Navodila za odstranjevanje odkupne programske opreme Mailto
Kaj je Mailto?
Odkril GrujaRS , Mailto (znan tudi kot NetWalker ) je zlonamerna programska oprema in posodobljena različica Kokoklock ransomware. Mailto šifrira datoteke in s tem postane neuporabne. Program šifrira podatke in preimenuje datoteke z e-poštnim naslovom razvijalca in končnico, ki vsebuje edinstveni ID žrtve (npr. ' .e85fb1 '). Na primer ' 1.jpg 'se lahko preimenuje v' 1.jpg.mailto [Hamlampampom@cock.li] .e85fb1 '. Ko je šifriranje končano, Mailto shrani besedilno datoteko v obliki ' žrtev's_ID-Readme.txt '(npr.' E85FB1-Readme.txt ') na namizju.
Sporočilo v besedilni datoteki obvešča uporabnike, da so bili njihovi podatki šifrirani. Da bi jo obnovili, naj se obrnejo na kiber kriminalce, ki so odgovorni za šifriranje. Žrtev spodbujamo, da se prek posredovanih e-poštnih naslovov obrnejo na razvijalce podjetja Mailto - tako se bodo lahko naučili, kako dešifrirati svoje datoteke in / ali plačati odkupnino. Vsaka žrtev z datotekami, okuženimi s to izsiljevalsko programsko opremo, prejme enolično ID / osebno kodo, podrobno opisano v besedilni datoteki. Ta koda mora biti vključena v odgovor na e-pošto. Poleg tega lahko uporabniki za dešifriranje brezplačno priložijo eno datoteko. Na splošno lahko samo kiber kriminalci dešifrirajo podatke, ki jih ogroža njihova programska oprema. Mailto in podobni programi uporabljajo močna šifriranja, ki jih je skoraj nemogoče 'razbiti'. Upoštevajte, da kiber kriminalcem nikoli ni mogoče zaupati - pogosto ne ponujajo programske opreme / orodij za dešifriranje, tudi če so plačani. Če so zahteve po odkupnini izpolnjene, žrtve v zameno ne prejmejo ničesar in podatki se izgubijo. Edini način za obnovitev šifriranih datotek je iz varnostne kopije, če je bila ta ustvarjena pred šifriranjem.
Posnetek zaslona sporočila, ki uporabnike spodbuja, da plačajo odkupnino za dešifriranje svojih ogroženih podatkov:
Mailto je podoben StuardRitchi , Caleb , Šerminator in številni drugi programi tipa izsiljevalec. Vsi šifrirajo podatke in zahtevajo plačilo odkupnine za dešifriranje datotek. Razlike so v uporabljenem kriptografskem algoritmu ( simetrično ali asimetrično ) in velikost odkupnine (običajno med tri- in štirimestnimi vsotami). V večini primerov je ročno dešifriranje (brez sodelovanja kiber kriminalcev) nemogoče, razen če je izsiljevalska programska oprema še v razvoju in / ali ima napake / napake. Za zagotovitev varnosti podatkov hranite varnostne kopije na oddaljenih strežnikih in / ali odklopljenih napravah za shranjevanje. Ker lahko tudi ti poškodujejo, shranite več varnostnih kopij na različnih lokacijah.
Kako je ransomware okužil moj računalnik?
Odkupna programska oprema in druga zlonamerna programska oprema se širi na več načinov: s trojanskimi programi, neželeno akcijo, nezanesljivimi kanali za prenos, orodji za 'pokanje' (aktivacijo) programske opreme in ponarejenimi posodobitvami. Trojanci so zlonamerni programi, namenjeni povzročanju verižnih okužb. Izvajajo lopovski prenos / namestitev druge zlonamerne programske opreme. Zlonamerna vsebina se širi tudi prek različnih e-poštnih prilog (npr. Izvršljive in arhivske datoteke, dokumenti Microsoft Office in PDF, JavaScript in drugi). Ta zavajajoča e-poštna sporočila se pošiljajo prek obsežnih neželenih kampanj in so pogosto označena kot „pomembna“ ali „uradna“. Nezaupljivi viri prenosov širijo tudi zlonamerno programsko opremo. Sem spadajo omrežja za enakovredno izmenjavo (npr. BitTorrent, Gnutella, eMule itd.), Spletna mesta za brezplačno gostovanje datotek, tretji prenosniki in drugi podobni viri. Orodja za razbijanje programov pogosto namestijo zlonamerno programsko opremo in ne aktivirajo licenčne programske opreme. Ponarejeni posodabljalniki delujejo na podoben način - namesto da posodabljajo programe, izkoriščajo napake / napake in namestijo zlonamerno vsebino.
| Ime | Mailto virus |
| Vrsta grožnje | Ransomware, kripto virus, omarica datotek. |
| Razširitev šifriranih datotek | .mailto [Hamlampampom@cock.li], čemur sledi edinstveni ID žrtve (npr. '.mailto [Hamlampampom@cock.li] .e85fb1') |
| Odkupno zahtevno sporočilo | žrtev's_ID-Readme.txt |
| Kiber kriminalni stik | hamlampampom@cock.li, galgalgalhalk@tutanota.com, sevenoneone@cock.li, kavariusing@tutanota.com |
| Imena zaznavanja | Avast (Win32: trojanski gen), BitDefender (gen: Variant.Razy.553720), ESET-NOD32 (različica Win32 / Filecoder.NXP), Kaspersky (HEUR: Trojan.Win32.Generic), celoten seznam odkritij ( VirusTotal ) |
| Simptomi | Datotek, shranjenih v računalniku, ni mogoče odpreti, prej delujoče datoteke imajo zdaj drugo pripono (na primer my.docx.locked). Na namizju se prikaže sporočilo o odkupnini. Kiber kriminalci zahtevajo plačilo odkupnine (običajno v bitcoinih), da odklenejo vaše datoteke. |
| Metode distribucije | Okužene priloge e-pošte (makri), hudourniške spletne strani, zlonamerni oglasi. |
| Škoda | Vse datoteke so šifrirane in jih ni mogoče odpreti brez plačila odkupnine. Dodatne trojanske programe in okužbe z zlonamerno programsko opremo, ki kradejo gesla, je mogoče namestiti skupaj z okužbo z odkupno programsko opremo. |
| Odstranjevanje zlonamerne programske opreme (Windows) | Da bi odpravili morebitne okužbe z zlonamerno programsko opremo, skenirajte računalnik z zakonito protivirusno programsko opremo. Naši raziskovalci varnosti priporočajo uporabo programske opreme Malwarebytes. |
Kako se zaščititi pred okužbami z odkupno programsko opremo
Prilog, vključenih v e-poštna sporočila, prejeta od sumljivih / neznanih pošiljateljev, se nikoli ne sme odpreti. Ta e-poštna sporočila so pogosto prikrita kot „uradna“, „pomembna“, „nujna“ ali drugače označena kot prednostna pošta. Kljub tem zavajajočim oznakam pravzaprav ne bi smeli odpirati nepomembnih e-poštnih sporočil. Prenos programske opreme samo iz uradnih in preverjenih virov. Izogibajte se neuradnim in nezaupljivim spletnim mestom za nalaganje, omrežjem za enakovredno izmenjavo in drugim prenosnikom tretjih oseb. Programsko opremo, ki je prisotna v sistemu, je treba posodabljati s pomočjo funkcij / orodij, ki jih nudi uradni razvijalec. Enako velja za aktivacijo programske opreme. Nezakonita orodja za aktiviranje ('razpoke') lahko povzročijo okužbe sistema. Namestite in posodobite ugledno zbirko protivirusnih / vohunskih programov. Ti programi se lahko uporabljajo za redno pregledovanje sistema za odkrivanje in odpravljanje potencialnih groženj. Če je vaš računalnik že okužen z Mailto, priporočamo, da zaženete pregled z Malwarebytes za Windows za samodejno odpravo te odškodninske programske opreme.
Besedilo, predstavljeno v besedilni datoteki ransomware Mailto (' žrtev's_ID-Readme.txt '):
++++++++++++++++++++++++++
---
Kaj se je zgodilo ?
---Datoteke so šifrirane in trenutno niso na voljo.
Lahko ga preverite: vse datoteke v računalniku imajo razširitev e85fb1.
Mimogrede, vse je mogoče obnoviti, vendar morate upoštevati naša navodila.
V nasprotnem primeru podatkov ne morete vrniti.---
Kakšna jamstva?
---To je samo posel. Popolnoma nas ne skrbi za vas in vaše posle, razen za pridobivanje
koristi. Če ne opravimo svojega dela in obveznosti - nihče ne bo sodeloval z nami.
To ni v našem interesu.
Če želite preveriti sposobnost vračanja datotek, nam pišite po e-pošti.
Tam lahko eno datoteko dešifrirate brezplačno. To je naše jamstvo.---
Kako stopiti v stik z nami?
---Pošljite nam e-pošto:
1. Hamlampampom@cock.li
2. Galgalgalhalk@tutanota.comsevenoneone@cock.li
kavariusing@tutanota.comkkeessnnkkaa@cock.li
hhaaxxhhaaxx@tuta.ioknoocknoo@cock.li
eeeooppaaaxxx@tuta.ioV pismo vključite svojo osebno kodo:
-
Posnetek zaslona datotek, ki jih je šifriral Mailto (naključna pripona):
Posodobitev 6. februarja 2020 - Razvijalci odkupne programske opreme Mailto (NetWalker) so pred kratkim začeli ciljati na različna omrežja podjetij, da bi ustvarili velike prihodke. Podjetja bodo verjetno imela dragocenejše datoteke in podatke kot običajni uporabniki. Poleg tega te datoteke pogosto vsebujejo občutljive podatke (npr. Osebni podatki strank, podatki o izdelkih [kot so patenti, sestavine in podobno), podatki o zaposlenih itd.) Zato podjetja veliko bolj verjetno razmislijo o plačilu za dešifriranje, in tako izsiljevanje postane zločincem lažje. Poleg tega bodo podjetja verjetno plačala več, kot recimo domači uporabnik, ki želi pridobiti glasbeno zbirko, fotografije itd. Ta vrsta osebnih podatkov ima omejeno vrednost, zato imajo verjetnost, da bodo storilci kaznivih dejanj prihodek izsiljevanje podjetij in ne domačih uporabnikov. Poleg tega je bila izdana posodobljena različica odkupne pošte Mailto, čeprav je njeno vedenje skoraj enako. Edina razlika so navedeni e-poštni naslovi in podrobnosti znotraj odkupnega sporočila.
Posnetek zaslona posodobljenega sporočila odkupne pošte Mailto (' random_string-Readme.txt '):
Besedilo, predstavljeno v tej datoteki:
Živjo!
Datoteke so šifrirane.
Vse šifrirane datoteke tega računalnika imajo pripono: .f5be7-
Če ste iz nekega razloga prebrali to besedilo, preden se je šifriranje končalo,
to lahko razumemo z dejstvom, da računalnik upočasni,
in vaš srčni utrip se je povečal zaradi zmožnosti izklopa,
potem priporočamo, da se odmaknete od računalnika in sprejmete, da ste bili ogroženi,
ponovni zagon / zaustavitev bo povzročil izgubo datotek brez možnosti obnovitve in niti bog vam ne bo mogel pomagati,
lahko gre za datoteke v omrežju, ki pripadajo drugim uporabnikom, ste prepričani, da želite prevzeti to odgovornost?-
Naši algoritmi za šifriranje so zelo močni in vaše datoteke so zelo dobro zaščitene, brez naše pomoči si jih ne morete obnoviti.
Edini način za vrnitev datotek je sodelovanje z nami in pridobitev programa za dešifriranje.
Datotek ne poskušajte obnoviti brez programa za dešifriranje, lahko jih poškodujete in jih potem ne bo mogoče obnoviti.Svetujemo vam, da nas kontaktirate čim prej, sicer obstaja verjetnost, da vaše datoteke ne bodo nikoli vrnjene.
Za nas je to samo posel in v dokaz vaše resnosti vam bomo brezplačno dešifrirali nekaj datotek,
vendar na vaše pismo še dolgo ne bomo čakali, pošto lahko zlorabljamo, gremo naprej, pohitite z odločitvijo.Pišite nam:
1.sevenoneone@cock.li
2.kavariusing@tutanota.comNe pozabite vključiti svoje kode v e-poštno sporočilo:
-
Posnetek zaslona datotek, šifriranih s posodobljeno izsiljevalsko programsko opremo Mailto (naključna razširitev ostane):
Posnetek zaslona posodobljenega postopka ransomware Mailto (preoblečen v ' Lepljivo geslo ') v upravitelju opravil sistema Windows:
Posodobitev 12. marca 2020 - Kriminalci so izdali še eno različico odkupne programske opreme Mailto (NetWalker). Imena datotek so zdaj dodana z naključno pripono in odkupno sporočilo ('[ [random_string] -Readme.txt ') je tudi nekoliko drugačen.
Posnetek zaslona posodobljenega sporočila o odkupnini Mailto (NetWalker):
So finden Sie die größten Dateien auf Ihrem Mac
Besedilo, predstavljeno v tej datoteki:
Živjo!
Datoteke so šifrirane.
Vse šifrirane datoteke tega računalnika imajo pripono: .8fec81-
Če ste iz nekega razloga prebrali to besedilo, preden se je šifriranje končalo,
to lahko razumemo z dejstvom, da računalnik upočasni,
in vaš srčni utrip se je povečal zaradi zmožnosti izklopa,
potem priporočamo, da se odmaknete od računalnika in sprejmete, da ste ogroženi.
Ponovni zagon / zaustavitev povzroči izgubo datotek brez možnosti obnovitve.-
Naši algoritmi za šifriranje so zelo močni in vaše datoteke so zelo dobro zaščitene,
edini način za vrnitev datotek je sodelovanje z nami in pridobitev programa za dešifriranje.Datotek ne poskušajte obnoviti brez programa za dešifriranje, lahko jih poškodujete in jih potem ne bo mogoče obnoviti.
Za nas je to samo posel in v dokaz naše resnosti vam bomo eno datoteko dešifrirali brezplačno.
Preprosto odprite našo spletno stran, naložite šifrirano datoteko in brezplačno pridobite dešifrirano datoteko.-
Koraki za dostop do našega spletnega mesta:
1. Prenesite in namestite tor-brskalnik: hxxps: //torproject.org/
2. Odprite naše spletno mesto: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion
3. V obrazec za vnos vnesite svojo osebno kodo:
-
Posnetek zaslona datotek, šifriranih s to izsiljevalsko programsko opremo (naključna pripona):
Videz posodobljenega spletnega mesta Tor za odškodninsko programsko opremo Mailto (NetWalker) (GIF):
Besedilo, predstavljeno na tej spletni strani:
Zavihek 'Plačilo':
Datoteke so šifrirane.
Edini način za dešifriranje datotek je nakup programa za dešifriranje.
Vaš uporabniški ključ: 30CAB775, zapišite ga in z njim znova prijavite.
Račun za plačilo
Ostalo vam je 9 dni 23 ur 59 minut 36 sekund
Stanje: Čakanje na plačilo
Program za dešifriranje lahko kupite za svoje računalnike.
Znesek pred povečanjem znaša 2000 USD (0,21740000 BTC).
Če pred 22.03.20 [05:01] ni plačila, se bo cena povečala za x2-krat in bo znašala 4000 $ (0,43480000 BTC)
Dešifriranje za: RAČUNALNIK (-E): code_8fec81
-
Znesek za plačilo: 0,21740000 BTC
Plačali ste: 0,00000000 BTC
Zavihek 'Brezplačno dešifriranje':
Za test lahko brezplačno naložimo in dešifriramo 3 slike ali datoteke dokumentov
Datoteka mora biti manjša od 3 megabajtov.
Dovoli formate: .jpg, jpeg, .png, .bmp, .doc, .docxIzberite datoteko ali jo povlecite sem
Zavihek »Pogosta vprašanja«:
1. Kje kupiti bitcoin?
1) Najhitrejši in najbolj zanesljiv način je, da uporabite pomoč podjetja Cyber Security IT, ki vam bodo lahko rešila vsa vprašanja.
2) Kupite bitcoin z gotovino, z Googlom poiščite prodajalce.
Potrebovali boste bitcoin denarnico, priporočamo, da jo uporabite: hxxps: //login.blockchain.com/#/signup
3) Najpočasneje je kupiti bitcoin na borzi. Izmenjava zahteva preverjanje, ta postopek lahko traja več dni.
Seznam borz:
1) hxxps: //localbitcoins.com
2) hxxps: //blockchain.com
3) hxxps: //www.coindesk.com
4) Druga izmenjava.2. Kako dolgo po plačilu bom lahko dobil program za dešifriranje?
Program za dešifriranje boste lahko prenesli takoj, ko bo vaša transakcija prejela še 3 potrditve.
To običajno traja od 30 minut do 3 ure.
(Odvisno od velikosti provizije. Nikoli ne določite ničelne provizije, uporabite povprečno / visoko provizijo.)3. Na klepet sem poslal sporočilo, kako dolgo čakam na odgovor?
Povprečni odzivni čas na sporočila je 2 uri.
Najdaljši odzivni čas je 12 ur.4. Kako se lahko prepričam, da lahko dešifrirate moje datoteke?
Ko se prijavite, se preveri vaša uporabniška koda ali uporabniški ključ in iščejo vaši ključi.
Če ste prijavljeni, najdete svoje ključe.
Za zagotovitev lahko brezplačno dešifrirate 3 fotografije (slike) in datoteke dokumentov v razdelku 'brezplačno dešifriranje'5. Kako se lahko prepričam, da mi boste po plačilu dali program za dešifriranje?
To je samo posel. Cenimo naše ime, tako da boste po plačilu zagotovo dobili program za dešifriranje.6. Koliko časa traja dešifriranje datotek?
Dešifriranje datotek je zelo hiter postopek, vse je odvisno od števila šifriranih datotek, pa tudi od njihove lokacije HDD / omrežja.7. Kaj pa, če po prejemu programa za dešifriranje ne morem dešifrirati datotek?
To je izključeno, vaše datoteke bodo 100% dešifrirane.
Po plačilu boste skupaj s programom za dešifriranje prejeli navodila za dešifriranje.
Odgovorili bomo na vsa vprašanja o dešifriranju datotek v klepetu.
Skupaj s programom za dešifriranje dobite tehnično podporo.
Posodobitev 23. marca 2020 - Kiber kriminalci so pred kratkim začeli a E-poštna neželena akcija, povezana s koronavirusom za širjenje odkupne programske opreme Mailto (NetWalker).
Posodobitev 27. marca 2020 - Pred tednom dni so kiber kriminalci začeli pridruženo kampanjo, da bi Mailto (NetWalker) zagotovili Ransomware kot storitev (RaaS). Zato lahko vsakdo sodeluje z razvijalci ransomware, da bi zaslužil prihodek. Kiber kriminalci nudijo vsa potrebna orodja za okužbo, podružnica pa mora poskrbeti za širjenje odkupne programske opreme. Trenutno ni potrjeno, ali razvijalci zahtevajo naročnino / enkratno plačilo ali odstotek dobička, ki ga podružnica ustvari. RaaS se promovira na različnih hekerskih forumih.
Primer objave na forumu, ki se uporablja za promocijo Mailto (NetWalker) kot RaaS (izvirno besedilo je v ruščini in primer je preveden):
Posodobitev 15. maja 2020 - Razvijalci odkupne programske opreme NetWalker so pred kratkim začeli puščati podatke, ukradene njihovim žrtvam. Podatki so na voljo v njihovem spletnem dnevniku in njihovi podatki pricurljajo le tistim žrtvam, ki se niso strinjale s plačilom odkupnin. Poleg tega razvijalci večinoma puščajo informacije, ukradene različnim podjetjem, podjetjem itd., Ker imajo veliko več virov kot običajni domači uporabniki, zato se lahko sčasoma dogovorijo za plačilo v zameno za izbris in odstranitev podatkov s spletne strani.
Posnetek zaslona spletnega dnevnika o uhajanju podatkov izsiljevalske programske opreme NetWalker:
Odstranitev programske opreme Mailto:
Takojšnje samodejno odstranjevanje zlonamerne programske opreme: Ročno odstranjevanje groženj je lahko dolgotrajen in zapleten postopek, ki zahteva napredno računalniško znanje. Malwarebytes je profesionalno orodje za samodejno odstranjevanje zlonamerne programske opreme, ki je priporočljivo, da se znebite zlonamerne programske opreme. Prenesite ga s klikom na spodnji gumb:
▼ PRENESI Malwarebytes S prenosom katere koli programske opreme, navedene na tem spletnem mestu, se strinjate z našo Politika zasebnosti in Pogoji uporabe . Če želite uporabljati polno predstavljeni izdelek, morate kupiti licenco za Malwarebytes. Na voljo 14-dnevno brezplačno preskusno obdobje.
Hitri meni:
- Kaj je virus Mailto?
- KORAK 1. Prijava odškodninskih programov oblastem.
- 2. KORAK Osamitev okužene naprave.
- 3. KORAK Prepoznavanje okužbe z odkupno programsko opremo.
- 4. KORAK Iskanje orodij za dešifriranje ransomware.
- 5. KORAK. Obnavljanje datotek z orodji za obnovitev podatkov.
- 6. KORAK. Ustvarjanje varnostnih kopij podatkov.
Če ste žrtev napada ransomware, priporočamo, da ta incident prijavite oblastem. Z zagotavljanjem informacij organom kazenskega pregona boste pomagali slediti kibernetski kriminaliteti in morda pomagali pri pregonu napadalcev. Tu je seznam organov, pri katerih bi morali prijaviti napad izsiljevalske programske opreme. Za celoten seznam lokalnih centrov za kibernetsko varnost in informacije o tem, zakaj bi morali prijaviti napade ransomware, preberite ta članek .
Seznam lokalnih oblasti, kjer je treba poročati o napadih izsiljevalske programske opreme (izberite enega, odvisno od vašega prebivališča):
- UPORABE - Internetni center za pritožbe zaradi kriminala IC3
- Združeno kraljestvo - Akcijska prevara
- Španija - Nacionalna policija
- Francija - Ministrstvo za notranje zadeve
- Nemčija - policijo
- Italija - Državna policija
- Nizozemska - Kazenskega pregona
- Poljska - Policija
- Portugalska - Sodna policija
Osamitev okužene naprave:
Nekatere okužbe tipa odškodninske programske opreme so zasnovane tako, da šifrirajo datoteke v zunanjih pomnilniških napravah, jih okužijo in celo širijo po celotnem lokalnem omrežju. Iz tega razloga je zelo pomembno, da okuženo napravo (računalnik) čim prej izoliramo.
Korak 1: Prekinite povezavo z internetom.
Najlažji način, da računalnik odklopite iz interneta, je, da Ethernet kabel odklopite z matične plošče, vendar so nekatere naprave povezane prek brezžičnega omrežja in nekaterim uporabnikom (zlasti tistim, ki niso posebej tehnično podkovani) se morda zdijo odklopni kabli težavno. Zato lahko sistem prek nadzorne plošče odklopite tudi ročno:
Pomaknite se do Nadzorna plošča ', kliknite iskalno vrstico v zgornjem desnem kotu zaslona, vnesite' Center za omrežja in skupno rabo 'in izberite rezultat iskanja: 
Kliknite » Spremenite nastavitve adapterja 'v zgornjem levem kotu okna: 
Z desno miškino tipko kliknite vsako povezavo in izberite ' Onemogoči '. Ko je sistem onemogočen, ne bo več povezan z internetom. Če želite znova omogočiti povezovalne točke, preprosto znova kliknite znova in izberite ' Omogoči '. 
2. korak: Izključite vse naprave za shranjevanje.
Kot smo že omenili, lahko izsiljevalska programska oprema šifrira podatke in prodre v vse naprave za shranjevanje, ki so povezane z računalnikom. Zaradi tega je treba vse zunanje pomnilniške naprave (bliskovne pogone, prenosne trde diske itd.) Takoj odklopiti, vendar vam toplo priporočamo, da vsako napravo pred odklopom odstranite, da preprečite poškodbe podatkov:
Pomaknite se do Moj računalnik ', z desno miškino tipko kliknite vsako povezano napravo in izberite' Izmet ': 
3. korak: Odjava iz računov za shranjevanje v oblaku.
Nekateri izsiljevalski programi bi lahko ugrabili programsko opremo, ki obdeluje podatke, shranjene v ' oblak '. Zato bi lahko bili podatki poškodovani / šifrirani. Iz tega razloga se morate odjaviti iz vseh računov za shranjevanje v oblaku v brskalnikih in drugi sorodni programski opremi. Razmislite tudi o začasni odstranitvi programske opreme za upravljanje v oblaku, dokler okužba ni popolnoma odstranjena.
Ugotovite okužbo z odkupno programsko opremo:
Za pravilno ravnanje z okužbo jo je treba najprej prepoznati. Nekatere okužbe z odkupno programsko opremo kot uvod uporabljajo sporočila o odkupnini (glejte spodnjo besedilno datoteko za odkupnino WALDO).
To pa je redko. V večini primerov okužbe z odkupno programsko opremo pošiljajo bolj neposredna sporočila, v katerih preprosto navajajo, da so podatki šifrirani in da morajo žrtve plačati nekakšno odkupnino. Upoštevajte, da okužbe tipa ransomware običajno generirajo sporočila z različnimi imeni datotek (na primer ' _readme.txt ',' PREBERI ME.txt ',' DECRYPTION_INSTRUCTIONS.txt ',' DECRYPT_FILES.html 'itd.). Zato se zdi, da je uporaba imena odkupnega sporočila dober način za prepoznavanje okužbe. Težava je v tem, da je večina teh imen generičnih in nekatere okužbe uporabljajo ista imena, čeprav so dostavljena sporočila drugačna in okužbe same niso povezane. Zato je lahko samo uporaba datoteke s sporočilom neučinkovita in celo povzroči trajno izgubo podatkov (na primer s poskusom dešifriranja podatkov z orodji, zasnovanimi za različne okužbe z izsiljevalsko programsko opremo, bodo uporabniki verjetno trajno poškodovali datoteke in dešifriranje ne bo več mogoče tudi s pravilnim orodjem).
Drug način prepoznavanja okužbe z izsiljevalsko programsko opremo je preverjanje končnice datoteke, ki je dodana vsaki šifrirani datoteki. Okužbe z odkupno programsko opremo pogosto imenujejo razširitve, ki jih dodajo (glejte datoteke, ki jih šifrira Qewe ransomware spodaj).
Ta metoda pa je učinkovita le, če je dodana razširitev edinstvena - številne okužbe z izsiljevalsko programsko opremo dodajo generično razširitev (na primer ' .šifrirano ',' .enc ',' .šifrirano ',' .zaklenjeno 'itd.). V teh primerih prepoznavanje odkupne programske opreme po njeni priloženi razširitvi postane nemogoče.
Eden najlažjih in najhitrejših načinov za prepoznavanje okužbe z izsiljevalsko programsko opremo je uporaba Spletno mesto ID Ransomware . Ta storitev podpira večino obstoječih okužb z odkupno programsko opremo. Žrtve preprosto naložijo odkupno sporočilo in / ali eno šifrirano datoteko (svetujemo vam, da naložite oboje, če je mogoče).
Odkupna programska oprema bo prepoznana v nekaj sekundah in dobili boste različne podrobnosti, na primer ime družine zlonamerne programske opreme, ki ji okužba pripada, ali jo je mogoče dešifrirati itd.
Primer 1 (Qewe [Stop / Djvu] ransomware):
Primer 2 (izsiljevalska programska oprema .iso [Phobos]):
Če so vaši podatki šifrirani z odkupno programsko opremo, ki je ID Ransomware ne podpira, lahko vedno poskusite iskati po internetu z določenimi ključnimi besedami (na primer naslov sporočila o odkupnini, končnica datoteke, navedena e-poštna sporočila za stike, naslovi kripto denarnice itd.) ).
Poiščite orodja za dešifriranje odškodninske programske opreme:
Šifrirni algoritmi, ki jih uporablja večina okužb z ransomware-jem, so izjemno dovršeni in če je šifriranje pravilno izvedeno, lahko samo razvijalec obnovi podatke. To je zato, ker za dešifriranje potrebujete določen ključ, ki se ustvari med šifriranjem. Obnovitev podatkov brez ključa je nemogoča. V večini primerov kiber kriminalci shranjujejo ključe na oddaljenem strežniku, namesto da bi okuženi računalnik uporabljali kot gostitelja. Dharma (CrySis), Phobos in druge družine vrhunskih okužb z odkupno programsko opremo so tako rekoč brezhibne, zato je obnova šifriranih podatkov brez sodelovanja razvijalcev preprosto nemogoča. Kljub temu obstaja na desetine okužb tipa odkupnih programov, ki so slabo razvite in vsebujejo številne pomanjkljivosti (na primer uporaba enakih ključev za šifriranje / dešifriranje za vsako žrtev, ključe, shranjene lokalno itd.). Zato vedno preverite, ali so na voljo orodja za dešifriranje kakršne koli odškodninske programske opreme, ki vdre v vaš računalnik.
Iskanje ustreznega orodja za dešifriranje v internetu je lahko zelo moteče. Zaradi tega vam priporočamo, da uporabite Nič več projekta odkupnine in tu je prepoznavanje okužbe z odkupno programsko opremo je koristno. Spletno mesto projekta No More Ransom Project vsebuje Orodja za dešifriranje 'z iskalno vrstico. Vnesite ime identificirane odkupne programske opreme in navedeni bodo vsi razpoložljivi dešifrirniki (če obstajajo).
Obnovite datoteke z orodji za obnovitev podatkov:
Glede na situacijo (kakovost okužbe z izsiljevalsko programsko opremo, vrsta uporabljenega algoritma šifriranja itd.) Bo morda mogoče obnoviti podatke z določenimi orodji drugih proizvajalcev. Zato vam svetujemo, da uporabite Orodje Recuva, ki ga je razvil CCleaner . To orodje podpira več kot tisoč podatkovnih vrst (grafika, video, zvok, dokumenti itd.) In je zelo intuitivno (za obnovo podatkov je potrebno malo znanja). Poleg tega je funkcija obnovitve popolnoma brezplačna.
Korak 1: Izvedite skeniranje.
Zaženite aplikacijo Recuva in sledite čarovniku. Pozvano bo z več okni, ki vam omogočajo, da izberete, katere vrste datotek želite iskati, katere lokacije je treba pregledati itd. Vse, kar morate storiti, je, da izberete možnosti, ki jih iščete, in zaženete skeniranje. Svetujemo vam, da omogočite Globoko skeniranje 'pred zagonom, sicer bodo možnosti skeniranja aplikacije omejene.
Počakajte, da Recuva zaključi pregled. Trajanje optičnega branja je odvisno od količine datotek (tako po količini kot velikosti), ki jih optično berete (na primer nekaj sto gigabajtov lahko traja več kot eno uro). Zato bodite potrpežljivi med postopkom skeniranja. Odsvetujemo tudi spreminjanje ali brisanje obstoječih datotek, ker bi to lahko vplivalo na optično branje. Če med optičnim branjem dodate dodatne podatke (na primer prenos datotek / vsebine), bo to podaljšalo postopek:
2. korak: Obnovite podatke.
Ko je postopek končan, izberite mape / datoteke, ki jih želite obnoviti, in preprosto kliknite 'Obnovi'. Upoštevajte, da je za obnovitev podatkov potrebno nekaj prostega prostora na pomnilniškem pogonu:
Ustvari varnostne kopije podatkov:
Pravilno upravljanje datotek in ustvarjanje varnostnih kopij sta bistvenega pomena za varnost podatkov. Zato bodite vedno zelo previdni in razmišljajte naprej.
Upravljanje particij: Priporočamo, da podatke shranjujete na več particijah in se izogibajte shranjevanju pomembnih datotek znotraj particije, ki vsebuje celoten operacijski sistem. Če zaidete v situacijo, ko sistema ne morete zagnati in ste prisiljeni formatirati disk, na katerem je nameščen operacijski sistem (v večini primerov se tu skrivajo okužbe z zlonamerno programsko opremo), boste izgubili vse podatke, shranjene v tem pogonu. To je prednost več particij: če imate celotno pomnilniško napravo dodeljeno eni particiji, boste morali vse izbrisati, vendar pa lahko ustvarjanje več particij in pravilna razporeditev podatkov preprečite takšne težave. Eno particijo lahko enostavno formatirate, ne da bi to vplivalo na druge - zato bo ena očiščena, druge pa nedotaknjene in vaši podatki bodo shranjeni. Upravljanje particij je zelo preprosto in na njem lahko najdete vse potrebne informacije Microsoftova spletna stran z dokumentacijo .
Varnostne kopije podatkov: Eden najzanesljivejših načinov varnostnega kopiranja je uporaba zunanje naprave za shranjevanje in njeno izklop. Kopirajte podatke na zunanji trdi disk, bliskovni (palčni) pogon, SSD, HDD ali katero koli drugo pomnilniško napravo, jih izključite in shranite na suhem, stran od sonca in ekstremnih temperatur. Ta metoda pa je precej neučinkovita, saj je treba redno varnostno kopirati in posodabljati podatke. Uporabite lahko tudi storitev v oblaku ali oddaljeni strežnik. Tukaj je potrebna internetna povezava in vedno obstaja možnost kršitve varnosti, čeprav je to res redka priložnost.
Windows 10, was sind meine netzwerkanmeldeinformationen
Priporočamo uporabo Microsoft OneDrive za varnostno kopiranje datotek. OneDrive vam omogoča shranjevanje osebnih datotek in podatkov v oblaku, sinhronizacijo datotek v računalnikih in mobilnih napravah ter dostop do datotek in urejanje datotek iz vseh naprav Windows. OneDrive vam omogoča shranjevanje, skupno rabo in predogled datotek, dostop do zgodovine prenosov, premikanje, brisanje in preimenovanje datotek, ustvarjanje novih map in še veliko več.
V računalniku lahko varnostno kopirate svoje najpomembnejše mape in datoteke (mape na namizju, dokumentih in slikah). Nekatere opaznejše funkcije OneDrive vključujejo različico datotek, ki starejše različice datotek hrani do 30 dni. OneDrive vsebuje koš za recikliranje, v katerem so vse izbrisane datoteke shranjene za omejen čas. Izbrisane datoteke se ne štejejo kot del uporabnikove dodelitve.
Storitev je zgrajena z uporabo tehnologij HTML5 in omogoča nalaganje datotek do 300 MB s povleci in spusti v spletni brskalnik ali do 10 GB prek Namizna aplikacija OneDrive . Z OneDrive lahko prenesete celotne mape kot eno datoteko ZIP z do 10.000 datotekami, vendar ne sme presegati 15 GB na en prenos.
OneDrive ima na voljo 5 GB brezplačnega prostora za shranjevanje, za naročnino pa je na voljo dodatnih 100 GB, 1 TB in 6 TB možnosti shranjevanja. Enega od teh načrtov za shranjevanje lahko dobite bodisi z nakupom dodatnega prostora za shranjevanje bodisi z naročnino na Office 365.
Ustvarjanje varnostne kopije podatkov:
Postopek varnostnega kopiranja je enak za vse vrste datotek in map. Tukaj je opisano, kako lahko varnostno kopirate datoteke s programom Microsoft OneDrive
Korak 1: Izberite datoteke / mape, ki jih želite varnostno kopirati.
Kliknite Ikona oblaka OneDrive odpreti Meni OneDrive . V tem meniju lahko prilagodite nastavitve varnostne kopije datotek.
Kliknite Pomoč in nastavitve in nato izberite Nastavitve iz spustnega menija.
Pojdi na Zavihek varnostne kopije in kliknite Upravljanje varnostne kopije .
V tem meniju lahko izberete varnostno kopijo Namizje in vse datoteke na njem in Dokumenti in Slike znova z vsemi datotekami. Kliknite Začni varnostno kopiranje .
Ko dodate datoteko ali mapo v mape Namizje in Dokumenti in slike, bodo samodejno varnostno kopirane v OneDrive.
Če želite dodati mape in datoteke, ne na zgoraj prikazanih mestih, jih morate dodati ročno.
Odprite File Explorer in se pomaknite do lokacije mape / datoteke, ki jo želite varnostno kopirati. Izberite element in ga kliknite z desno miškino tipko in kliknite Kopirati .
Potem, pomaknite se do OneDrive, z desno miškino tipko kliknite kjer koli v oknu in kliknite Prilepi . Datoteko lahko preprosto povlečete in spustite v OneDrive. OneDrive bo samodejno ustvaril varnostno kopijo mape / datoteke.
Vse datoteke, dodane v mapo OneDrive, so samodejno varnostno kopirane v oblaku. Zeleni krog s kljukico označuje, da je datoteka na voljo lokalno in v storitvi OneDrive ter da je različica datoteke na obeh enaka. Modra ikona v oblaku pomeni, da datoteka ni bila sinhronizirana in je na voljo samo v storitvi OneDrive. Ikona sinhronizacije označuje, da se datoteka trenutno sinhronizira.
Če želite dostopati do datotek, ki se nahajajo samo na spletnem mestu OneDrive, pojdite na Pomoč in nastavitve spustnega menija in izberite Ogled v spletu .
2. korak: Obnovite poškodovane datoteke.
OneDrive skrbi, da se datoteke sinhronizirajo, zato je različica datoteke v računalniku enaka v oblaku. Če pa je ransomware šifriral vaše datoteke, lahko to izkoristite Zgodovina različic OneDrive funkcija, ki vam bo omogočila obnovite različice datoteke pred šifriranjem .
Microsoft 365 ima funkcijo odkrivanja odkupne programske opreme, ki vas obvesti, ko so bile datoteke OneDrive napadjene, in vas vodi skozi postopek obnovitve datotek. Upoštevati pa je treba, da če nimate plačane naročnine na Microsoft 365, dobite samo eno zaznavanje in obnovitev datotek brezplačno.
Če se datoteke OneDrive zbrišejo, poškodujejo ali okužijo z zlonamerno programsko opremo, lahko celotno OneDrive obnovite v prejšnje stanje. Evo, kako lahko obnovite celoten OneDrive:
1. Če ste prijavljeni z osebnim računom, kliknite Nastavitve cog na vrhu strani. Nato kliknite Opcije in izberite Obnovite svoj OneDrive .
Če ste prijavljeni s službenim ali šolskim računom, kliknite Nastavitve cog na vrhu strani. Nato kliknite Obnovite svoj OneDrive .
2. Na strani Restore your OneDrive: na spustnem seznamu izberite datum . Upoštevajte, da če obnavljate datoteke po samodejnem zaznavanju izsiljevalske programske opreme, bo za vas izbran datum obnovitve.
3. Po konfiguraciji vseh možnosti obnove datotek kliknite Obnovi da razveljavite vse izbrane dejavnosti.
Najboljši način, da se izognete škodi zaradi okužb z izsiljevalsko programsko opremo, je redno vzdrževanje varnostnih kopij.
