Decriptarea de la codificatorul troian 293. Dr.Web este o bibliotecă de utilități gratuite. După cum se produce infecția

Sincer, nu m-am așteptat la nimic în față, poate, una dintre ultimele modificări a acestui virus. Nu cu mult timp în urmă, sunt puțin despre asta pe site-ul meu - este timpul să spunem mai mult :)

Așa cum am spus, Trojan.Encoder este un program troian care criptează fișierele utilizatorului. Soiurile de groază Sygo sunt din ce în ce mai mult și toate, conform calculelor exemplare, aproximativ 8, și anume: trojan.encoder.20, trojan.encoder.21, trojan.encoder.33, troian.encoder - 43, 44 și 45 și ultima, așa cum am înțeles, nu sunt numerotate. Autorul virusului este un anumit "corector".

Unele informații despre versiuni (informații sunt luate parte din site și parțial de pe site):

Trojan.encoder.19 - Infectarea sistemului, troianul părăsește fișierul text crited.txt cu cerința de a plăti 10 dolari pe program de decodor.

Un alt tip de troian.encoder.19 Bypass Toate mediile necoordonate și criptează fișierele cu extensii din lista următoare:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .docx, .xls, .xlsx, .ppt, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .p12, .pfx, .kwm, .pm, .sol ,. JBC, .txt, .pdf.

Trojan.encoder.20 - O nouă versiune a programului troian-extortor, în care mecanismul de criptare și generare cheie este schimbat comparativ cu troian.encoder.19.

Trojan.encoder.21 - O nouă modificare a troianului în fișierul crited.txt care necesită traducerea banilor ($ 89) numai cu un sistem specific de plată specificat de autorul de virus și să nu utilizeze astfel de sisteme ca PayPal și numerar. Pentru a distribui troian.encoder.21 utilizează site-uri cunoscute ca distribuitori activi ai troienilor. Modificările anterioare au folosit legături sau legături de unică folosință cu un timp scurt. Această caracteristică a troianului.encoder.21 poate crește dramatic ritmul distribuției sale.

Trojan.encoder.33 criptează datele utilizatorilor, dar utilizează noi mecanisme. Pericolele sunt expuse la * .txt, *. JPEG, *. JPEG, *. DOC, *. DOCX, *. XLS, pe care Troianul le are la dosare:
C: \\ Documente și setări \\ Setări locale \\ Data aplicației \\ CDD
C: \\ Documente și setări \\ Setări locale \\ Data aplicației \\ FLR
În același timp, fișierele originale sunt înlocuite cu mesajul "Fileerror_22001".

Spre deosebire de modificările anterioare, trojan.encoder.33 nu retrage niciun mesaj care solicită să plătească sume diferite de bani. În același timp, funcția de criptare a utilizatorului este efectuată de acest troian numai dacă reușește să contacteze un server extern.

Acesta din urmă diferă de noile documente de criptare cheie anterioare, precum și de noile date de contact ale atacatorului. Dr. Specialiștii web creează prompt utilități care vă permit să descifrați fișierele care au fost blocate de noile modificări Trojan.Encoder. Dar încă o dată, cea mai "proaspătă" modificare a troianului.encoder este deosebit de interesantă. Această versiune a programului Trojan adaugă un fișier de extensie criptat.drweb. Datorită contracției cu succes a troianului.encoder de către Antivirusul Dr.Web, autorul, aparent, a profitat de dorința de a "devreme" cu ajutorul memoriei mărcii noastre în titlul de fișiere criptate.

În plus, la dispoziția Specialiștilor Dr. Web, o referire la una dintre clădirile modificărilor actuale ale autorului Trojan.Encoder. Interesant, proprietarul acestei resurse încearcă să se asocieze cu "Dr. Web", folosind imaginile unui păianjen și medic, în timp ce compania nu are nimic de-a face cu astfel de site-uri. Evident, un astfel de design este folosit pentru a confunda utilizatorii neexperimentați și pentru a compromite compania "Doctor Web".

Atacatorul încearcă în orice mod să apară în fața victimelor laterale pozitive - ca persoană care ajută la restabilirea documentelor de utilizator. Pe site-ul său, el oferă pentru a vizualiza un videoclip, care demonstrează activitatea utilității de decriptare a documentelor, pentru care banii sunt extrudați.

Potrivit informațiilor disponibile, o persoană este angajată în extorsionarea de bani după criptarea fișierelor.

Analiștii companiei "Doctor Web" au dezvoltat un utilitar de decriptare și oferă tuturor utilizatorilor gratuit pentru a-și restabili fișierele. Pentru confortul utilizatorilor, noua versiune a utilității este echipată cu un modul de interfață grafic și se numește trojan.encoder decripta.

Astăzi am întâlnit unii alții (este posibil ca cea mai nouă nouă) versiunea acestui diuric, care nu este suficient ca toate Nafig să fie criptate - De asemenea, nu are un fișier crited.txt care este necesar pentru programul de decriptare de la dr. .Web pentru a reproduce fișierele înapoi. Mai mult, acest lucru este (sau nu acest lucru și un alt) lucru complet blocat accesul la AVZ și nu dau nici o modalitate de a rula pe computer. Este imposibil să despachetați arhiva descărcată și nici să se toarnă un dosar direct la computer, mai scurt se odihnește pe picioare și pe mâini, tăindu-se AVZ - baza care trăiește în folderul de bază și are extensie .Avz. Trucul cu redenumirea expansiunii sau lansarea la distanță nu a apărut. Trebuia să mă întorc. După pornirea computerului pachetului software + și curățați-l cu atenție, fără o singură repornire a computerului (este important), precum și după discresiunea manuală a proceselor stângi, elementele autoloaderii, modulele din Spațiul kernel și alte ororuri ale vieții AVZ, au reușit să ruleze. Analiza completă a sistemului de-a lungul instrument a evidențiat o întreagă tucca a problemelor, a adus un număr de viruși (codificatorul în sine a fost curățat de Drweb "Ohm), dar ... Decrypt Fișierele cu un program special nu se datorează lipsei de lipsă Crited.txt sau oricare altul aproape de ea. Și o altă soluție pe care nu o cunosc încă.

Prin urmare, toată lumea infectată, vă recomandăm cu tărie să utilizați Dr.Web Creait + Spybot pentru a începe să utilizați pachetul și apoi să contactați Dr.Web pentru ajutor în decriptarea fișierelor. Promiteți să vă ajutați și complet liber.

În cazul în care utilizatorul a luat acest virus, din păcate, nu știu.

Vă mulțumim pentru atenție și păstrați computerul în siguranță. Este important.

Salutare tuturor! Astăzi vreau să iluminez o problemă asociată cu un program rău intenționat de criptare a fișierelor pe un computer. Există o astfel de problemă după ce solicită "Ajutor! Fișierele criptate virus ", aceeași întrebare primește mulți maeștri de calculator, care uneori chiar iau ajutor, dar în cele din urmă utilizați ceea ce este descris mai jos. Și ceea ce este evident dacă virusul criptat fișierele de pe computer?! Citiți articolul până la sfârșit, pentru a fi scris, calmați-vă și începeți să acționați. Merge!

Cripii sunt varietăți ale familiei codificator troian (deci este clasificată de Dr. Web). Programul însuși criptare este adesea prins de antivirus după ceva timp dacă a ratat-o. Dar consecințele muncii lor deprimante. Ce se întâmplă dacă ați devenit victimă a acestui tip de nastiness? Să ne ocupăm. Pentru a începe, este necesar să știți aproximativ modul în care inamicul este aranjat să oprească transportul cu întrebări stupide ale tuturor și cu totul, în speranța că șamanul cu o tamburină va apărea și va decide cu privire la această problemă. Deci, virusul folosește cheile asimetrice, din câte știu, altfel ar fi atât de multe probleme cu el. Un astfel de sistem utilizează două taste, dintre care unul este criptat, celălalt decriptare. Mai mult, primul se calculează de la al doilea (dar nu invers). Să încercăm să ne imaginăm clar și ceea ce se numește degetele. Luați în considerare o pereche de desene care demonstrează în mod clar procesul de criptare și decriptarea.

Să nu intrăm în detalii despre modul în care se formează cheia deschisă. Aceste două imagini demonstrează un proces de criptare vizuală și apoi decriptarea, este cum să închideți ușa și apoi să o deschideți. Ce este într-adevăr o problemă cu un virus-criptare? Problema este că nu aveți nici o cheie. Cheile la atacator. Și algoritmi de criptare care utilizează această tehnologie sunt făcute foarte viclene. Puteți obține cumva cheia publică, studiind fișierul, dar nu are sens, pentru că aveți nevoie de o cheie secretă. Dar cu el snag. Chiar învățând cheia deschisă, secretul pentru a obține aproape imposibil. Este clar că în filme și cărți, precum și povestirile prietenilor și cunoștințelor, există niște hackeri super-d-duru, care vor descifra totul cu un Maizinz peste tastatură, hack totul în frunte și în lumea reală totul este nu atât de simplu. Voi spune că, în frunte, această sarcină nu este de rezolvat și punctul.

Și acum despre ce să faci dacă ai luat această nastiness. Nu aveți multe opțiuni. Cel mai banalt de a contacta autorul prin e-mail, pe care vă va oferi un nou fundal pentru desktop și scrieți, de asemenea, în numele fiecărui fișier ras. Aveți grijă, altfel nu veți primi fișiere de bani. Opțiunea a doua - companii antivirus, în special Dr. Web. Contactați acest suport la https://support.drweb.ru/new/free_unlocker/for_decode/?lng\u003dru. Veniți pe elementele care sunt necesare și taitare. Adevărat există unul, dar! Trebuie să utilizați antivirusul licențiat de la dr. Web dacă nu o aveți, va trebui să achiziționați o licență. În caz de succes, cererea dvs. va merge la suportul tehnic al companiei și apoi se așteaptă un răspuns. Vă rugăm să acordați o atenție deosebită că această metodă nu oferă 100% garanții pentru a decripta pe deplin toate fișierele, se datorează faptului că acestea nu sunt toate cheile și algoritmii în stoc. Alte companii antivirus sunt angajate în descifrarea, în astfel de condiții. A treia opțiune este de a contacta agențiile de aplicare a legii. Apropo, dacă creați o cerere către Dr. Web, chiar și ei vă vor spune despre asta. Varianta celei de-a treia poate fi prelungită și nereușită (cu toate acestea, ca primii doi), dar dacă a reușit, atacatorul va fi pedepsit și va dăuna oamenilor mai puțin, iar cheia va fi transferată companiilor antivirus. Există, de asemenea, cea de-a patra opțiune - veți încerca fără succes să găsiți un miracol al maestrului, care cumva a extins un mod super-secret. Băieți înainte! Dar gândiți-vă! Dacă companiile antivirus nu oferă 100% garanții și recomandă contactarea poliției, atunci ce altceva să caute? Nu pierdeți timpul și banii, fiți realiști.

Rezumat. Din păcate, mulți oameni sunt ofensați de maeștri care îi trimit poliției sau la o companie anti-virus, cerșind să-i ajute, dar utilizatorii noștri scumpi, înțeleg, stăpânii nu sunt omnipot, și aici aveți nevoie de cunoștințe excelente în criptografie și ei este puțin probabil să ajute. Prin urmare, utilizați cele trei metode de mai sus, dar cu primul gunoi (Extreme), este mai bine să contactați organele și, în paralel, încercați să economisiți cel puțin ceva cu ajutorul specialiștilor de la compania anti-virus.
Da, apropo, apelul la poliție va ajuta alte victime și dacă toată lumea încearcă să facă acest lucru, infecția acestui lucru va deveni de mai multe ori mai puțin, deci gândiți-vă nu numai despre dvs., ci și alți oameni. Și totuși să fiți pregătiți pentru ceea ce este posibil în afară de autorul virusului nu vă mai rezolvă problema! Prin urmare, faceți o ieșire importantă pentru fișierele de valoare de dvs. și RAM în mai multe cazuri pe diferite dispozitive sau utilizați servicii cloud.

Windows Trojan.Encoder.19 Deciner. - Utilitatea de decripție de la compania "Doctor Web" pentru programul Trojan Trojan.Encoder.19. Infectarea sistemului, troianul lasă un fișier text crited.txt Expening $ 10 PER program:

Fișierele dvs. sunt criptate! Decifranger costă 10 $! Citește mai mult: http: //decryptor.****** E-mail: [E-mail protejat]****** ICQ: ******* S / N BF_3-PUCHT $ + BM5 Nu ștergeți și nu modificați acest fișier !!!

Instructiuni de folosire

1. Rulați decriptarea fișierelor pe întregul C: disc. Pentru a face acest lucru, executați programul cu următorii parametri ai liniei de comandă:

   De exemplu:

2. Fișierele pe disc C: vor fi decriptate. La finalizarea utilității, utilitatea de lângă fișierele criptate. CRYPT trebuie să pară fișiere decriptate fără finalizare. CRYPT. Nu sunt necesare fișiere criptate, deoarece Posibilitatea unei decriptări incorecte nu este exclusă.

ATENŢIE! Noi categoric nu recomandăm motive de plată pentru răscumpărare. În plus, vă rugăm să ne rugăm ca utilizatorii să nu încerce să reinstaleze sistemul și să-l restabilească de la backup-uri, ci să caute ajutor în asistență tehnică sau la secțiunea specială a Forumului Oficial al Doctor Web.

Dacă nu ați reușit să descifrați unele fișiere, trimiteți la adresa [E-mail protejat] Fișierul cripted.txt de la rădăcina discului C: și mai multe eșantioane fișiere criptate.

Specialiștii companiei Dr. Web Anti-Virus au dezvoltat o metodă pentru decriptarea fișierelor care au fost inaccesibile ca urmare a unui codificator troian periculos Trojan.encoder.2843. cunoscute utilizatorilor sub numele de "boltă".

Această versiune a criptării, obținută de Clasificarea Dr.Web Trojan.encoder.2843. , se aplică activ către intruși cu ajutorul trimiterii în masă. Ca atașament, un mic fișier care conține un script JavaScript este utilizat ca atașament. Acest fișier extrage o aplicație care îndeplinește acțiunile rămase necesare pentru a asigura lucrarea encoderului. Această versiune a troian-criptare este distribuită din 2 noiembrie 2015.

Principiul funcționării acestui program rău intenționat este, de asemenea, foarte curios. O bibliotecă dinamică criptată (.dll) este înregistrată în Registrul Windows Registry, iar Troianul încorporează un cod mic care citește fișierul din registrul de memorie, decripteze și transferuri controlează acest lucru.

Lista fișierelor criptate Trojan.encoder.2843. De asemenea, magazinele din registrul de sistem și pentru fiecare dintre acestea utilizează o cheie unică formată din litere de capital latin. Criptarea fișierelor se efectuează utilizând algoritmii BKFISH-BAC, cheia sesiunii este criptată utilizând RSA utilizând interfața Cryptoapi. Fiecare fișier criptat este atribuit extinderii.

Specialiștii companiei "Doctor Web" au dezvoltat o tehnică specială, în multe cazuri permițând fișierele deteriorate de acest troian. Dacă ați devenit victimă a unui program rău intenționat Trojan.encoder.2843. Profitați de următoarele recomandări:

• se referă la declarația corespunzătoare din poliție;
• În nici un caz, încercați să reinstalați sistemul de operare, "optimizați" sau "curățați" folosind orice utilități;
• nu ștergeți fișierele de pe computer;
• nu încercați să restaurați fișierele criptate;
• contactați pe dr. Web Support Tehnic (acest serviciu este gratuit pentru licențele comerciale DR.WEB);
• la biletul atașați orice fișier criptat de troian;
• așteptați ca specialistul de asistență tehnică; Datorită numărului mare de cereri, acest lucru poate dura ceva timp.

Vă reamintim că serviciile pentru decodificare sunt doar proprietarii de licențe comerciale pentru produsele anti-virus Dr.Web. Doctorul Web nu oferă o garanție completă de decriptare a tuturor fișierelor deteriorate ca urmare a unui encoder de fișier, dar experții noștri vor depune toate eforturile pentru a salva informațiile criptate.

Dacă sistemul este infectat cu un program rău intenționat de familii de troian-ransom.win32.rannoh, troian-ransom.win32.autoit, troian-ransom.win32.fury, trojan-ransom.win32.crybola, troian-ransom.win32. Cryakl sau Trojan-Ransom. Win32.Cryptxxx, toate fișierele de pe computer vor fi criptate după cum urmează:

• Când este infectat de troian-ransom.win32.rannoh, numele și extensiile se vor schimba prin șablonul blocat<оригинальное_имя>.<4 произвольных буквы>.
• Când este infectat de Trojan-Ransom.win32.cryakl, se adaugă o etichetă la sfârșitul conținutului fișierelor.
• Când este infectat de Trojan-Ransom.win32. ExtensiaAutoit Extensia variază de șablon<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  De exemplu, [E-mail protejat]_.Rzwdtdic.
• Când este infectat de troian-ransom.win32.cryptxxx, extensia variază în funcție de șabloane<оригинальное_имя>.criptă,<оригинальное_имя>.Crypz I.<оригинальное_имя>.Cryp1.

Utilitarul RanhnohdeCryptor este conceput pentru a decripta fișierele după infecție troian-ransom.win32.polyglot, troian-ransom.win32.rannoh, troian-ransom.win32.autoit, troian-ransom.win32.fury, trojan-ransom.win32.crybola, Trojan ransom.win32.cryakl sau troian-ransom.win32.cryptxxx Versiunile 1, 2 și 3.

Cum de a vindeca sistemul

Pentru a vindeca un sistem infectat:

1. Descărcați fișierul rannohdecryptor.zip.
2. Rulați fișierul rannohdecryptor.exe pe o mașină infectată.
3. În fereastra principală, faceți clic pe Începeți verificarea.

1. Specificați calea către fișierul criptat și necriptat.
   Dacă fișierul este criptat de troian-ransom.win32.cryptxxx, specificați cele mai mari fișiere. Decodarea va fi disponibilă numai pentru fișiere egale sau mai mici.
2. Așteptați fișierele criptate de căutare și decriptare.
3. Reporniți computerul dacă este necesar.
4. după blocat-<оригинальное_имя>.<4 произвольных буквы>Pentru a șterge copii ale fișierelor criptate ale unei vizualizări de decriptare de succes, selectați.

Dacă fișierul a fost criptat de Trojan-Ransom.win32.cryakl, utilitarul va salva fișierul în locul vechi cu extensia. Decriptedklr. Origin_exing. Dacă ați ales Ștergeți fișierele criptate după decriptarea cu succesFișierul de tavă va fi salvat de un utilitar cu numele original.

1. În mod implicit, utilitarul afișează un raport la rădăcina discului de sistem (discul pe care este instalat sistemul de operare).

   Numele raportului are următoarea formă: nume de nume. Dispozitive_data_log.txt

   De exemplu, C: \\ RannohdeCryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

În sistemul infectat de troian-ransom.win32.cryptxxx, utilitarul scanează numărul limitat de formate de fișiere. Când un utilizator este selectat de fișierul criptxxx v2, recuperarea cheie poate dura mult timp. În acest caz, utilitatea arată un avertisment.