuario están encriptados y los contactos se especifican para la comunicación (correo electrónico). A veces, en lugar de abrir un archivo, el fondo de pantalla de escritorio se reemplaza con el requisito de redención.
  4. La mayoría de los archivos de usuario (documentos, fotos, bases de datos) resultan ser otra extensión (por ejemplo, * .Breaking_bad, * .better_call_soul, * .vault, * .neutrino, * .xtbl, etc.) o en general, y no se abre. Programa, incluso si cambias la expansión. A veces el disco duro está encriptado. En este caso, Windows no se carga en absoluto, y la solicitud de mensaje se muestra casi inmediatamente después de que se enciende la PC.
  5. A veces, todos los archivos de usuario se colocan en un archivo protegido por contraseña. Esto sucede si el atacante penetra en la PC y archiva y elimina los archivos manualmente. Aquellos. Al iniciar un archivo malicioso desde el archivo adjunto, los archivos de usuario no están cifrados automáticamente, y se instala el software, lo que le permite a un atacante conectarse en secreto a la PC a través de Internet.

Texto de muestra con redención.

¿Qué pasa si la infección ya ha ocurrido?

  1. Si el proceso de cifrado ha comenzado en su presencia (PC firmemente "se ralentiza"; se abrió un archivo de texto con un mensaje de cifrado; Los archivos comenzaron a desaparecer, y en su lugar comenzaron a aparecer sus copias cifradas), sigue INMEDIATAMENTEdesarrolle una computadora tirando del cable de alimentación o escalada durante 5 segundos. Botón de encendido. Tal vez ahorrará parte de la información. ¡No reinicie PC! ¡Simplemente cierre!
  2. Si la cifrado ya se ha realizado, en ningún caso, debe intentar eliminar la infección usted mismo, así como para eliminar o cambiar el nombre de archivos o archivos encriptados creados por un cifrado.

En ambos casos, debe informar inmediatamente un incidente al administrador del sistema.

¡¡¡IMPORTANTE!!!

¡No intente negociar de forma independiente con un atacante a través de los contactos que le proporcionaron! En el mejor de los casos, es inútil, en el peor de los casos, puede aumentar la cantidad de redención para descifrar.

¿Cómo prevenir la infección o reducir sus consecuencias al mínimo?

  1. No abra letras sospechosas, especialmente con inversiones (cómo reconocer dichas letras, ver más abajo).
  2. No vaya a enlaces sospechosos en los sitios y envíe cartas.
  3. No descargue y no instale programas de fuentes incrédulas (sitios con software hackeado, rastreadores Torrent).
  4. Siempre haga copias de respaldo de archivos importantes. La mejor opción almacenará copias de respaldo en otros medios, no conectados a la PC (unidad flash, disco externo, disco DVD) o en la nube (por ejemplo, yandex.disk). A menudo, el virus encripta y los archivos de archivo (ZIP, RAR, 7Z), así que almacenan copias de seguridad en la misma PC donde se almacenan los archivos de origen, sin sentido.

¿Cómo reconocer una carta maliciosa?

1. El tema y el contenido de las letras no están relacionados con sus actividades profesionales. Por ejemplo, un administrador de oficina surgió sobre una auditoría de impuestos, cuenta o resumen.

2. La carta contiene información que no está relacionada con nuestro país, la región o la esfera de la actividad de nuestra empresa. Por ejemplo, el requisito de pagar la deuda en el Banco registrado en la Federación de Rusia.

3. A menudo se emite una carta maliciosa como una supuesta respuesta a algún tipo de su carta. Al comienzo de esta carta hay una combinación "Re:". Por ejemplo, "Re: Cuenta de pago", aunque usted sabe con seguridad que no envié cartas a esta dirección.

4. La carta llegó supuestamente de una empresa conocida, pero en la dirección del remitente de la carta hay secuencias sin sentido de letras, palabras, números, dominios extraños, que no tienen nada que ver con las direcciones oficiales mencionadas en el texto. de la carta de la empresa.

5. En el campo "A" especificado un nombre desconocido (no su buzón), un conjunto de caracteres incoherentes o duplica el nombre del buzón del remitente.

6. En el texto de la carta en diferentes pretextos del destinatario, solicite proporcionar o confirmar cualquier información personal o de servicio, descargue el archivo o siga el enlace, mientras se habla de urgencia o cualquier sanción en caso de incumplimiento de las instrucciones. especificado en la letra.

7. El archivo adjunto a la letra contiene archivos con la extensión * .js, * .scr, * .exe, * .hta, * .vbs, * .cmd, * .bat, * .iso. Enmascarar la expansión maliciosa también se usa muy a menudo. Por ejemplo, en el nombre del archivo "Cuentas por cobrar.doc.js", * .doc es una extensión falsa que no lleva ningún funcionario, y * .js es la expansión real del archivo viral.

8. Si la letra vino del famoso remitente, pero el estilo de escritura y alfabetización es muy diferente, esta es también una razón para alertar. Además, así como contenido no característico, por ejemplo, el requisito recibido del cliente a pagar la cuenta. En este caso, es mejor ponerse en contacto con el remitente en otro canal de comunicación (teléfono, Skype), ya que es probable que su PC sea pirateada o infectada con un virus.


Ejemplo de letras maliciosas

Facebook.

Gorjeo.

Vk.

Odnoklassniki.

Telegrama

Ciencias Naturales

Wannacry Virus-cifrado: ¿Qué hacer?

La ola de Wannacry rodó alrededor de la Wannacry (otros nombres de Wana Decritpt0r, WANA Decryptor, Wanacrypt0r), que encripta documentos en la computadora y extorsiona 300-600 USD para decodificarlos. ¿Cómo averiguar si la computadora está infectada? ¿Qué hay que hacer para no convertirse en una víctima? ¿Y qué hacer para curar?

¿La computadora está infectada con un descifrado de virus-círculo WANA?


Después de instalar actualizaciones, la computadora deberá sobrecargarse, ahora el gerente de cifrado no le penetra.

¿Cómo curar de WANA Decritpt0r círculo del virus?

Cuando la utilidad antivirus detecta el virus, lo eliminará inmediatamente, o le preguntará: para ser tratado o no? La respuesta es tratar.

¿Cómo restaurar los archivos de descifrado cifrados de WANA?

No podemos decir nada reconfortante en este momento. Mientras se ha creado la herramienta de descifrado de archivos. Permanece solo esperar cuando se diseñará la descifrado.

Según Brian Krebs, expertos en seguridad informática, en este momento, los delincuentes recibieron solo 26'000 USD, es decir, solo alrededor de 58 personas acordaron pagar la redención de los extorsores. Ya sea que restauren sus documentos al mismo tiempo, nadie lo sabe.

virus de computadora

Agregue "E Noticias" a sus fuentes favoritas

Navegando en registros

Última sección de noticias


    Rachel Bronsen - Jefe del Boletín "World académico-atómico de alojamiento" informó que el reloj del Día del Juicio se transfirió durante 20 segundos. En su opinión, sigue siendo solo un condicional 100 ...


Hace aproximadamente una semana o dos, la próxima práctica de Virus Modern apareció en la red, que encripta todos los archivos de usuario. Una vez más, consideraré cómo curar una computadora después del virus del círculo. crypted000007.y restaurar archivos encriptados. En este caso, apareció nada nuevo y único, solo modificando la versión anterior.

Decodificación de archivos garantizada después de encriptar virus - dr-shifro.ru. Los detalles del trabajo y el esquema de interacción con el cliente a continuación, tengo en el artículo o en el sitio en la sección "Operaciones".

Crypted000007 Enciprovier Virus Descripción

Crypted000007 Encrypter no difiere en principio de sus predecesores. Actúa casi uno a uno como. Pero todavía hay varios matices que se distinguen. Hablaré de todo en orden.

Viene, como sus análogos, por correo. Se utilizan técnicas de ingeniería social, de modo que el usuario estará interesado en la letra y lo abrió. En mi caso, se discutió una carta sobre algún tipo de tribunal y sobre información importante en el caso de la inversión. Después de iniciar el archivo adjunto, el usuario abre un documento VORDRIAL con un extracto del Tribunal de Arbitraje de Moscú.

En paralelo con la apertura del documento, se inicia el cifrado de archivos. Comienza a emitir constantemente el mensaje de información del sistema de control de cuenta de Windows.

Si está de acuerdo con la propuesta, luego se eliminarán las copias de copia de seguridad de los archivos en las copias de la sombra de Windows y la recuperación de la información será muy difícil. Obviamente, estoy de acuerdo con la propuesta en ningún caso. En este cifrado, estas solicitudes se empujan constantemente, una después de una y no se detienen, lo que obliga al usuario a acordar y eliminar copias de respaldo. Esta es la principal diferencia de modificaciones anteriores de encriptadores. Nunca he encontrado en ningún momento en que se vayan las solicitudes de eliminación de las copias de la sombra sin parar. Por lo general, después de 5-10 sugerencias, se detuvieron.

Inmediatamente recomendaré una recomendación para el futuro. Muy a menudo, las personas deshabilitan las advertencias del sistema de control de cuentas. No hagas esto. Este mecanismo puede realmente ayudar a enfrentar virus. El segundo consejo obvio no funciona constantemente bajo la cuenta del administrador de computadoras, si no hay necesidad objetiva. En este caso, el virus no tendrá la oportunidad de dañar mucho. Tendrás más posibilidades de resistirlo.

Pero incluso si todos respondieron negativamente a las solicitudes de cifrado, todos sus datos ya están encriptados. Una vez finalizado el proceso de cifrado, verá una imagen en el escritorio.

Al mismo tiempo, habrá muchos archivos de texto con el mismo contenido en el escritorio.

Has sido archivos cifrados. Cámara PACSUFT UX, BAM NEZCORY OMNRUSH CÓDIGO: 329D54752553ED978F94 | 0 EN ELECTRONIC ADPEX [Correo electrónico protegido] . Daltea que necesitas para hacer todo el incmbrycsu. COMENZARÁ A RAMINETE CAMINO EL CAMSOMETE ITE. NU TRUE NU A CHEMY, KPOME es un nomeru sin pretensiones INRORMA. ECL Eres un curry de peso XOUMUME, luego desembole nreurialmente el primer archivo KAPS, cursas en el caso de la UX USMENA, los Cnelets no pueden usar ninguna condición. EXL NO TIENE UN OMVEME NINGUNA ADADADA DE BEGO EN LA TÉCNICA 48 ¿Cómo (U Molko en Emom Shaycha!), Aproveche la forma de la Oblaim. Este puede uno de los dos suficientes: 1) Spail Uy YCManuate Tor Browser PO Link: https://www.torproject.org/download/download-easy.html.en b Adecite CMPEC TOR navegador-A Uso de ADPEC: http: / / Cryptsen7FO43RR6 .onion / y nazimite Enter. 3Agpyzmya Cumor con formoísmo de la conexión ocasional. 2) b Any Byziepe Newifim Cualquier UI AdPes: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Todos los archivos importantes de su computadora fueron encriptados. Para descifrar los archivos que debe enviar el siguiente código: 329D54752553ed978f94 | 0 a la dirección de correo electrónico [Correo electrónico protegido] . Luego recibirás todas las instrucciones necesarias. Todos los intentos de descifrado por usted mismo resultarán solamente en la pérdida irrevocable de sus datos. Si aún desea intentar descifrarlos por usted mismo, haga una copia de seguridad al principio porque la descifrado se volverá imposible en caso de cualquier cambio dentro de los archivos. Si no recibió la respuesta del correo electrónico antes de 48 horas (¡y solo en este caso!), Utilice el formulario de comentarios. Puede hacerlo de dos maneras: 1) Descargue Tor Browser desde aquí: https://www.torproject.org/download/download-easy.html.en Instale y escriba la dirección de favorito en la barra de direcciones: http: / /cryptsen7fo43rr6.onion/ Presione ENTER y luego se cargará la página con formulario de comentarios. 2) Vaya a la de las siguientes direcciones en cualquier navegador: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

La dirección de correo puede variar. Condí más direcciones:

Las direcciones se actualizan constantemente, de modo que pueden ser completamente diferentes.

Una vez que haya encontrado que los archivos están encriptados, apague la computadora inmediatamente. Esto debe hacerse para interrumpir el proceso de cifrado tanto en la computadora local como en las unidades de red. El virus de cifrado puede cifrar toda la información a la que puede alcanzar, incluso en las unidades de red. Pero si hay una gran cantidad de información, entonces requerirá un tiempo considerable para esto. A veces, en un par de horas, el círculo no tuvo tiempo de cifrar unos 100 gigabytes en un disco neto.

A continuación, debe pensar cuidadosamente cómo actuar. Si usted, por cualquier cosa, necesita información sobre la computadora y no tiene copias de seguridad, es mejor referirse a los especialistas en este punto. No necesariamente por dinero en algunas firmas. Solo necesita una persona que esté bien versada en los sistemas de información. Es necesario evaluar la escala de desastres, eliminar el virus, recopilar toda la información disponible sobre la situación para comprender cómo actuar más.

Las acciones incorrectas en esta etapa pueden complicar significativamente el proceso de descifrar o recuperar archivos. En el peor de los casos, pueden hacerlo imposible. Así que no se apresure, tenga cuidado y sea consistente.

Como extorsión de virus Crypted000007 encripta archivos

Después de que se haya lanzado el virus y haya terminado sus actividades, todos los archivos útiles se cifrarán, renombrados con expansión.crypted000007.. Y no solo la extensión del archivo será reemplazada, sino también el nombre del archivo, por lo que no reconoce exactamente qué archivos ha tenido, si no recuerda. Será sobre tal foto.

En tal situación, será difícil evaluar la escala de la tragedia, ya que no puede recordar completamente lo que tenía en diferentes carpetas. Esto se hace específicamente para derribar a una persona y animar a pagar el descifrado de archivos.

Y si ha sido cifrado y carpetas de red y no hay copias de seguridad completas, generalmente puede detener el trabajo de toda la organización. No entenderemos de inmediato lo que finalmente se pierde para iniciar la recuperación.

Cómo tratar una computadora y eliminar el extorsionador Crypted000007

El virus Crypted000007 ya está en su computadora. La primera y la pregunta más importante es cómo curar una computadora y cómo eliminar el virus de él para evitar el cifrado adicional si aún no se ha completado. Inmediatamente atrae su atención sobre el hecho de que después de que ellos mismos comienzan a producir cualquier acción con su computadora, las posibilidades de descifrar los datos se reducen. Si usted, por cualquier cosa, necesita restaurar archivos, no toque la computadora, sino que contacte inmediatamente a los profesionales. A continuación, le contaré sobre ellos y le daré un enlace al sitio y describiré el esquema de su trabajo.

Mientras tanto, continúe tratando su computadora usted mismo y elimine el virus. Tradicionalmente, los encriptadores se eliminan fácilmente de la computadora, ya que el virus no tiene tarea para que se mantenga en la computadora. Después del cifrado de archivos completo, es aún más rentable a sí mismo y desaparecer para que sea más difícil investigar la iniciativa y descifrar los archivos.

Describa la eliminación manual del virus es difícil, aunque intenté hacerlo antes, pero veo que más a menudo no tiene sentido. Los nombres de los archivos y el camino de la colocación del virus están cambiando constantemente. Lo que vi ya no es relevante en una o dos semanas. Por lo general, el envío de los virus por correo es ondas y cada vez que hay una nueva modificación que aún no está detectada por antivirus. Ayuda a los medios universales que revisan el autorun y detectan actividad sospechosa en las carpetas del sistema.

Para eliminar el virus Crypted000007, puede usar los siguientes programas:

  1. Herramienta de eliminación de virus Kaspersky: utilidad de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CUREEIT! - Un producto similar de DR.VEB http://free.drweb.ru/cureit.
  3. Si las dos primeras utilidades no ayudan, pruebe malwarebytes 3.0 - https://ru.malwarebytes.com.

Lo más probable es posible, algo de estos productos limpiará la computadora del cifrado Crypted000007. Si de repente sucede, no ayudarán, intente eliminar el virus manualmente. Conduje a las técnicas de remoción en el ejemplo y, puedes ver allí. Si sigues brevemente los pasos, entonces necesita actuar así:

  1. Miramos la lista de procesos agregando algunas columnas adicionales al Administrador de tareas.
  2. Encontramos el proceso de virus, abre la carpeta en la que se sienta y lo quita.
  3. Limpie la mención del proceso de virus por nombre de archivo en el registro.
  4. Reiniciamos y nos aseguramos de que el virus Crypted000007 no esté en la lista de procesos de ejecución.

Dónde descargar criptted000007 decodificador

La pregunta de un descifrado simple y confiable se levanta ante todo cuando se trata del virus del círculo. Lo primero que aconsejaré es usar el servicio https://www.nomoreransom.org. Y de repente, tendrá un descifrado para su versión de Crypted000007 cifrado. Diré de inmediato que no tiene muchas oportunidades, pero un intento no es tortura. En la página principal, haga clic en Sí:

¡Luego cargue un par de archivos encriptados y haga clic en Ir! Descubrir:

En el momento de la escritura, el decodificador decodificado en el sitio no lo era.

Tal vez tengas suerte. Todavía puede familiarizarse con la lista de decodificadores para descargar en una página por separado - https://www.nomoreransom.org/decryption-tools.html. Puede haber algo útil allí. Cuando un virus es una posibilidad completamente fresca de esto, pero con el tiempo es posible aparecer. Hay ejemplos cuando aparecieron descifradores en la red con algunas modificaciones de encriptadores. Y estos ejemplos están en la página especificada.

¿Dónde más puedo encontrar el decodificador que no conozco? Es poco probable que exista en realidad, teniendo en cuenta las peculiaridades del trabajo de los encriptores modernos. Un decodificador de pleno derecho puede ser solo de los autores del virus.

Cómo descifrar y restaurar archivos después del virus Crypted000007

¿Qué hacer cuando el virus Crypted000007 encriptó sus archivos? La implementación técnica del cifrado no le permite descifrar archivos sin una clave o descifrador, que es solo del autor del cifrado. Tal vez haya algún tipo de forma de conseguirlo, pero no tengo dicha información. Solo tenemos que intentar restaurar los archivos con formas apropiadas. Se refiere a:

  • Herramienta copias de sombra Windows.
  • Programas de restauración de datos remotos

Para empezar, compruebe si se incluyen nuestras copias de sombra. Esta herramienta predeterminada funciona en Windows 7 y superior si no está apagado manualmente. Para verificar, abra las propiedades de la computadora y vaya a la sección Protección del sistema.

Si no ha confirmado la solicitud de UAC durante la infección para eliminar archivos en copias de sombra, algunos datos deben permanecer allí. Le conté más sobre esta solicitud al comienzo de la historia, cuando hablé sobre el trabajo del virus.

Para una conveniente recuperación de los archivos de las copias de la sombra, propongo usar el programa gratuito para este - ShadowExplorer. Descarga el archivo, desembale el programa y ejecute.

La última copia de los archivos y la raíz del disco C se abrirá. En la esquina superior izquierda, puede seleccionar una copia de seguridad si tiene varios de ellos. Revise diferentes copias para la presencia de los archivos necesarios. Compare por fechas donde la versión más reciente. En mi siguiente ejemplo, encontré 2 archivos en el escritorio de hace tres meses, cuando se editó la última vez.

Me las arreglé para restaurar estos archivos. Para hacer esto, los elegí, los presioné con el botón derecho del ratón, elegí la exportación y señalé la carpeta donde los restablecerá.

Puede restaurar la carpeta inmediatamente en el mismo principio. Si ha trabajado con copias de sombra y no las eliminas, tiene muchas oportunidades para restaurar todo, o casi todos los archivos cifrados con el virus. Tal vez algunos de ellos serán una versión anterior de lo que quisiera, pero sin embargo, es mejor que nada.

Si por alguna razón no tiene copias de sombra de los archivos, sigue siendo la única oportunidad de obtener al menos algo de los archivos cifrados: restaure usando las herramientas de recuperación de archivos remotas. Para hacer esto, propongo usar el programa Free Photorec.

Ejecute el programa y seleccione el disco en el que restaurará los archivos. La versión gráfica en ejecución del programa ejecuta el archivo. qphotorec_win.exe.. Debe seleccionar la carpeta donde se encuentran los archivos encontrados. Es mejor si esta carpeta no se encuentra en el mismo disco donde buscamos. Conecte la unidad flash USB o un disco duro externo para esto.

El proceso de búsqueda durará mucho. Al final verás estadísticas. Ahora puede ir a la carpeta previamente especificada y ver lo que se encuentra allí. Lo más probable es que los archivos sean mucho y la mayoría de ellos estarán dañados o será un sistema y archivos inútiles. Pero, sin embargo, puede encontrar parte de los archivos útiles en esta lista. No hay garantía aquí que encontrarás, encontrarás. Lo mejor, generalmente, las imágenes son restauradas.

Si el resultado no le satisface, es decir, todavía hay programas para restaurar archivos remotos. A continuación se muestra una lista de programas que generalmente utilizo cuando necesita restaurar el número máximo de archivos:

  • R.saver
  • Recuperación de archivos STARUS.
  • Recuperación JPEG PR.
  • Profesional de recuperación de archivos activos

Estos no son gratuitos, por lo que no daré enlaces. Con un gran deseo, puedes encontrarlos en internet.

El proceso de recuperación de archivos completo se muestra en detalle en el video al final del artículo.

Kaspersky, ESET Nod32 y otros en la lucha contra el cifrado FileCoder.ed

Los antivirus populares definen crypted000007 cifrado como Filecoder.ed. Y luego puede haber alguna otra designación. Corrí por los foros de los principales antivirus y no vio nada útil allí. Desafortunadamente, como de costumbre, los antivirus no estaban listos para la invasión de la nueva ola de encriptores. Aquí hay un mensaje del Foro de Kaspersky.

Los antivirus tradicionalmente extrañan nuevas modificaciones de los encriptadores de troyanos. Sin embargo, recomiendo usarlos. Si tiene suerte, y recibirá un cálculo en el correo no en la primera ola de infección, pero un poco más tarde, existe la posibilidad de que el antivirus lo ayude. Todos corren en un paso detrás de los intrusos. Hay una nueva versión del extorsionista, los antivirus no reaccionan a ella. Tan pronto como se acumula una cierta masa del material para estudiar sobre un nuevo virus, los antivirus producen una actualización y la respuesta de inicio.

Lo que evita que los antivirus reaccionen inmediatamente a cualquier proceso de cifrado en el sistema, no está claro para mí. Tal vez haya algún tipo de matiz técnico sobre este tema, lo que no permite adecuadamente reaccionar y evitar el cifrado de los archivos de usuario. Me parece que sería al menos una advertencia para mostrar el hecho de que alguien cifra sus archivos y sugiera detener el proceso.

Dónde buscar la decodificación garantizada.

Pasé de familiarizarme con una compañía que realmente descifra los datos después del trabajo de varios virus de cifrado, incluido Crypted000007. Su dirección es http://www.dr-shifro.ru. Pago solo después de la descifrado total y su cheque. Aquí hay un esquema de trabajo aproximado:

  1. El especialista de la compañía se acerca a la oficina o a la casa, y señala con usted un contrato en el que se corrige el costo del trabajo.
  2. Ejecuta el decodificador y descifra todos los archivos.
  3. Está convencido de que todos los archivos se abren, y firme un acto de aprobación / aceptación del trabajo realizado.
  4. Pago exclusivamente en el hecho del resultado exitoso de la descifrado.

Francamente, no sé cómo lo hacen, pero no estás arriesgando nada. Pago solo después de demostrar el trabajo del decodificador. Por favor, escriba una revisión sobre la experiencia de la interacción con esta empresa.

Crypted000007 Métodos de protección contra virus.

¿Cómo protegerse del trabajo del encripdor y hacer sin material material y moral? Hay varios consejos simples y eficientes:

  1. ¡Bacup! Copia de seguridad de todos los datos importantes. Y no solo una copia de seguridad, sino una copia de seguridad a la que no hay acceso permanente. De lo contrario, el virus puede infectar sus documentos y copias de respaldo.
  2. Antivirus con licencia. Aunque no dan una garantía del 100%, pero las posibilidades de evitar el aumento del cifrado. A menudo, no están listos para la nueva versión del ciflipo, pero después de 3-4 días comienzan a reaccionar. Esto aumenta sus posibilidades de evitar la infección si no ingresó en la primera ola de enviar una nueva modificación del cifrado.
  3. No abra a los accesorios sospechosos por correo. No hay nada que comentar. Todos los encriptadores conocidos conseguimos a los usuarios por correo. Además, cada vez que se inventan nuevos trucos para engañar a la víctima.
  4. No abra los enlaces sin pensamiento enviados a usted de sus conocidos a través de redes sociales o mensajeros. Entonces, también a veces propagamos los virus.
  5. Encienda las extensiones de archivo de visualización de Windows. Cómo hacerlo fácil de encontrar en internet. Esto le permitirá notar la expansión del archivo en el virus. La mayoría de las veces será .exe, .vbs., .src.. En el trabajo documentado con documentos, difícilmente se encuentra con dicha expansión de los archivos.

Intentó agregar lo que ya había escrito anteriormente en cada artículo sobre el virus de cifrado. Por ahora digo adiós. Me alegraré comentarios útiles sobre el artículo y el encriptista Crypted000007 en general.

Archivos de decodificación y recuperación de video C

Aquí hay un ejemplo de la modificación anterior del virus, pero el video es completamente relevante para Crypted000007.

Las tecnologías modernas permiten que los piratas informáticos mejoren constantemente los métodos de fraude en relación con los usuarios comunes. Como regla general, para estos fines, se utiliza el software viral, penetrando en la computadora. Los virus cifrados son particularmente peligrosos. La amenaza es que el virus se propaga muy rápidamente, cifrando archivos (el usuario simplemente no puede abrir un documento único). Y si es bastante simple, entonces mucho más difícil descifrar los datos.

Qué hacer si el virus encriptó los archivos en la computadora.

Cada uno, incluso los usuarios que tienen un poderoso software antivirus están asegurados al atacar un cifrado. Los encriptores de archivos de troyanos están representados por varios códigos, que pueden no estar bajo el antivirus. Los hackers incluso logran atacar a una gran compañía que no se encargó de la protección necesaria de su información. Por lo tanto, "Picando" en línea el cifrado del programa, es necesario tomar una serie de medidas.

Los principales signos de infección: el trabajo lento de la computadora y cambiando los nombres de los documentos (puede notar en el escritorio).

  1. Reinicie la computadora para interrumpir el cifrado. Cuando se enciende, no confirme el lanzamiento de programas desconocidos.
  2. Ejecute el antivirus si no ha sido atacado en un círculo.
  3. Las copias ayudarán a restaurar información en algunos casos. Para encontrarlos, abra las "propiedades" del documento cifrado. Este método funciona con datos de expansión de bóveda cifrados, que es información sobre el portal.
  4. Descargue la utilidad de la última versión para combatir los virus-encriptores. Las ofertas más efectivas de Kaspersky Lab.

Virus de cáliz en 2016: Ejemplos

Cuando se trata de un ataque viral, es importante comprender que el código está cambiando muy a menudo, complementado con la nueva protección contra los antivirus. Por supuesto, los programas de protección necesitan algún tiempo, ya que el desarrollador no actualiza la base. Hemos seleccionado los virus más peligrosos: encriptores de los últimos tiempos.

Ishtar ransomware

Ishtar - Encryptionman extorsionando dinero del usuario. El virus se vio en el otoño de 2016, infectado con una gran cantidad de usuarios de usuarios de Rusia y varios otros países. Se aplica con la ayuda de la distribución de correo electrónico, en la que se presentan los documentos anidados (instaladores, documentos, etc.). Ishtar infectado con Encrypperer se obtiene en nombre de la consola "Ishtar". El proceso crea un documento de prueba en el que se indica dónde buscar la contraseña. Los atacantes requieren de 3,000 a 15,000 rublos para ello.

El peligro del virus ishtar es que hoy en día no hay descifertante que ayude a los usuarios. Empresas involucradas en la creación del software antivirus, es necesario descifrar todo el código. Ahora solo puede aislar información importante (si son de particular importancia) a un medio separado, esperando la salida de la utilidad capaz de descifrar los documentos. Se recomienda reinstalar el sistema operativo.

Neitrino.

El círculo de Neitrino apareció en los espacios públicos en 2015. Sobre el principio de ataques similares a otros virus de esta categoría. Cambia los nombres de carpetas y archivos agregando "Neitrino" o "Neutrino". Decifracciones El virus está con dificultad, no todos los representantes de las compañías antivirus se toman para esto, refiriéndose a un código muy complejo. Algunos usuarios pueden ayudar a restaurar la copia de la sombra. Para hacer esto, haga clic con el botón derecho en el documento cifrado, vaya a Propiedades, la pestaña Versión anterior, haga clic en Restaurar. No será superfluo utilizar la utilidad gratuita del Laboratorio de Kaspersky.

Billetera o .wallet.

El virus de la billetera apareció a fines de 2016. En el proceso de infección, cambia el nombre de los datos al "nombre..wallet" o similar. Al igual que la mayoría de los virus del cifrado, ingresa al sistema a través de archivos adjuntos en correos electrónicos que son enviados por intrusos. Dado que la amenaza apareció recientemente, los programas antivirus no lo notan. Después de que el cifrado crea un documento en el que el estafador indica el correo para comunicarse. Actualmente, los desarrolladores de software antivirus están trabajando para descifrar el código de virus del cizcle [Correo electrónico protegido] Los usuarios de ataque solo pueden esperar. Si los datos son importantes, se recomienda guardarlos en una unidad externa, borrar el sistema.

Enigma.

El cifrado de virus enigma comenzó a infectar computadoras de usuarios rusos a fines de abril de 2016. Se utiliza el modelo de cifrado AES-RSA, que se encuentra en la mayoría de los virus exorbitables. El virus ingresa a la computadora con la ayuda de un script que el propio usuario comienza abriendo los archivos de un correo electrónico sospechoso. Todavía no hay una herramienta universal para combatir el cifrado enigma. Los usuarios autorizados con antivirus pueden solicitar ayuda en el sitio web oficial del desarrollador. También encontró una pequeña "laguna" - UAC de Windows. Si el usuario hace clic en "No" en la ventana, que aparece en el proceso de infección con el virus, podrá restaurar la información posteriormente utilizando copias de sombra.

Granit.

El nuevo granito del reglipo de virus apareció en el otoño de 2016. La infección ocurre en el siguiente script: el usuario inicia un instalador que infecta y encripta todos los datos en la PC, así como las unidades conectadas. La lucha con el virus es difícil. Para eliminar, puede usar utilidades especiales de Kaspersky, pero no ha podido descifrar el código. Tal vez ayude a la restauración de versiones anteriores de datos. Además, un especialista que tiene mucha experiencia puede descifrar, pero el servicio es caro.

Tyson.

Recientemente fue visto. Es una extensión del creatipo ya conocido no_more_ransom, que puede conocer nuestro sitio. Entra en las computadoras personales desde el correo electrónico. Mucha PC corporativa ha sido atacada. El virus crea un documento de texto con instrucciones para desbloquear, ofreciendo pagar "rescate". El círculo de Tyson apareció recientemente, por lo que no hay clave para desbloquear aún. La única forma de restaurar la información es devolver las versiones anteriores si no son eliminadas por el virus. Por supuesto, puede, por supuesto, tomar una oportunidad, transferir dinero a la puntuación especificada por los atacantes, pero no hay garantía de que recibirá una contraseña.

Spora.

A principios de 2017, varios usuarios se convirtieron en víctima del nuevo cálculo de Spora. Según el principio de operación, no es muy diferente de su compañero, pero cuenta con un rendimiento más profesional: la instrucción sobre cómo obtener una contraseña está mejor compilada, el sitio web se ve más hermoso. Una pantalla de cifrado de virus Spora en C, utiliza una combinación de RSA y AES para cifrar los datos de la víctima. El ataque era generalmente computadoras en las que se utiliza activamente el programa de contabilidad 1C. El virus, ocultando bajo el disfraz de una cuenta simple en formato.pdf, obliga a los empleados de las empresas a ejecutarla. El tratamiento aún no se ha encontrado.

1c.drop.1

Este cifrado de virus es para 1C apareció en el verano de 2016, violando el trabajo de muchos contables. Diseñado fue diseñado específicamente para computadoras utilizando software 1C. Encontrar a través del archivo en un correo electrónico a la PC, ofrece al propietario para actualizar el programa. Independientemente de lo que el usuario haga clic en el virus, el virus comenzará el cifrado. Los expertos "Dr.Web" trabajan en las herramientas de descifrado, pero aún no se han encontrado. Similar a ese código complejo que puede estar en varias modificaciones. La protección de 1C.Drop.1 es solo la vigilancia de los usuarios y el archivo regular de documentos importantes.

cÓDIGO DA VINCI.

Nuevo cifrado con un nombre inusual. Un virus apareció en la primavera de 2016. Los predecesores se caracterizan por el mejor código y el modo de cifrado resistente. DA_VINGI_CODE infecta una computadora gracias a la solicitud ejecutiva (adjunta, como regla general, a un correo electrónico), que el usuario comienza de manera independiente. CIENTO DE CÓDIGO DE DA VINCI (CÓDIGO DE DA VICIDI) Copia el cuerpo al directorio del sistema y al registro, proporcionando un inicio automático cuando se enciende Windows. Se asigna una identificación única a la computadora de cada víctima (ayuda a obtener una contraseña). Es casi imposible descifrar los datos. Puede pagar dinero a los intrusos, pero nadie garantiza la contraseña.

[Correo electrónico protegido] / [Correo electrónico protegido]

Dos direcciones de correo electrónico, que a menudo estaban acompañadas por virus cifrados en 2016. Son ellos los que sirven para comunicar a la víctima con un atacante. Las direcciones a los tipos más diferentes de virus se adjuntan: da_vinci_code, no_more_ransom y así sucesivamente. Es extremadamente recomendable comunicarse, así como transferir dinero a los estafadores. Los usuarios en la mayoría de los casos permanecen sin contraseñas. Por lo tanto, demostrando que los encriptores de los intrusos trabajan, lo que trae ingresos.

Breaking Bad.

Apareció a principios de 2015, pero se extiende activamente solo en un año. El principio de infección es idéntico a otros encriptadores: instalación de un archivo de un correo electrónico, cifrado de datos. Los antivirus ordinarios, como regla general, no notan el mal virus. Algún código no puede afectar a Windows UAC, por lo que el usuario tiene la oportunidad de restaurar las versiones anteriores de los documentos. El descifrador aún no ha introducido una sola compañía que desarrolla software antivirus.

Xtbl

Encrypedman muy común, que entregó problemas a muchos usuarios. Encontrar en la PC, el virus en cuestión de minutos cambia la extensión de los archivos por NTBL. Se crea un documento en el que el atacante extorsiona el dinero. Algunas variedades del virus de XTBL no pueden destruir los archivos para restaurar el sistema, lo que le permite devolver los documentos importantes. El propio virus puede ser eliminado por muchos programas, pero es muy difícil descifrar los documentos. Si es el propietario de un antivirus con licencia, use el soporte técnico al adjuntar muestras de datos infectados.

Kukaracha.

El círculo de Cacaracha fue visto en diciembre de 2016. El virus con un nombre interesante esconde los archivos de usuario con el algoritmo RSA-2048, que se caracteriza por una alta resistencia. Kaspersky Anti-Virus lo designó como troyan-ransom.win32.scatter.lb. Kukaracha se puede quitar de la computadora para que la infección no esté sujeta a otros documentos. Sin embargo, infectado hoy es casi imposible de descifrar (un algoritmo muy poderoso).

¿Cómo funciona un reglipo de virus?

Hay una gran cantidad de encriptadores, pero todos trabajan de acuerdo con un principio similar.

  1. Ingresando a una computadora personal. Como regla general, gracias al archivo adjunto a un correo electrónico. La instalación incluye el propio usuario abriendo el documento.
  2. Infección de archivos. Commicamente, todos los tipos de tipos de archivos están sujetos a cifrado (dependiendo del virus). Se crea un documento de texto en el que se indican los contactos para comunicarse con los intrusos.
  3. Todo. El usuario no puede acceder a ningún documento.

Medios de lucha de laboratorios populares.

Los titulares de encriptación generalizados que se reconocen como las amenazas más peligrosas para los datos de los usuarios se han convertido en un impulso para muchos laboratorios antivirus. Cada compañía popular proporciona a sus usuarios programas para ayudar a combatir los encriptadores. Además, muchos de ellos ayudan a descifrar documentos de protección de documentos.

Los virus de Kaspersky y encrybers.

Uno de los laboratorios antivirus más famosos de Rusia y el mundo ofrece hoy los medios más efectivos para combatir virus extustratorios. La primera barrera para el virus de cifrado será Kaspersky Endpoint Security 10 con las últimas actualizaciones. El antivirus simplemente no se perderá una amenaza para la computadora (sin embargo, las nuevas versiones pueden no parar). Para descifrar la información, el desarrollador presenta directamente varias utilidades gratuitas: xoristdecryptor, RakhnideCryptor y Ransomware Decryptor. Ayudan a encontrar un virus y recoger la contraseña.

Dr. Web y encriptadores

Este laboratorio recomienda utilizar su programa antivirus, cuya característica principal ha sido reservada. Almacenamiento con copias de documentos, además, protegidas del acceso no autorizado de los atacantes. Propietarios del producto autorizado Dr. La web está disponible para asistencia en soporte técnico. Los profesionales verdaderos y experimentados no siempre pueden resistir este tipo de amenazas.

ESET NUST 32 y encriptadores

Al mismo tiempo, esta compañía no se mantuvo, proporcionando a sus usuarios una buena protección contra la penetración de virus a una computadora. Además, el laboratorio lanzó recientemente una utilidad gratuita con bases de datos relevantes: Eset Crysis Decryptor. Los desarrolladores declaran que ayudará en la lucha, incluso con los encriptadores más nuevos.

El 12 de abril de 2017, la información sobre la rápida distribución en todo el mundo del oficial de cifrado de virus llamó a Wannacry, que se puede traducir como "Quiero llorar". Los usuarios tienen preguntas sobre la actualización de Windows desde el virus Wannacry.

El virus en la pantalla de la computadora se ve así:

Malvírico de virus Wannacry que todos encriptan

El virus encripta todos los archivos en la computadora y requiere una redención en la billetera de Bitcoin en la cantidad de $ 300 o $ 600 por supuestamente descifrando la computadora. Las computadoras en 150 países del mundo se infectaron con infección, la más afectada - Rusia.

Megafon, Russian Ferrocarriles, Ministerio de Asuntos Internos, Ministerio de Salud y Otras Empresas se acercaron a este virus. Entre las víctimas hay usuarios simples de Internet.

Antes de que el virus sea casi todo igual. La diferencia es quizás que en las empresas el virus se aplique a través de toda la red local dentro de la organización y infecta instantáneamente el número máximo posible de computadoras.

El virus de Wannacry encripta los archivos en las computadoras que usan Windows. En Microsoft, en marzo de 2017, se publicaron las actualizaciones de MS17-010 para varias versiones de Windows XP, Vista, 7, 8, 10.

Resulta que aquellos que están configurados para actualizar automáticamente Windows están fuera de la zona de riesgo para el virus, para la actualización se recibió de manera oportuna y podría evitarlo. No asumo que realmente lo es.

Higo. 3. Mensaje al instalar la actualización KB4012212

Actualizar KB4012212 Después de que la instalación requiera el reinicio de la computadora portátil, que realmente no me gustó, ya que es desconocido de lo que puede terminar, pero ¿dónde ir al usuario? Sin embargo, el reinicio fue bien. Así que vivimos en silencio hasta el siguiente ataque viral, y que tales ataques se dudarán, por desgracia, no tienen que hacerlo.


En cualquier caso, es importante tener que provenir de dónde restaurar el sistema operativo y sus archivos.

Actualización de Windows 8 desde Wannacry

Para una computadora portátil con Windows 8 con licencia, se instaló una actualización KB 4012598, para