Navodila za odstranitev RYK izsiljevalske programske opreme
Kaj je RYK?
V spletu je na voljo veliko računalniških okužb z odkupno programsko opremo, vključno z RYK, ki ga je odkril MalwareHunterTeam . To je nova različica RYUK Ransomware . RYK šifrira podatke z uporabo algoritma za kriptografijo in s tem datoteke, shranjene v računalniku, postanejo neuporabne. Doda ' .BOGAT 'za vsako šifrirano datoteko, s čimer se preimenujejo vse prizadete datoteke. Na primer, ' 1.jpg 'postane' 1.jpg.RYK '. RYK postavlja tudi ' RyukReadMe.txt 'besedilna datoteka (sporočilo o odkupnini) v vsaki mapi, ki vsebuje šifrirane datoteke.
Sporočilo o odkupnini v 'RyukReadMe.txt' prihajajo od razvijalcev RYK, ki žrtvam sporočajo, da so bili vsi podatki šifrirani z močnim algoritmom kriptografije, vendar vrsta algoritma uporabljeno (simetrično ali asimetrično) ni določeno. Navajajo, da so bile šifrirane tudi šifrirane varnostne kopije in senčne kopije ter da uporaba tipke F8 (in drugih metod) ne bo pomagala in bi lahko celo povzročila več škode (ta funkcijska tipka se pogosto uporablja za vstop v zagonski meni sistema Windows med zagonom operacijskega sistema Windows Sistem in se lahko uporablja tudi za dostop do sistema za obnovitev sistema Windows). Razvijalci RYK tudi navajajo, da lahko samo oni žrtvam zagotovijo orodje za dešifriranje, nobeno drugo orodje pa ne more dešifrirati. Če povzamemo, pojasnjujejo, da nobena druga stranka ne more pomagati tistim z računalniki, okuženimi z RYK. Ti kiber kriminalci uporabnike tudi opozarjajo, da lahko izklop ali ponovni zagon računalnika povzroči škodo ali izgubo podatkov. Ljudje pozivajo, naj ne brišejo ali preimenujejo besedilnih datotek 'RyukReadMe.txt'. Razvijalci RYK ponujajo brezplačno dešifriranje dveh datotek, s čimer dokazujejo, da je dešifriranje možno in da bi ustvarili vtis, da jim lahko zaupate. Za dešifriranje preostalih podatkov se morajo uporabniki obrniti nanje prek e-poštnega naslova charlstonparkwji@protonmail.com ali huntingdonu@tutanota.com. Ko bodo vzpostavljeni stik, bodo poslali naslov Bitcoin denarnice za plačilo odkupnine (ki se izvede v kriptovaluti). V nobenem primeru ne kontaktirajte razvijalcev RYK. Uporabljajo kriptografije, ki ustvarjajo edinstvene ključe za dešifriranje (in jih shranjujejo na oddaljenih strežnikih, ki jih nadzorujejo samo oni). Na ta način lahko žrtve izsiljujejo, saj ni drugih (brezplačnih) orodij, ki bi lahko razbila šifriranje odkupne programske opreme RYK. Upoštevajte, da kibernetski kriminalci žrtve običajno ignorirajo, tudi če so izpolnjene njihove zahteve po odkupnini. Najboljša rešitev v teh primerih je uporaba obstoječe varnostne kopije in od tam obnovitev datotek.
Posnetek zaslona sporočila, ki uporabnike spodbuja, da plačajo odkupnino za dešifriranje svojih ogroženih podatkov:
V spletu je veliko virusov tipa odkupne programske opreme, kot je Oblika , Doubleoffset , in Gerber . Vse tovrstne okužbe so si zelo podobne in imajo isti namen: šifriranje podatkov in njihovo ohranjanje v takem stanju, dokler niso izpolnjene zahteve po odkupnini. Glavne razlike so velikost odkupnine (stroški dešifriranja) in algoritem kriptografije, ki se uporablja za šifriranje podatkov. Dešifriranje brez sodelovanja razvijalcev izsilitvene programske opreme je običajno nemogoče, razen če njihov program ni popolnoma razvit, vsebuje napake / napake ali druge pomembne pomanjkljivosti. Zato vzdržujte redne varnostne kopije in jih hranite na oddaljenih strežnikih ali odklopljenih napravah za shranjevanje.
Kako je ransomware okužil moj računalnik?
Ni natančno znano, kako kiber kriminalci promovirajo odkupno programsko opremo RYK, vendar se v večini primerov tovrstne okužbe širijo z neželeno akcijo, trojanskimi programi, ponarejenimi posodobitvami programske opreme in drugimi nezaupljivimi viri prenosa programske opreme. Neželene pošte se uporabljajo za širjenje teh okužb z uporabo e-poštnih sporočil, ki vsebujejo zlonamerne priloge. To so lahko dokumenti Microsoft Office, datoteke PDF, arhivske datoteke, izvedljive datoteke itd. Z odpiranjem teh prilog se ljudje pogosto prevarajo, da prenesejo in namestijo računalniške okužbe, vključno z odkupno programsko opremo. Trojanci so računalniške okužbe (zlonamerni programi), ki se uporabljajo za širjenje drugih okužb (če so nameščene, povzročajo verižne okužbe). Nezaupljivi viri za prenos programske opreme, kot so omrežja peer-to-peer (eMule, hudourniki itd.), Ponavadi predstavljajo zlonamerne datoteke (pogosto izvedljive) kot zakonite datoteke. Za širjenje virusov se uporabljajo tudi brezplačna spletna mesta za nalaganje, spletna mesta za gostovanje datotek in drugi podobni viri za prenos programske opreme. Z uporabo teh nezaupljivih virov kiber kriminalci ljudi prevarajo, da naložijo in namestijo zlonamerne programe. Drug pogost način širjenja teh virusov je uporaba ponarejenih posodobiteljev programske opreme - sisteme okužijo tako, da izkoriščajo napake / napake nameščene (zastarele) programske opreme ali prenašajo in nameščajo zlonamerne programe namesto posodobitev, popravkov itd.
| Ime | Virus RYK |
| Vrsta grožnje | Ransomware, kripto virus, omarica datotek |
| Razširitev šifriranih datotek | .BOGAT |
| Odkupno zahtevno sporočilo | Datoteke RyukReadMe.txt, RyukReadMe.html |
| Kiber kriminalni stik | annarummowellington91@protonmail.com, boganyrosina@protonmail.com, charlstonparkwji@protonmail.com, cilibertogeorgiana1992@protonmail.com, dejackomeajna@protonmail.com, devinocandence96@protonmail.com, elmersvictoria@tutanota.com, huntingdonke@ Laketantano protonmail.com, naborbrice1990@protonmail.com, nowabosag1988@protonmail.com, pebawestsa1973@protonmail.com, coftocounbio1977@protonmail.com, perresuto1984@protonmail.com (e-poštni naslovi so odvisni od različice RYK) |
| Imena zaznavanja (raEMQ.exe) | Avast (Win64: RansomX-gen [Ransom]), BitDefender (Generic.Ransom.Ryuk2.84BB3536), ESET-NOD32 (različica Win64 / Filecoder.Z), Kaspersky (HEUR: Trojan.Win32.Generic), celoten seznam Od odkritij ( VirusTotal ) |
| Simptomi | Datotek, shranjenih v računalniku, ni mogoče odpreti, prej delujoče datoteke imajo zdaj drugo pripono, na primer my.docx.locked. Na namizju se prikaže sporočilo, ki zahteva odkupnino. Kiber kriminalci zahtevajo plačilo odkupnine (običajno v bitcoinih) za odklepanje datotek. |
| Metode distribucije | Okužene e-poštne priloge (makri), hudourniške spletne strani, zlonamerni oglasi. |
| Škoda | Vse datoteke so šifrirane in jih ni mogoče odpreti brez plačila odkupnine. Dodatne trojanske programe za krajo gesla in okužbe z zlonamerno programsko opremo lahko namestite skupaj z okužbo z odkupno programsko opremo. |
| Odstranjevanje zlonamerne programske opreme (Windows) | Če želite odpraviti morebitne okužbe z zlonamerno programsko opremo, preglejte računalnik z zakonito protivirusno programsko opremo. Naši raziskovalci varnosti priporočajo uporabo programske opreme Malwarebytes. |
Kako se zaščititi pred okužbami z odkupno programsko opremo?
Ključ računalniške varnosti je previdnost. Če želite preprečiti okužbo računalnikov, previdno brskajte po spletu, prenašajte, nameščajte in posodabljajte programsko opremo. Ne odpirajte prilog ali spletnih povezav, ki so predstavljene v e-poštnih sporočilih, prejetih z neznanih / neznanih / sumljivih e-poštnih naslovov. Če se e-poštno sporočilo ne nanaša na vas, ga prezrite. Za prenos ali namestitev programske opreme ne uporabljajte prenosnikov, namestitvenih programov ali drugih takšnih orodij. Te se pogosto uporabljajo za širjenje prevarantskih aplikacij ali druge neželene programske opreme (potencialno zlonamerne). Nikoli ne uporabljajte neuradnih orodij za posodobitev nameščene programske opreme (ali operacijskega sistema). To lahko privede do namestitve neželene programske opreme ali celo do tveganih računalniških okužb. Najboljši način za posodabljanje programske opreme je posodobitev z uporabo orodij in / ali funkcij, ki jih nudijo samo uradni razvijalci. Ugledna protivirusna / protivohunska programska oprema lahko prepreči okužbe računalnika in priporočamo, da imate nameščeno in aktivno to programsko opremo. Če je vaš računalnik že okužen z RYK, priporočamo, da zaženete pregled z Malwarebytes za Windows za samodejno odpravo te odškodninske programske opreme.
Besedilo, predstavljeno v besedilni datoteki RYK ransomware:
Vaše omrežje je prodrlo.
Vse datoteke na vsakem gostitelju v omrežju so šifrirane z močnim algoritmom.
Varnostne kopije so bile bodisi šifrirane
Odstranjene so tudi senčne kopije, zato lahko F8 ali kateri koli drug način poškoduje šifrirane podatke, vendar se ne obnovi.Za vaše razmere imamo izključno programsko opremo za dešifriranje.
Pred več kot letom dni so svetovni strokovnjaki prepoznali nezmožnost dešifriranja na kakršen koli način, razen na originalni dekoder.
Nobena programska oprema za dešifriranje ni na voljo javnosti.
Antivirusna podjetja, raziskovalci, strokovnjaki za IT in nobena druga oseba vam ne morejo pomagati pri šifriranju podatkov.NE PONASTAVITE ALI IZKLOPITE - datoteke se lahko poškodujejo.
NE BRISAJ datotek readme.Da potrdite naše poštene namene. Pošljite 2 različni naključni datoteki in dobili boste dešifrirano.
Prepričate se lahko, da en ključ dešifrira vse.
2 datoteki odklenemo brezplačnoZa informacije (dešifriranje datotek) nas kontaktirajte na
CharlstonParkwji@protonmail.comannarummoWellington91@protonmail.com
imatprophav1982@protonmail.com
papinsdasun1982@protonmail.com
krystyna_trapp1989@protonmail.com
dfvdv@tutanota.com
ali
Huntingdonu@tutanota.comLakelynnMaske@protonmail.com
wahabigreen@tutanota.com
cestidemet1983@protonmail.com
keelyjankowski1992@protonmail.com
jkjbg@protonmail.com
escirepi1974@protonmail.com
V odgovornem pismu boste prejeli btc naslov za plačilo
Ryuk
Noben sistem ni varen
Posnetek zaslona datotek, ki jih je šifriral RYK (' .BOGAT 'razširitev):
Posodobitev 23. januarja 2019 - Razvijalci RYK so izdali še eno različico te odškodninske programske opreme, ki je znana tudi kot Cryptor 2.0. Ta različica ustvari drugačno poimenovano besedilno datoteko (' ReadMe.txt ') in vsebuje različne e-poštne naslove. Sporočilo in pripona datoteke, ki sta zahtevni za odkupnino, ostajata enaki.
Posnetek zaslona posodobljene besedilne datoteke različice RYK (Cryptor 2.0):
Besedilo, predstavljeno v tej datoteki:
Vaše omrežje je prodrlo.
Vse datoteke na vsakem gostitelju v omrežju so šifrirane z močnim algoritmom.
Varnostne kopije so bile bodisi šifrirane
Odstranjene so tudi senčne kopije, zato lahko F8 ali kateri koli drug način poškoduje šifrirane podatke, vendar se ne obnovi.Za vaše razmere imamo izključno programsko opremo za dešifriranje.
Pred več kot letom dni so svetovni strokovnjaki prepoznali nezmožnost dešifriranja na kakršen koli način, razen na originalni dekoder.
Nobena programska oprema za dešifriranje ni na voljo javnosti.
Antivirusna podjetja, raziskovalci, strokovnjaki za IT in nobena druga oseba vam ne morejo pomagati pri šifriranju podatkov.NE PONASTAVITE ALI IZKLOPITE - datoteke se lahko poškodujejo.
NE BRISAJ datotek readme.Da potrdite naše poštene namene. Pošljite 2 različni naključni datoteki in dobili boste dešifrirano.
Prepričate se lahko, da en ključ dešifrira vse.
2 datoteki odklenemo brezplačnoZa informacije (dešifriranje datotek) nas kontaktirajte na
DejackomeAjna@protonmail.com
ali
ElmersVictoria@tutanota.comV odgovornem pismu boste prejeli btc naslov za plačilo
Ryuk
Noben sistem ni varen
Druga različica sporočila, ki zahteva odkupnino, ki ga je ustvaril RYK ransomware - RyukReadMe.txt:
Besedilo, predstavljeno v tej različici:
Vaše omrežje je prodrlo.
Vse datoteke na vsakem omrežnem gostitelju so šifrirane z močnim algoritmom.
Varnostne kopije so bile tudi šifrirane.Odstranjene so tudi senčne kopije, zato lahko F8 ali kateri koli drug način poškoduje šifrirane podatke, vendar se ne obnovi.
Samo mi imamo ekskluzivno programsko opremo za dešifriranje, primerno za vaše razmere.Pred več kot letom dni so svetovni strokovnjaki prepoznali nezmožnost takšnega dešifriranja šifriranja s kakršnimi koli sredstvi, razen z originalnim dekodirnikom.
Nobena programska oprema za dešifriranje ni na voljo javnosti.
Protivirusna podjetja, raziskovalci, strokovnjaki za IT in druge osebe vam ne morejo pomagati pri dešifriranju podatkov.neueste Ubuntu-VersionDešifriranje traja od deset minut do nekaj ur.
Izvede se samodejno in od vas ne zahteva nobenih dejanj, razen zagona dekoderja.NE PONASTAVITE ALI IZKLOPITE SISTEMA - datoteke se lahko poškodujejo.
NE BRISAJ datotek readme.Da potrdimo naše poštene namene. Pošljite 2 različni naključni datoteki in dobili jih boste nazaj dešifrirane.
Prepričate se lahko, da en ključ dešifrira vse.
Brezplačno bomo odklenili 2 datoteki.
Za informacije (dešifriranje datotek) se obrnite na nas a
BoganyRosina@protonmail.com
ali
NaborBrice1990@protonmail.comV odgovornem pismu boste prejeli btc naslov za plačilo
Ryuk
Noben sistem ni varen
Druga različica odkupnega sporočila, ki ga je ustvaril RYK ransomware - RyuReadMe.html:
Besedilo, predstavljeno v tej html datoteki:
CilibertoGeorgiana1992@protonmail.com
tamesepo1980@protonmail.com
loybranunun1975@protonmail.com
erenomen1979@protonmail.com
backnabanney1983@protonmail.com
prefexdocve1989@protonmail.com
otostehos1970@protonmail.com
subsazimi1970@protonmail.com
kirsninmaino1977@protonmail.com
distwilmufor1989@protonmail.com
reelsraserro1970@protonmail.com
bubgiasvilfa1985@protonmail.com
abcorviman1981@protonmail.com
hemulnina1974@protonmail.com
isadora_mashburn1987@protonmail.com
anfreesextuo1982@protonmail.com
rotenakge1989@protonmail.com
Teara.Baker.1977@protonmail.com
DevinoCandence96@protonmail.comvadocpuce1975@protonmail.com
futamenlooo1981@protonmail.comhostthingbourbuo1973@protonmail.com
bunakade1970@protonmail.comchris-morris-1976@protonmail.com
tasha-williams.91@protonmail.comgaetwelsenba1983@protonmail.com
enexunon1979@protonmail.com
lundcedrick@protonmail.com
buricoume1976@protonmail.com
kassulke_dora@protonmail.com
marks_arno@protonmail.com
zandra_simone1995@protonmail.com
olgearreabo1989@protonmail.com
profhandgomo1989@protonmail.com
Ryuk
Wie werde ich die Yahoo-Suchmaschine los?ravnovesje senčnega vesolja
Posodobitev 21. junija 2019 - Kiber kriminalci so pred kratkim izdali posodobljeno različico te odškodninske programske opreme. Nova različica je implementirana s filtrom, ki kiber kriminalcem omogoča, da ločijo nekatere sisteme in se odločijo, ali bodo šifrirali podatke ali ne. Namenjen je preverjanju naslova IP in imena računalnika žrtve. Če internetni naslov IP vsebuje niz 10.30.4, 10.30.5, 10.30.6 ali 10.31.32, datoteke ne bodo dešifrirane. Enako velja za ime računalnika. Če ime vključuje vsaj enega od naštetih nizov (MSK, Msk, SBP, Spb, msk, spb), bodo tudi podatki ostali nedotaknjeni.
Posodobitev 10. novembra 2020 - Najnovejša različica ransomware RYK ne vsebuje nobenega e-poštnega naslova kiber kriminalcev. Namesto tega dobijo uporabniki povezavo Tor, ki vodi do spletnega mesta, ki vsebuje kontaktni obrazec.
Posnetek zaslona omenjene spletne strani:
Še en primer datoteke HTML, ki jo je izpustil RYK ransomware:
Besedilo je predstavljeno v:
[stik]
NAVODILO:
1. Prenesite brskalnik tor.
2. Odprite povezavo prek brskalnika tor: hxxp: //htv4omqldafxwhum7ya3m37o3zcbo2d7kidcpgvp6lky62gi6czx6iqd.onion
3. Izpolnite obrazec, geslo: -
V kratkem vas bomo kontaktirali.
Vedno pošiljajte datoteke za testno dešifriranje.
[V REDU]Ryuk
ravnovesje senčnega vesolja
Odstranitev RYK izsiljevalske programske opreme:
Takojšnje samodejno odstranjevanje zlonamerne programske opreme: Ročno odstranjevanje groženj je lahko dolgotrajen in zapleten postopek, ki zahteva napredno računalniško znanje. Malwarebytes je profesionalno orodje za samodejno odstranjevanje zlonamerne programske opreme, ki je priporočljivo, da se znebite zlonamerne programske opreme. Prenesite ga s klikom na spodnji gumb:
▼ PRENESI Malwarebytes S prenosom katere koli programske opreme, navedene na tem spletnem mestu, se strinjate z našo Politika zasebnosti in Pogoji uporabe . Če želite uporabljati polno predstavljeni izdelek, morate kupiti licenco za Malwarebytes. Na voljo 14-dnevno brezplačno preskusno obdobje.
Hitri meni:
- Kaj je virus RYK?
- KORAK 1. Prijavljanje odškodninskih programov oblastem.
- 2. KORAK Osamitev okužene naprave.
- 3. KORAK Prepoznavanje okužbe z odkupno programsko opremo.
- 4. KORAK Iskanje orodij za dešifriranje ransomware.
- 5. KORAK. Obnavljanje datotek z orodji za obnovitev podatkov.
- 6. KORAK. Ustvarjanje varnostnih kopij podatkov.
Če ste žrtev napada ransomware, priporočamo, da ta incident prijavite oblastem. Z zagotavljanjem informacij organom kazenskega pregona boste pomagali slediti kibernetski kriminaliteti in morda pomagali pri pregonu napadalcev. Tu je seznam organov, pri katerih bi morali prijaviti napad ransomware. Za celoten seznam lokalnih centrov za kibernetsko varnost in informacije o tem, zakaj bi morali prijaviti napade ransomware, preberite ta članek .
Seznam lokalnih oblasti, kjer je treba poročati o napadih izsiljevalske programske opreme (izberite enega, odvisno od vašega prebivališča):
- UPORABE - Center za pritožbe zaradi internetnega kriminala IC3
- Združeno kraljestvo - Akcijska prevara
- Španija - Nacionalna policija
- Francija - Ministrstvo za notranje zadeve
- Nemčija - policijo
- Italija - Državna policija
- Nizozemska - Kazenski pregon
- Poljska - Policija
- Portugalska - Sodna policija
Osamitev okužene naprave:
Nekatere okužbe tipa odškodninske programske opreme so zasnovane tako, da šifrirajo datoteke v zunanjih pomnilniških napravah, jih okužijo in celo širijo po celotnem lokalnem omrežju. Iz tega razloga je zelo pomembno, da okuženo napravo (računalnik) čim prej izoliramo.
Korak 1: Prekinite povezavo z internetom.
Najlažji način, da računalnik odklopite iz interneta, je, da Ethernet kabel odklopite z matične plošče, vendar pa so nekatere naprave povezane prek brezžičnega omrežja in nekaterim uporabnikom (zlasti tistim, ki niso posebej tehnično podkovani) se morda zdijo odklopni kabli težavno. Zato lahko sistem prek nadzorne plošče odklopite tudi ročno:
Pomaknite se do Nadzorna plošča ', kliknite iskalno vrstico v zgornjem desnem kotu zaslona, vnesite' Center za omrežja in skupno rabo 'in izberite rezultat iskanja: 
Kliknite » Spremenite nastavitve adapterja v zgornjem levem kotu okna: 
Z desno miškino tipko kliknite vsako povezavo in izberite ' Onemogoči '. Ko je sistem onemogočen, sistem ne bo več povezan z internetom. Če želite znova omogočiti priključne točke, preprosto znova kliknite znova in izberite ' Omogoči '. 
2. korak: Izključite vse naprave za shranjevanje.
Kot smo že omenili, lahko izsiljevalska programska oprema šifrira podatke in prodre v vse naprave za shranjevanje, ki so povezane z računalnikom. Zaradi tega je treba vse zunanje pomnilniške naprave (bliskovne pogone, prenosne trde diske itd.) Takoj odklopiti, vendar vam toplo priporočamo, da vsako napravo pred odklopom odstranite, da preprečite poškodbe podatkov:
Pomaknite se do Moj računalnik ', z desno miškino tipko kliknite vsako povezano napravo in izberite' Izmet ': 
3. korak: Odjava iz računov za shranjevanje v oblaku.
Nekateri izsiljevalski programi lahko ugrabijo programsko opremo, ki obdeluje podatke, shranjene v ' oblak '. Zato bi lahko bili podatki poškodovani / šifrirani. Iz tega razloga se morate odjaviti iz vseh računov za shranjevanje v oblaku v brskalnikih in drugi sorodni programski opremi. Razmislite tudi o začasni odstranitvi programske opreme za upravljanje v oblaku, dokler okužba ni popolnoma odstranjena.
Ugotovite okužbo z odkupno programsko opremo:
Za pravilno ravnanje z okužbo jo je treba najprej prepoznati. Nekatere okužbe z odkupno programsko opremo kot uvod uporabljajo sporočila o odkupnini (glejte spodnjo besedilno datoteko za odkupnino WALDO).
To pa je redko. V večini primerov okužbe z odkupno programsko opremo pošiljajo bolj neposredna sporočila, v katerih preprosto navajajo, da so podatki šifrirani in da morajo žrtve plačati nekakšno odkupnino. Upoštevajte, da okužbe tipa ransomware običajno generirajo sporočila z različnimi imeni datotek (na primer ' _readme.txt ',' PREBERI ME.txt ',' DECRYPTION_INSTRUCTIONS.txt ',' DECRYPT_FILES.html 'itd.). Zato se zdi, da je uporaba imena odkupnega sporočila dober način za prepoznavanje okužbe. Težava je v tem, da je večina teh imen generičnih in nekatere okužbe uporabljajo ista imena, čeprav so dostavljena sporočila drugačna in okužbe same niso povezane. Zato je samo ime datoteke s sporočili lahko neučinkovito in celo povzroči trajno izgubo podatkov (na primer s poskusom dešifriranja podatkov z orodji, zasnovanimi za različne okužbe z izsiljevalsko programsko opremo, bodo uporabniki verjetno na koncu trajno poškodovali datoteke in dešifriranje ne bo več mogoče tudi s pravilnim orodjem).
Drug način za prepoznavanje okužbe z odkupno programsko opremo je preverjanje končnice datoteke, ki je dodana vsaki šifrirani datoteki. Okužbe z odkupno programsko opremo pogosto imenujejo razširitve, ki jih dodajo (glejte datoteke, ki jih šifrira Qewe ransomware spodaj).
Ta metoda pa je učinkovita le, če je dodana razširitev edinstvena - številne okužbe z izsiljevalsko programsko opremo dodajo generično pripono (na primer ' .šifrirano ',' .enc ',' .šifrirano ',' .zaklenjeno 'itd.). V teh primerih prepoznavanje odkupne programske opreme s priloženo razširitvijo postane nemogoče.
Eden najlažjih in najhitrejših načinov za prepoznavanje okužbe z odkupno programsko opremo je uporaba Spletno mesto ID Ransomware . Ta storitev podpira večino obstoječih okužb z odkupno programsko opremo. Žrtve preprosto naložijo odkupno sporočilo in / ali eno šifrirano datoteko (po možnosti svetujemo, da naložite obe).
Odkupna programska oprema bo prepoznana v nekaj sekundah in dobili boste različne podrobnosti, na primer ime družine zlonamerne programske opreme, ki ji okužba pripada, ali jo je mogoče dešifrirati itd.
Primer 1 (Qewe [Stop / Djvu] ransomware):
Primer 2 (izsiljevalska programska oprema .iso [Phobos]):
Če so vaši podatki šifrirani z odkupno programsko opremo, ki je ID Ransomware ne podpira, lahko vedno poskusite iskati po internetu z določenimi ključnimi besedami (na primer naslov sporočila o odkupnini, končnica datoteke, navedena e-poštna sporočila za stike, naslovi kripto denarnice itd.) ).
Poiščite orodja za dešifriranje odškodninske programske opreme:
Šifrirni algoritmi, ki jih uporablja večina okužb z ransomware-om, so izjemno dovršeni in če je šifriranje pravilno izvedeno, lahko samo razvijalec obnovi podatke. To je zato, ker za dešifriranje potrebujete poseben ključ, ki se ustvari med šifriranjem. Obnovitev podatkov brez ključa je nemogoča. V večini primerov kiber kriminalci shranjujejo ključe na oddaljenem strežniku, namesto da bi okuženi računalnik uporabljali kot gostitelja. Dharma (CrySis), Phobos in druge družine vrhunskih okužb z odkupno programsko opremo so tako rekoč brezhibne, zato je obnavljanje šifriranih podatkov brez sodelovanja razvijalcev preprosto nemogoče. Kljub temu obstaja na desetine okužb tipa odkupnih programov, ki so slabo razvite in vsebujejo številne pomanjkljivosti (na primer uporaba enakih ključev za šifriranje / dešifriranje za vsako žrtev, ključe, shranjene lokalno itd.). Zato vedno preverite, ali so na voljo orodja za dešifriranje kakršne koli odškodninske programske opreme, ki vdre v vaš računalnik.
Iskanje ustreznega orodja za dešifriranje v internetu je lahko zelo moteče. Zaradi tega vam priporočamo, da uporabite Ni več projekta odkupnine in tu je prepoznavanje okužbe z odkupno programsko opremo je koristno. Spletno mesto projekta No More Ransom Project vsebuje Orodja za dešifriranje 'z iskalno vrstico. Vnesite ime identificirane odkupne programske opreme in navedeni bodo vsi razpoložljivi dešifrirniki (če obstajajo).
Obnovite datoteke z orodji za obnovitev podatkov:
Glede na situacijo (kakovost okužbe z odškodninsko programsko opremo, vrsta uporabljenega algoritma za šifriranje itd.) Bo morda mogoče obnoviti podatke z določenimi orodji drugih proizvajalcev. Zato vam svetujemo, da uporabite Orodje Recuva, ki ga je razvil CCleaner . To orodje podpira več kot tisoč podatkovnih vrst (grafika, video, zvok, dokumenti itd.) In je zelo intuitivno (za obnovo podatkov je potrebno malo znanja). Poleg tega je funkcija obnovitve popolnoma brezplačna.
Korak 1: Izvedite skeniranje.
Zaženite aplikacijo Recuva in sledite čarovniku. Pozvano bo z več okni, ki vam omogočajo, da izberete, katere vrste datotek želite iskati, katere lokacije je treba pregledati itd. Vse, kar morate storiti, je, da izberete možnosti, ki jih iščete, in zaženete skeniranje. Svetujemo vam, da omogočite Globoko skeniranje 'pred zagonom, sicer bodo možnosti skeniranja aplikacije omejene.
Počakajte, da Recuva zaključi pregled. Trajanje optičnega branja je odvisno od količine datotek (tako po količini kot po velikosti), ki jih optično berete (na primer nekaj sto gigabajtov lahko traja več kot eno uro). Zato bodite potrpežljivi med postopkom skeniranja. Odsvetujemo tudi spreminjanje ali brisanje obstoječih datotek, ker bi to lahko vplivalo na optično branje. Če med optičnim branjem dodate dodatne podatke (na primer prenos datotek / vsebine), bo to podaljšalo postopek:
2. korak: Obnovite podatke.
Ko je postopek končan, izberite mape / datoteke, ki jih želite obnoviti, in preprosto kliknite 'Obnovi'. Upoštevajte, da je za obnovitev podatkov potrebno nekaj prostora na pomnilniškem pogonu:
Ustvari varnostne kopije podatkov:
Pravilno upravljanje datotek in ustvarjanje varnostnih kopij sta bistvenega pomena za varnost podatkov. Zato bodite vedno zelo previdni in razmišljajte v naprej.
Upravljanje particij: Priporočamo, da podatke shranjujete na več particijah in se izogibajte shranjevanju pomembnih datotek znotraj particije, ki vsebuje celoten operacijski sistem. Če se znajdete v položaju, ko sistema ne morete zagnati in ste prisiljeni formatirati disk, na katerem je nameščen operacijski sistem (v večini primerov se tu skrivajo okužbe z zlonamerno programsko opremo), boste izgubili vse podatke, shranjene v tem pogonu. To je prednost več particij: če imate celotno pomnilniško napravo dodeljeno eni particiji, boste morali vse izbrisati, vendar pa lahko ustvarjanje več particij in pravilna razporeditev podatkov preprečite takšne težave. Eno particijo lahko enostavno formatirate, ne da bi to vplivalo na druge - zato se bo ena očistila, druge pa bodo ostale nedotaknjene in vaši podatki bodo shranjeni. Upravljanje particij je zelo preprosto in na njem lahko najdete vse potrebne informacije Microsoftova spletna stran z dokumentacijo .
Varnostne kopije podatkov: Eden izmed najbolj zanesljivih načinov varnostnega kopiranja je uporaba zunanje naprave za shranjevanje in njeno izklop. Kopirajte podatke na zunanji trdi disk, bliskovni (palčni) pogon, SSD, HDD ali katero koli drugo pomnilniško napravo, jih odklopite in shranite na suhem, stran od sonca in ekstremnih temperatur. Ta metoda pa je precej neučinkovita, saj je treba redno varnostno kopirati in posodabljati podatke. Uporabite lahko tudi storitev v oblaku ali oddaljeni strežnik. Tukaj je potrebna internetna povezava in vedno obstaja možnost kršitve varnosti, čeprav je to res redka priložnost.
Es konnte keine sichere Verbindung zu Google Play hergestellt werden
Priporočamo uporabo Microsoft OneDrive za varnostno kopiranje datotek. OneDrive vam omogoča shranjevanje osebnih datotek in podatkov v oblaku, sinhronizacijo datotek v računalnikih in mobilnih napravah, kar vam omogoča dostop do datotek in njihovo urejanje iz vseh naprav Windows. OneDrive vam omogoča shranjevanje, skupno rabo in predogled datotek, dostop do zgodovine prenosov, premikanje, brisanje in preimenovanje datotek, ustvarjanje novih map in še veliko več.
V računalniku lahko varnostno kopirate svoje najpomembnejše mape in datoteke (mape na namizju, dokumentih in slikah). Nekatere opaznejše funkcije OneDrive vključujejo različico datotek, ki starejše različice datotek hrani do 30 dni. OneDrive vsebuje koš za recikliranje, v katerem so vse izbrisane datoteke shranjene za omejen čas. Izbrisane datoteke se ne štejejo kot del uporabnikove dodelitve.
Storitev je zgrajena z uporabo tehnologij HTML5 in omogoča nalaganje datotek do 300 MB s povleci in spusti v spletni brskalnik ali do 10 GB prek Namizna aplikacija OneDrive . Z OneDrive lahko prenesete celotne mape kot eno datoteko ZIP z do 10.000 datotekami, čeprav ne sme presegati 15 GB na en prenos.
OneDrive ima na voljo 5 GB brezplačnega prostora za shranjevanje, za naročnino pa je na voljo dodatnih 100 GB, 1 TB in 6 TB možnosti za shranjevanje. Enega od teh načrtov za shranjevanje lahko dobite bodisi z nakupom dodatnega prostora za shranjevanje bodisi z naročnino na Office 365.
Ustvarjanje varnostne kopije podatkov:
Postopek varnostnega kopiranja je enak za vse vrste datotek in map. Tukaj je opisano, kako lahko varnostno kopirate datoteke z Microsoft OneDrive
Korak 1: Izberite datoteke / mape, ki jih želite varnostno kopirati.
Kliknite Ikona oblaka OneDrive odpreti Meni OneDrive . V tem meniju lahko prilagodite nastavitve varnostne kopije datotek.
Kliknite Pomoč in nastavitve in nato izberite Nastavitve iz spustnega menija.
Pojdi na Zavihek varnostne kopije in kliknite Upravljanje varnostne kopije .
V tem meniju lahko izberete varnostno kopijo Namizje in vse datoteke na njem in Dokumenti in Slike znova z vsemi datotekami. Kliknite Začni varnostno kopiranje .
Ko dodate datoteko ali mapo v mape Namizje in Dokumenti in slike, bodo samodejno varnostno kopirane v OneDrive.
Če želite dodati mape in datoteke, ne na zgoraj prikazanih mestih, jih morate dodati ročno.
Odprite File Explorer in se pomaknite do lokacije mape / datoteke, ki jo želite varnostno kopirati. Izberite element in ga kliknite z desno miškino tipko in kliknite Kopirati .
Potem, pomaknite se do OneDrive, z desno miškino tipko kliknite kjer koli v oknu in kliknite Prilepi . Datoteko lahko preprosto povlečete in spustite v OneDrive. OneDrive bo samodejno ustvaril varnostno kopijo mape / datoteke.
Vse datoteke, dodane v mapo OneDrive, so samodejno varnostno kopirane v oblaku. Zeleni krog s kljukico označuje, da je datoteka na voljo lokalno in v storitvi OneDrive ter da je različica datoteke na obeh enaka. Modra ikona oblaka pomeni, da datoteka ni bila sinhronizirana in je na voljo samo v storitvi OneDrive. Ikona sinhronizacije označuje, da se datoteka trenutno sinhronizira.
Če želite dostopati do datotek, ki se nahajajo samo na spletnem mestu OneDrive, pojdite na Pomoč in nastavitve spustnega menija in izberite Ogled v spletu .
2. korak: Obnovite poškodovane datoteke.
OneDrive skrbi, da se datoteke sinhronizirajo, zato je različica datoteke v računalniku enaka v oblaku. Če pa je ransomware vaše datoteke šifriral, lahko to izkoristite Zgodovina različic OneDrive funkcija, ki vam bo omogočila obnovite različice datoteke pred šifriranjem .
Microsoft 365 ima funkcijo odkrivanja odkupne programske opreme, ki vas obvesti, ko so bile datoteke OneDrive napadjene, in vas vodi skozi postopek obnovitve datotek. Upoštevati pa je treba, da če nimate plačane naročnine na Microsoft 365, dobite samo eno zaznavanje in obnovitev datotek brezplačno.
Če se datoteke OneDrive zbrišejo, poškodujejo ali okužijo z zlonamerno programsko opremo, lahko celotno OneDrive obnovite v prejšnje stanje. Evo, kako lahko obnovite celoten OneDrive:
1. Če ste prijavljeni z osebnim računom, kliknite Nastavitve cog na vrhu strani. Nato kliknite Opcije in izberite Obnovite svoj OneDrive .
Če ste prijavljeni s službenim ali šolskim računom, kliknite Nastavitve cog na vrhu strani. Nato kliknite Obnovite svoj OneDrive .
2. Na strani Restore your OneDrive: na spustnem seznamu izberite datum . Če obnavljate datoteke po samodejnem zaznavanju izsiljevalske programske opreme, bo za vas izbran datum obnovitve.
3. Po konfiguraciji vseh možnosti obnove datotek kliknite Obnovi da razveljavite vse izbrane dejavnosti.
Najboljši način za preprečitev škode zaradi okužb z izsiljevalsko programsko opremo je redno vzdrževanje varnostnih kopij.
