Ransomware-Viren sind Computerprogramme, die Ihre Dateien zunächst verschlüsseln und dann Geld verlangen, um sie entschlüsseln zu können. Ransomware-Viren sind zu einer wahren Epidemie geworden. Das Internet ist voll von Anfragen nach Hilfe beim Entschlüsseln von Dateien. Die meisten Ransomware-Viren sind einander sehr ähnlich. Sie schleichen sich in Ihren Computer ein und verschlüsseln dann Ihre Dateien. Es wird angenommen, dass die Hauptunterschiede zwischen ihnen der Verschlüsselungsalgorithmus und die Höhe des geforderten Lösegelds sind.

Bedenken Sie, dass Sie durch die Zahlung des Lösegelds keine Garantie dafür haben, dass Ihre Dateien erfolgreich entschlüsselt werden. Sie unterstützen lediglich das kriminelle Geschäft der Cyberkriminellen. Sie können nie sicher sein, was sie Ihnen schicken werden Der geheime Schlüssel, verwendet, um sie zu entschlüsseln. Versuchen Sie daher niemals, Kontakt zu den Kriminellen aufzunehmen oder ein Lösegeld zu zahlen. Darüber hinaus können sich Ransomware-Viren über P2P-Torrent-Netzwerke verbreiten, wo Benutzer gehackte Versionen herunterladen Software. Aus diesen Gründen sollten Sie beim Herunterladen von Dateien aus nicht verifizierten Quellen sowie beim Öffnen von Dateien, die von einem unbekannten E-Mail-Empfänger gesendet wurden, vorsichtig sein.

Desktop-Hintergrund auf einem PC, der mit ransomware.better_call_saul infiziert ist

Die meisten dieser Viren sind erst vor kurzem aufgetreten; .better_call_saul erschien etwa im Februar. Derzeit wird der.better_call_saul-Virus in Russland und anderen postsowjetischen Ländern recht aggressiv verbreitet. Die meisten Benutzer infizieren sich mit dem .better_call_saul-Virus, wenn sie auf Links in E-Mails klicken. Kriminelle verbreiten diesen Virus auch durch Spam-Mails mit infizierten Dateien als Anhang an E-Mails. Gehackte Websites sind die dritthäufigste Infektionsmethode mit ransomware.better_call_saul. Nachdem diese Ransomware erfolgreich in das System eingedrungen ist, verschlüsselt sie verschiedene auf Ihrem System gespeicherte Dateien Festplatte. Zur Verschlüsselung verwendet der Virus den RSA-3072-Algorithmus.

Bitte beachten Sie, dass dieser Virus die Erweiterung .better_call_saul am Ende des Namens jeder verschlüsselten Datei hinzufügt. Darüber hinaus ändert es das Erscheinungsbild des Desktops (ändert das Hintergrundbild) und erstellt in jedem Ordner, der verschlüsselte Dateien enthält, eine README.txt-Datei. Die Textdatei README.txt und auch das Desktop-Hintergrundbild enthalten eine Meldung, dass die Dateien verschlüsselt sind und dass das Opfer ein Lösegeld zahlen muss, um sie wiederherzustellen. In den Anweisungen wird dem Opfer empfohlen, sich schriftlich an die Cyberkriminellen zu wenden E-Mail, und senden Sie einen speziellen Code. Danach sollte das Opfer angeblich weitere Anweisungen erhalten.

Anschließend verlangen Cyberkriminelle die Zahlung von 14.000 bis 15.000 Rubel an ein spezielles QIWI-Wallet. Wenn das Lösegeld nicht innerhalb von 48 Stunden gezahlt wird, wird der Schlüssel gelöscht, der zur Entschlüsselung der Dateien verwendet und auf von den Kriminellen kontrollierten Servern gespeichert wurde. Bedenken Sie, dass es ohne diesen Schlüssel nicht möglich ist, Ihre Dateien zu entschlüsseln. Leider gibt es derzeit keine Tools, die mit dem .better_call_saul-Virus codierte Dateien entschlüsseln können. Eine Möglichkeit, dieses Problem zu lösen, besteht darin, das System oder die Dateien aus einem Backup wiederherzustellen. Im Folgenden werden einige weitere Möglichkeiten zur Bekämpfung dieses Virus beschrieben.

Entfernen Sie ransomware.better_call_saul mit dem automatischen Reiniger

Ausschließlich effektive Methode Arbeiten mit Malware im Allgemeinen und Ransomware im Besonderen. Die Verwendung eines bewährten Schutzkomplexes garantiert eine gründliche Erkennung etwaiger viraler Komponenten vollständige Entfernung mit einem Klick. Bitte beachten Sie, dass es sich um zwei verschiedene Prozesse handelt: die Deinstallation der Infektion und die Wiederherstellung von Dateien auf Ihrem PC. Die Bedrohung muss jedoch unbedingt entfernt werden, da es Informationen über die Einführung anderer Computertrojaner gibt, die sie nutzen.

1. . Klicken Sie nach dem Starten der Software auf die Schaltfläche Starten Sie den Computerscan(Scannen starten).
2. Die installierte Software erstellt einen Bericht über die beim Scannen erkannten Bedrohungen. Um alle erkannten Bedrohungen zu entfernen, wählen Sie die Option Beheben Sie Bedrohungen(Bedrohungen beseitigen). Die betreffende Schadsoftware wird vollständig entfernt.

Stellen Sie den Zugriff auf verschlüsselte Dateien wieder her

Wie bereits erwähnt, sperrt die .better_call_saul-Ransomware Dateien mithilfe eines starken Verschlüsselungsalgorithmus, sodass verschlüsselte Daten nicht mit einem Wisch wiederhergestellt werden können Zauberstab- wenn Sie nicht mit der Zahlung eines beispiellosen Lösegeldbetrags rechnen. Einige Methoden können jedoch wirklich lebensrettend sein und Ihnen bei der Wiederherstellung wichtiger Daten helfen. Nachfolgend können Sie sich mit ihnen vertraut machen.

Automatisches Dateiwiederherstellungsprogramm

Ein sehr ungewöhnlicher Umstand ist bekannt. Diese Infektion löscht die Originaldateien in unverschlüsselter Form. Das Verschlüsselungsverfahren zu Erpressungszwecken zielt somit auf Kopien davon ab. Dies ermöglicht Software wie die Wiederherstellung gelöschter Objekte, auch wenn die Zuverlässigkeit ihrer Entfernung gewährleistet ist. Es wird dringend empfohlen, auf das Verfahren zur Dateiwiederherstellung zurückzugreifen; seine Wirksamkeit steht außer Zweifel.

Schattenkopien von Bänden

Der Ansatz basiert auf Windows-Verfahren Dateisicherung, die an jedem Wiederherstellungspunkt wiederholt wird. Wichtige Arbeitsbedingungen diese Methode Hinweis: Vor der Infektion muss die Funktion „Systemwiederherstellung“ aktiviert werden. Allerdings werden alle nach dem Wiederherstellungspunkt vorgenommenen Änderungen an der Datei nicht in der wiederhergestellten Version der Datei angezeigt.

Sicherung

Dies ist die beste aller nicht erpressenden Methoden. Wenn das Datensicherungsverfahren ist Externer Server wurde vor dem Ransomware-Angriff auf Ihren Computer verwendet. Um verschlüsselte Dateien wiederherzustellen, müssen Sie lediglich die entsprechende Schnittstelle aufrufen, die erforderlichen Dateien auswählen und den Daaus dem Backup starten. Bevor Sie den Vorgang durchführen, müssen Sie sicherstellen, dass die Ransomware vollständig entfernt wurde.

Überprüfen Sie, ob möglicherweise verbleibende Ransomware-Komponenten vorhanden sind.better_call_saul

Bei der manuellen Reinigung besteht die Gefahr, dass einzelne Teile der Ransomware übersehen werden, die der Entfernung als versteckte Betriebssystemobjekte oder Registrierungselemente entgehen könnten. Um das Risiko einer teilweisen Speicherung einzelner schädlicher Elemente auszuschließen, scannen Sie Ihren Computer mit einer zuverlässigen Sicherheitssoftware. Softwarepaket, spezialisiert auf Malware.

Vor etwa ein oder zwei Wochen tauchte im Internet ein weiterer Hack moderner Virenhersteller auf, der alle Dateien des Benutzers verschlüsselt. Ich werde noch einmal über die Frage nachdenken, wie man einen Computer nach einem Ransomware-Virus heilen kann verschlüsselt000007 und verschlüsselte Dateien wiederherstellen. In diesem Fall ist nichts Neues oder Einzigartiges erschienen, sondern lediglich eine Modifikation der vorherigen Version.

Garantierte Entschlüsselung von Dateien nach einem Ransomware-Virus – dr-shifro.ru. Einzelheiten zur Arbeit und zum Schema der Interaktion mit dem Kunden finden Sie weiter unten in meinem Artikel oder auf der Website im Abschnitt „Arbeitsablauf“.

Beschreibung des Ransomware-Virus CRYPTED000007

Der CRYPTED000007-Verschlüsseler unterscheidet sich nicht grundlegend von seinen Vorgängern. Es funktioniert fast genauso. Dennoch gibt es einige Nuancen, die es auszeichnen. Ich erzähle dir alles der Reihe nach.

Es kommt wie seine Gegenstücke per Post an. Verwendete Techniken soziale Entwicklung damit sich der Benutzer sicherlich für den Brief interessiert und ihn öffnet. In meinem Fall ging es in dem Brief um eine Art Gericht und wichtige Informationen zum Fall im Anhang. Nach dem Starten des Anhangs öffnet der Benutzer ein Word-Dokument mit einem Auszug aus dem Moskauer Schiedsgericht.

Parallel zum Öffnen des Dokuments startet die Dateiverschlüsselung. Es taucht ständig auf Bekanntmachung aus der Windows-Benutzerkontensteuerung.

Wenn Sie mit dem Vorschlag einverstanden sind, dann Backups Dateien im Schatten Kopien von Windows werden gelöscht und die Wiederherstellung der Informationen wird sehr schwierig sein. Es ist offensichtlich, dass Sie dem Vorschlag auf keinen Fall zustimmen können. In diesem Verschlüsselungsprogramm tauchen diese Anfragen ständig nacheinander auf und hören nicht auf, was den Benutzer dazu zwingt, zuzustimmen und die Sicherungskopien zu löschen. Dies ist der Hauptunterschied zu früheren Modifikationen von Verschlüsselungsgeräten. Ich bin noch nie auf Anfragen gestoßen, Schattenkopien ohne Unterbrechung zu löschen. Normalerweise hörten sie nach 5-10 Angeboten auf.

Ich werde sofort eine Empfehlung für die Zukunft aussprechen. Es kommt sehr häufig vor, dass Benutzer die Warnungen der Benutzerkontensteuerung deaktivieren. Es besteht keine Notwendigkeit, dies zu tun. Dieser Mechanismus kann wirklich bei der Abwehr von Viren helfen. Der zweite offensichtliche Ratschlag ist, nicht ständig unter Druck zu arbeiten Konto Computeradministrator, es sei denn, es besteht ein objektiver Bedarf dafür. In diesem Fall hat der Virus keine Möglichkeit, großen Schaden anzurichten. Sie haben eine bessere Chance, ihm zu widerstehen.

Aber selbst wenn Sie auf die Anfragen der Ransomware immer negativ geantwortet haben, sind alle Ihre Daten bereits verschlüsselt. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, wird auf Ihrem Desktop ein Bild angezeigt.

Gleichzeitig befinden sich auf Ihrem Desktop viele Textdateien mit demselben Inhalt.

Ihre Dateien wurden verschlüsselt. Um ux zu entschlüsseln, müssen Sie den Code 329D54752553ED978F94|0 an die E-Mail-Adresse senden [email protected]. Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, es selbst zu entschlüsseln, führen zu nichts anderem als einer unwiderruflichen Menge an Informationen. Wenn Sie es dennoch versuchen möchten, erstellen Sie zunächst Sicherungskopien der Dateien, da sonst im Falle einer Änderung die Entschlüsselung auf keinen Fall unmöglich wird. Sollten Sie innerhalb von 48 Stunden (nur in diesem Fall!) keine Benachrichtigung an die oben genannte Adresse erhalten haben, nutzen Sie das Kontaktformular. Dies kann auf zwei Arten erfolgen: 1) Laden Sie den Tor-Browser über den Link herunter und installieren Sie ihn: https://www.torproject.org/download/download-easy.html.en Geben Sie in der Tor-Browser-Adresse die Adresse ein: http: //cryptsen7fo43rr6 .onion/ und drücken Sie die Eingabetaste. Die Seite mit dem Kontaktformular wird geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle wichtigen Dateien auf Ihrem Computer wurden verschlüsselt. Um die Dateien zu entschlüsseln, sollten Sie den folgenden Code senden: 329D54752553ED978F94|0 an die E-Mail-Adresse [email protected]. Anschließend erhalten Sie alle notwendigen Anweisungen. Alle Entschlüsselungsversuche durch Sie selbst führen nur zum unwiderruflichen Verlust Ihrer Daten. Wenn Sie dennoch versuchen möchten, sie selbst zu entschlüsseln, erstellen Sie bitte zunächst eine Sicherungskopie, da die Entschlüsselung bei Änderungen in den Dateien unmöglich wird. Wenn Sie die Antwort auf die oben genannte E-Mail länger als 48 Stunden nicht erhalten haben (und nur in diesem Fall!), nutzen Sie das Feedback-Formular. Sie können dies auf zwei Arten tun: 1) Laden Sie den Tor-Browser hier herunter: https://www.torproject.org/download/download-easy.html.en Installieren Sie ihn und geben Sie die folgende Adresse in die Adressleiste ein: http:/ /cryptsen7fo43rr6.onion/ Drücken Sie die Eingabetaste und dann wird die Seite mit dem Feedback-Formular geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der folgenden Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Postanschrift kann sich ändern. Außerdem bin ich auf folgende Adressen gestoßen:

• [email protected]
• [email protected]

Adressen werden ständig aktualisiert und können daher völlig unterschiedlich sein.

Sobald Sie feststellen, dass Ihre Dateien verschlüsselt sind, schalten Sie Ihren Computer sofort aus. Dies muss durchgeführt werden, um den Verschlüsselungsprozess sowohl auf dem lokalen Computer als auch auf Netzlaufwerken zu unterbrechen. Ein Verschlüsselungsvirus kann alle Informationen verschlüsseln, die er erreichen kann, auch auf Netzwerklaufwerken. Wenn dort jedoch eine große Menge an Informationen vorhanden ist, wird es viel Zeit in Anspruch nehmen. Manchmal gelang es der Ransomware nicht einmal innerhalb weniger Stunden, alles auf einem Netzwerklaufwerk mit einer Kapazität von etwa 100 Gigabyte zu verschlüsseln.

Als nächstes müssen Sie sorgfältig darüber nachdenken, wie Sie vorgehen. Wenn Sie um jeden Preis Informationen auf Ihrem Computer benötigen und keine Sicherungskopien haben, wenden Sie sich in diesem Moment besser an Spezialisten. Für einige Unternehmen nicht unbedingt gegen Geld. Du brauchst einfach jemanden, der gut darin ist Informationssysteme. Es ist notwendig, das Ausmaß der Katastrophe einzuschätzen, den Virus zu entfernen und alle verfügbaren Informationen über die Situation zu sammeln, um zu verstehen, wie weiter vorgegangen werden soll.

Falsche Aktionen auf in diesem Stadium kann den Prozess der Entschlüsselung oder Wiederherstellung von Dateien erheblich erschweren. Im schlimmsten Fall können sie es unmöglich machen. Nehmen Sie sich also Zeit, seien Sie vorsichtig und konsequent.

Wie der Ransomware-Virus CRYPTED000007 Dateien verschlüsselt

Nachdem der Virus gestartet wurde und seine Aktivität beendet hat, werden alle nützlichen Dateien verschlüsselt und umbenannt extension.crypted000007. Darüber hinaus wird nicht nur die Dateierweiterung ersetzt, sondern auch der Dateiname, sodass Sie nicht genau wissen, welche Art von Dateien Sie hatten, wenn Sie sich nicht erinnern. Es wird ungefähr so ​​aussehen.

In einer solchen Situation wird es schwierig sein, das Ausmaß der Tragödie einzuschätzen, da Sie sich nicht mehr vollständig an das erinnern können, was Sie in Ihrem Leben erlebt haben. verschiedene Ordner. Dies geschah speziell, um die Leute zu verwirren und sie zu ermutigen, für die Dateientschlüsselung zu bezahlen.

Und wenn Sie verschlüsselt hätten und Netzwerkordner und nein vollständige Backups, dann kann dies die Arbeit der gesamten Organisation vollständig zum Erliegen bringen. Es wird eine Weile dauern, herauszufinden, was letztendlich verloren gegangen ist, und dann mit der Wiederherstellung beginnen zu können.

So behandeln Sie Ihren Computer und entfernen die CRYPTED000007-Ransomware

Der CRYPTED000007-Virus befindet sich bereits auf Ihrem Computer. Die erste und wichtigste Frage ist, wie man einen Computer desinfiziert und wie man einen Virus von ihm entfernt, um eine weitere Verschlüsselung zu verhindern, wenn sie noch nicht abgeschlossen ist. Ich möchte Sie sofort darauf aufmerksam machen, dass die Chancen auf eine Entschlüsselung der Daten sinken, nachdem Sie selbst einige Aktionen mit Ihrem Computer ausgeführt haben. Wenn Sie Dateien um jeden Preis wiederherstellen müssen, berühren Sie Ihren Computer nicht, sondern wenden Sie sich sofort an einen Fachmann. Im Folgenden werde ich darüber sprechen, einen Link zur Website bereitstellen und beschreiben, wie sie funktionieren.

In der Zwischenzeit werden wir den Computer weiterhin selbstständig behandeln und den Virus entfernen. Traditionell lässt sich Ransomware leicht von einem Computer entfernen, da der Virus nicht die Aufgabe hat, um jeden Preis auf dem Computer zu verbleiben. Nach der vollständigen Verschlüsselung der Dateien ist es für ihn umso profitabler, sich selbst zu löschen und zu verschwinden, sodass es schwieriger wird, den Vorfall zu untersuchen und die Dateien zu entschlüsseln.

Es ist schwer zu beschreiben, wie man einen Virus manuell entfernt, obwohl ich das schon einmal versucht habe, aber ich sehe, dass es meistens sinnlos ist. Dateinamen und Virenplatzierungspfade ändern sich ständig. Was ich gesehen habe, ist in ein oder zwei Wochen nicht mehr relevant. Normalerweise werden Viren in Wellen per E-Mail verschickt, und jedes Mal gibt es eine neue Änderung, die von Antivirenprogrammen noch nicht erkannt wird. Universelle Tools, die den Start überprüfen und verdächtige Aktivitäten in Systemordnern erkennen, helfen dabei.

Um den CRYPTED000007-Virus zu entfernen, können Sie die folgenden Programme verwenden:

1. Kaspersky Virus Removal Tool – ein Dienstprogramm von Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. DR. Web CureIt! - ein ähnliches Produkt von einer anderen Website: http://free.drweb.ru/cureit.
3. Wenn die ersten beiden Dienstprogramme nicht helfen, versuchen Sie es mit MALWAREBYTES 3.0 – https://ru.malwarebytes.com.

Höchstwahrscheinlich wird eines dieser Produkte Ihren Computer von der Ransomware CRYPTED000007 befreien. Wenn es plötzlich passiert, dass sie nicht helfen, versuchen Sie, den Virus manuell zu entfernen. Ich habe ein Beispiel für die Entfernungsmethode gegeben und Sie können es dort sehen. Kurz gesagt, Schritt für Schritt müssen Sie wie folgt vorgehen:

1. Wir schauen uns die Liste der Prozesse an, nachdem wir dem Task-Manager mehrere zusätzliche Spalten hinzugefügt haben.
2. Wir finden den Virenprozess, öffnen den Ordner, in dem er liegt, und löschen ihn.
3. Wir löschen die Erwähnung des Virusprozesses anhand des Dateinamens in der Registrierung.
4. Wir starten neu und stellen sicher, dass der CRYPTED000007-Virus nicht in der Liste der laufenden Prozesse enthalten ist.

Wo kann man den Entschlüsseler CRYPTED000007 herunterladen?

Wenn es um einen Ransomware-Virus geht, stellt sich zunächst die Frage nach einem einfachen und zuverlässigen Entschlüsseler. Als erstes empfehle ich die Nutzung des Dienstes https://www.nomoreransom.org. Was ist, wenn Sie Glück haben und es einen Entschlüsseler für Ihre Version des CRYPTED000007-Verschlüsselungsprogramms gibt? Ich sage gleich, dass Sie nicht viele Chancen haben, aber es zu versuchen ist keine Folter. An Startseite Klicken Sie auf Ja:

Laden Sie dann ein paar verschlüsselte Dateien herunter und klicken Sie auf Los! Finde es heraus:

Zum Zeitpunkt des Verfassens dieses Artikels gab es auf der Website kein Entschlüsselungsprogramm.

Vielleicht haben Sie mehr Glück. Sie können die Liste der Entschlüsselungsprogramme auch auf einer separaten Seite einsehen – https://www.nomoreransom.org/decryption-tools.html. Vielleicht ist da etwas Nützliches dabei. Wenn das Virus völlig frisch ist, ist die Wahrscheinlichkeit gering, dass dies geschieht, aber im Laufe der Zeit kann etwas auftauchen. Es gibt Beispiele dafür, dass im Netzwerk Entschlüsseler für einige Modifikationen von Verschlüsselern aufgetaucht sind. Und diese Beispiele finden Sie auf der angegebenen Seite.

Ich weiß nicht, wo man sonst noch einen Decoder finden kann. Es ist unwahrscheinlich, dass es tatsächlich existieren wird, wenn man die Besonderheiten der Arbeit moderner Verschlüsselungsgeräte berücksichtigt. Nur die Autoren des Virus können über einen vollwertigen Entschlüsseler verfügen.

So entschlüsseln und stellen Sie Dateien nach dem CRYPTED000007-Virus wieder her

Was tun, wenn der CRYPTED000007-Virus Ihre Dateien verschlüsselt hat? Die technische Implementierung der Verschlüsselung erlaubt keine Entschlüsselung von Dateien ohne Schlüssel oder Entschlüsselungsprogramm, über das nur der Autor des Verschlüsselungsprogramms verfügt. Vielleicht gibt es einen anderen Weg, es zu bekommen, aber ich habe diese Informationen nicht. Wir können nur versuchen, Dateien mit improvisierten Methoden wiederherzustellen. Diese beinhalten:

• Werkzeug Schattenkopien Fenster.
• Gelöschte Datenwiederherstellungsprogramme

Überprüfen wir zunächst, ob Schattenkopien aktiviert sind. Dieses Tool funktioniert standardmäßig unter Windows 7 und höher, sofern Sie es nicht manuell deaktivieren. Um dies zu überprüfen, öffnen Sie die Computereigenschaften und gehen Sie zum Abschnitt Systemschutz.

Wenn Sie während der Infektion die UAC-Anfrage zum Löschen von Dateien in Schattenkopien nicht bestätigt haben, sollten einige Daten dort verbleiben. Ich habe zu Beginn der Geschichte ausführlicher über diese Bitte gesprochen, als ich über die Wirkung des Virus sprach.

Um Dateien einfach aus Schattenkopien wiederherzustellen, empfehle ich die Verwendung eines kostenlosen Programms – ShadowExplorer. Laden Sie das Archiv herunter, entpacken Sie das Programm und führen Sie es aus.

Die neueste Kopie der Dateien und das Stammverzeichnis von Laufwerk C werden geöffnet. In der oberen linken Ecke können Sie eine Sicherungskopie auswählen, wenn Sie mehrere davon haben. Überprüfen Sie die Verfügbarkeit verschiedener Exemplare notwendigen Dateien. Vergleichen Sie nach Datum, um die aktuellste Version zu erhalten. In meinem Beispiel unten habe ich auf meinem Desktop zwei Dateien gefunden, die vor drei Monaten zum letzten Mal bearbeitet wurden.

Ich konnte diese Dateien wiederherstellen. Dazu habe ich sie ausgewählt, mit der rechten Maustaste geklickt, „Exportieren“ ausgewählt und den Ordner angegeben, in dem sie wiederhergestellt werden sollen.

Nach dem gleichen Prinzip können Sie Ordner sofort wiederherstellen. Wenn Sie Schattenkopien hatten und diese nicht gelöscht haben, haben Sie gute Chancen, alle oder fast alle vom Virus verschlüsselten Dateien wiederherzustellen. Vielleicht werden es einige mehr sein alte Version, als uns lieb ist, aber dennoch ist es besser als nichts.

Wenn Sie aus irgendeinem Grund keine Schattenkopien Ihrer Dateien haben, besteht Ihre einzige Chance, zumindest etwas von den verschlüsselten Dateien zu erhalten, darin, sie mit Tools zur Wiederherstellung gelöschter Dateien wiederherzustellen. Dazu empfehle ich die Verwendung des kostenlosen Programms Photorec.

Starten Sie das Programm und wählen Sie die Festplatte aus, auf der Sie Dateien wiederherstellen möchten. Durch Starten der grafischen Version des Programms wird die Datei ausgeführt qphotorec_win.exe. Sie müssen einen Ordner auswählen, in dem die gefundenen Dateien abgelegt werden. Es ist besser, wenn sich dieser Ordner nicht auf demselben Laufwerk befindet, auf dem wir suchen. Schließen Sie ein Flash-Laufwerk oder ein externes Laufwerk an Festplatte dafür.

Der Suchvorgang wird lange dauern. Am Ende sehen Sie Statistiken. Nun können Sie in den zuvor angegebenen Ordner gehen und sehen, was sich dort befindet. Es werden höchstwahrscheinlich viele Dateien vorhanden sein, und die meisten davon sind entweder beschädigt oder es handelt sich um eine Art System- und nutzlose Dateien. Dennoch sind in dieser Liste einige nützliche Dateien zu finden. Hier gibt es keine Garantien; was Sie finden, ist, was Sie finden werden. Bilder lassen sich in der Regel am besten wiederherstellen.

Wenn Sie mit dem Ergebnis nicht zufrieden sind, gibt es auch Programme zum Wiederherstellen gelöschter Dateien. Nachfolgend finden Sie eine Liste der Programme, die ich normalerweise verwende, wenn ich die maximale Anzahl an Dateien wiederherstellen muss:

• R.sparer
• Starus-Dateiwiederherstellung
• JPEG-Wiederherstellung Pro
• Aktiver Dateiwiederherstellungsprofi

Diese Programme sind nicht kostenlos, daher werde ich keine Links bereitstellen. Wenn Sie wirklich wollen, können Sie sie selbst im Internet finden.

Der gesamte Dateiwiederherstellungsprozess wird im Video ganz am Ende des Artikels ausführlich gezeigt.

Kaspersky, eset nod32 und andere im Kampf gegen den Filecoder.ED-Verschlüsselungsdienst

Gängige Antivirenprogramme erkennen die Ransomware CRYPTED000007 als Filecoder.ED und dann könnte es noch eine andere Bezeichnung geben. Ich habe die wichtigsten Antiviren-Foren durchgesehen und dort nichts Nützliches gefunden. Leider erwies sich Antivirensoftware wie üblich als unvorbereitet für die Invasion einer neuen Ransomware-Welle. Hier ist ein Beitrag aus dem Kaspersky-Forum.

Antivirenprogramme übersehen traditionell neue Modifikationen von Ransomware-Trojanern. Dennoch empfehle ich die Verwendung. Wenn Sie Glück haben und nicht in der ersten Infektionswelle, sondern etwas später eine Ransomware-E-Mail erhalten, besteht die Möglichkeit, dass Ihnen das Antivirenprogramm hilft. Sie alle agieren einen Schritt hinter den Angreifern. Es stellt sich heraus eine neue Version Ransomware, Antivirenprogramme reagieren nicht darauf. Sobald sich eine gewisse Menge an Material für die Erforschung eines neuen Virus ansammelt, veröffentlicht die Antivirensoftware ein Update und beginnt darauf zu reagieren.

Ich verstehe nicht, was Antivirenprogramme daran hindert, sofort auf Verschlüsselungsvorgänge im System zu reagieren. Möglicherweise gibt es bei diesem Thema eine technische Nuance, die es uns nicht ermöglicht, angemessen zu reagieren und die Verschlüsselung von Benutzerdateien zu verhindern. Meiner Meinung nach wäre es möglich, zumindest eine Warnung anzuzeigen, dass jemand Ihre Dateien verschlüsselt, und anzubieten, den Vorgang zu stoppen.

Wohin für eine garantierte Entschlüsselung?

Ich traf zufällig ein Unternehmen, das tatsächlich Daten entschlüsselt, nachdem verschiedene Verschlüsselungsviren, darunter CRYPTED000007, eingesetzt wurden. Ihre Adresse ist http://www.dr-shifro.ru. Zahlung erst nach vollständiger Entschlüsselung und Ihrer Verifizierung. Hier ist ein ungefähres Arbeitsschema:

1. Ein Unternehmensspezialist kommt zu Ihnen ins Büro oder nach Hause und unterzeichnet mit Ihnen einen Vertrag, in dem die Kosten für die Arbeiten festgelegt sind.
2. Startet den Entschlüsseler und entschlüsselt alle Dateien.
3. Sie stellen sicher, dass alle Dateien geöffnet sind und unterzeichnen die Liefer-/Abnahmebescheinigung der abgeschlossenen Arbeiten.
4. Die Zahlung erfolgt ausschließlich bei erfolgreichem Entschlüsselungsergebnis.

Ich bin ehrlich, ich weiß nicht, wie sie das machen, aber man riskiert nichts. Bezahlung erst nach Demonstration der Funktionsfähigkeit des Decoders. Bitte schreiben Sie eine Bewertung über Ihre Erfahrungen mit diesem Unternehmen.

Methoden zum Schutz vor dem CRYPTED000007-Virus

Wie schützt man sich vor Ransomware und vermeidet materiellen und moralischen Schaden? Es gibt einige einfache und effektive Tipps:

1. Sicherung! Sicherung aller wichtigen Daten. Und nicht nur ein Backup, sondern ein Backup, zu dem es keins gibt dauerhafter Zugang. Andernfalls kann der Virus sowohl Ihre Dokumente als auch Sicherungskopien infizieren.
2. Lizenziertes Antivirenprogramm. Sie bieten zwar keine hundertprozentige Garantie, erhöhen aber die Chancen, eine Verschlüsselung zu umgehen. Meistens sind sie nicht bereit für neue Versionen des Verschlüsselungsprogramms, aber nach 3-4 Tagen beginnen sie zu reagieren. Dies erhöht Ihre Chancen, eine Infektion zu vermeiden, wenn Sie nicht in die erste Verbreitungswelle einer neuen Modifikation der Ransomware einbezogen wurden.
3. Öffnen Sie keine verdächtigen Anhänge in E-Mails. Hier gibt es nichts zu kommentieren. Sämtliche mir bekannte Ransomware erreichte die Nutzer per E-Mail. Darüber hinaus werden jedes Mal neue Tricks erfunden, um das Opfer zu täuschen.
4. Öffnen Sie nicht gedankenlos Links, die Ihnen Ihre Freunde über soziale Netzwerke oder Instant Messenger geschickt haben. Auf diese Weise verbreiten sich manchmal auch Viren.
5. Anmachen Windows-Anzeige Dateierweiterungen. Wie das geht, ist im Internet leicht zu finden. Dadurch können Sie die Dateierweiterung des Virus erkennen. Meistens wird es so sein .exe, .vbs, .src. Bei Ihrer täglichen Arbeit mit Dokumenten werden Sie wahrscheinlich nicht auf solche Dateierweiterungen stoßen.

Ich habe versucht, das zu ergänzen, was ich bereits in jedem Artikel über den Ransomware-Virus geschrieben habe. In der Zwischenzeit verabschiede ich mich. Ich würde mich über nützliche Kommentare zum Artikel und zum CRYPTED000007-Ransomware-Virus im Allgemeinen freuen.

Video über Dateientschlüsselung und -wiederherstellung

Hier ist ein Beispiel einer früheren Modifikation des Virus, aber das Video ist für CRYPTED000007 vollständig relevant.

Ende 2016 wurde es bemerkt neuer Ransomware-Virus– NO_MORE_RANSOM. Aufgrund der Erweiterung, die es den Benutzerdateien zuweist, erhielt es einen so langen Namen.

Ich habe viel von anderen Viren übernommen, zum Beispiel von da_vinci_cod. Da es kürzlich im Internet aufgetaucht ist, ist es den Antivirenlaboren noch nicht gelungen, seinen Code zu entschlüsseln. Und das wird ihnen in naher Zukunft wahrscheinlich auch nicht gelingen – es kommt ein verbesserter Verschlüsselungsalgorithmus zum Einsatz. Lassen Sie uns also herausfinden, was zu tun ist, wenn Ihre Dateien mit der Erweiterung „no_more_ransom“ verschlüsselt sind.

Beschreibung und Funktionsprinzip

Zu Beginn des Jahres 2017 wurden viele Foren mit der Meldung „no_more_ransom virus hat verschlüsselte Dateien“ überschwemmt, in der Benutzer um Hilfe bei der Beseitigung der Bedrohung baten. Es wurden nicht nur private Computer, sondern ganze Organisationen (insbesondere solche, die 1C-Datenbanken verwenden) angegriffen. Die Situation ist für alle Opfer ungefähr gleich: Sie haben den Anhang geöffnet Email, nach einiger Zeit erhielten die Dateien die Erweiterung No_more_ransom. Der Ransomware-Virus hat alle gängigen Viren umgangen Antivirenprogramme.

Im Allgemeinen ist No_more_ransom aufgrund des Infektionsprinzips nicht von seinen Vorgängern zu unterscheiden:

So heilen oder entfernen Sie den No_more_ransom-Virus

Es ist wichtig zu verstehen, dass Sie, nachdem Sie No_more_ransom selbst gestartet haben, die Möglichkeit verlieren, den Zugriff auf Dateien mithilfe des Passworts des Angreifers wiederherzustellen. Ist es möglich, eine Datei nach No_more_ransom wiederherzustellen? Bis heute gibt es keinen hundertprozentig funktionierenden Algorithmus zum Entschlüsseln von Daten. Einzige Ausnahme bilden Dienstprogramme namhafter Labore, allerdings dauert die Passwortauswahl sehr lange (Monate, Jahre). Aber mehr zur Genesung weiter unten. Lassen Sie uns zunächst herausfinden, wie Sie einen Trojaner Nr. identifizieren können mehr Lösegeld(Übersetzung – „kein Lösegeld mehr“) und es überwinden.

In der Regel lässt installierte Antivirensoftware Ransomware in den Computer eindringen – oft werden neue Versionen veröffentlicht, für die einfach keine Zeit bleibt, Datenbanken freizugeben. Viren dieser Art lassen sich recht einfach von einem Computer entfernen, da Betrüger es nicht benötigen, dass sie nach Abschluss ihrer Aufgabe (Verschlüsselung) im System verbleiben. Um es zu entfernen, können Sie vorgefertigte Dienstprogramme verwenden, die kostenlos verteilt werden:

Die Verwendung ist sehr einfach: Starten, Datenträger auswählen, auf „Scan starten“ klicken. Es bleibt nur noch zu warten. Anschließend erscheint ein Fenster, in dem alle Bedrohungen angezeigt werden. Klicken Sie auf „Löschen“.

Höchstwahrscheinlich wird eines dieser Dienstprogramme den Ransomware-Virus entfernen. Geschieht dies nicht, ist eine manuelle Entfernung erforderlich:

Wenn Sie einen Virus schnell bemerken und es schaffen, ihn zu entfernen, besteht die Möglichkeit, dass einige Daten nicht verschlüsselt werden. Es ist besser, Dateien, die nicht angegriffen wurden, auf einem separaten Laufwerk zu speichern.

Entschlüsselungsprogramme zum Entschlüsseln von „No_more_ransom“-Dateien

Es ist einfach unmöglich, den Code selbst zu finden, es sei denn, Sie sind ein fortgeschrittener Hacker. Zur Entschlüsselung benötigen Sie spezielle Dienstprogramme. Ich sage gleich, dass nicht jeder in der Lage sein wird, eine verschlüsselte Datei wie „No_more_ransom“ zu entschlüsseln. Der Virus ist neu, daher ist das Erraten eines Passworts eine sehr schwierige Aufgabe.

Daher versuchen wir zunächst, Daten aus Schattenkopien wiederherzustellen. Default operationssystem, ab Windows 7, speichert regelmäßig Kopien Ihrer Dokumente. In einigen Fällen ist der Virus nicht in der Lage, Kopien zu löschen. Deshalb laden wir herunter kostenloses Programm ShadowExplorer. Sie müssen nichts installieren – Sie müssen es nur entpacken.

Wenn der Virus die Kopien nicht löscht, besteht eine Chance, etwa 80–90 % der verschlüsselten Informationen wiederherzustellen.

Namhafte Antiviren-Labore bieten auch Entschlüsselungsprogramme zur Wiederherstellung von Dateien nach dem No_more_ransom-Virus an. Sie sollten jedoch nicht damit rechnen, dass diese Dienstprogramme Ihre Daten wiederherstellen können. Verschlüsselungsgeräte werden ständig verbessert und Experten haben einfach keine Zeit, Updates für jede Version zu veröffentlichen. Senden Sie Proben an technische Unterstützung Antivirenlabore zur Unterstützung von Entwicklern.

Um No_more_ransom zu bekämpfen, gibt es Kaspersky Decryptor. Das Dienstprogramm wird in zwei Versionen mit Präfixen und Rakhni präsentiert (es gibt separate Artikel dazu auf unserer Website). Um den Virus zu bekämpfen und Dateien zu entschlüsseln, müssen Sie lediglich das Programm ausführen und Scan-Speicherorte auswählen.

Darüber hinaus müssen Sie eines der gesperrten Dokumente angeben, damit das Dienstprogramm mit dem Erraten des Passworts beginnen kann.

Sie können auch den besten Entschlüsseler No_more_ransom kostenlos von Dr. herunterladen. Netz. Das Dienstprogramm heißt matsnu1decrypt. Nach einem ähnlichen Szenario funktioniert es mit Programmen von Kaspersky. Sie müssen lediglich den Scan ausführen und warten, bis er abgeschlossen ist.

, VIDEO, MUSIK und andere persönliche Dateien auf .NO_MORE_RANSOM und ändert den ursprünglichen Namen in eine zufällige Kombination aus Buchstaben und Zahlen. Allerdings sind die meisten Dateien die wichtigsten Formate .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP nicht öffnen. Buchhaltung 1C das ____ funktioniert nicht. So sieht es aus:

Der technische Support von Kaspersky Lab, Dr.Web und anderen namhaften Unternehmen, die Antivirensoftware entwickeln, berichtet als Reaktion auf Benutzeranfragen zur Entschlüsselung von Daten, dass dies nicht in akzeptabler Zeit möglich sei.

Aber verzweifeln Sie nicht!

Tatsache ist, dass das Schadprogramm, nachdem es in Ihren Computer eingedrungen ist, als Werkzeug die völlig legale GPG-Verschlüsselungssoftware und den beliebten Verschlüsselungsalgorithmus RSA-1024 verwendet. Da dieses Dienstprogramm an vielen Orten verwendet wird und an sich kein Virus ist, lassen Antivirenprogramme es durch und blockieren seinen Betrieb nicht. Zur Verschlüsselung von Dateien wird ein öffentlicher und ein privater Schlüssel generiert. Der private Schlüssel wird an den Server des Angreifers gesendet, während der öffentliche Schlüssel auf dem Computer des Benutzers verbleibt. Zum Entschlüsseln von Dateien werden beide Schlüssel benötigt! Die Angreifer überschreiben vorsichtig den privaten Schlüssel auf dem betroffenen Computer. Aber das passiert nicht immer. Seit mehr als drei Jahren tadellose Arbeit, Spezialisten Dr.SHIFRO Wir haben Tausende von Variationen der Aktivitäten von Malware untersucht und können vielleicht sogar in einer scheinbar aussichtslosen Situation eine Lösung anbieten, mit der Sie Ihre Daten zurückerhalten können.

In diesem Video können Sie den tatsächlichen Betrieb des Entschlüsselers auf dem Computer eines unserer Kunden verfolgen:

Um die Möglichkeit einer Entschlüsselung zu analysieren, senden Sie zwei Beispiele verschlüsselter Dateien: einen Text (doc, docx, odt, txt oder rtf mit einer Größe von bis zu 100 KB), die zweite Grafik (jpg, png, bmp, tif oder pdf mit einer Größe von bis zu 3). MB groß). Sie benötigen außerdem eine Notizdatei der Angreifer. Nach Prüfung der Unterlagen erstellen wir Ihnen einen Kostenvoranschlag. Dateien können per E-Mail versendet werden [email protected] oder nutzen Sie das Dateieinreichungsformular auf der Website (orangefarbener Button).

KOMMENTARE (2)

Habe den NCOV-Virus bekommen. Nachdem wir im Internet nach einer Entschlüsselungsmethode gesucht hatten, sind wir auf diese Seite gestoßen. Der Spezialist beschrieb schnell und ausführlich, was zu tun war. Um dies zu gewährleisten, wurden 5 Testdateien entschlüsselt. Sie gaben die Kosten bekannt und nach der Bezahlung war alles innerhalb weniger Stunden entschlüsselt. Allerdings wurde nicht nur der Computer verschlüsselt, sondern auch Netzlaufwerk. Vielen Dank für Ihre Hilfe!

Guten Tag! Ich hatte kürzlich eine ähnliche Situation mit dem NCOV-Virus, der keine Zeit hatte, alle Festplatten zu verschlüsseln, weil... Nach einiger Zeit öffnete ich den Ordner mit dem Foto und sah einen leeren Umschlag und einen Dateinamen aus einem anderen Buchstaben- und Zahlensatz, den ich sofort herunterlud und startete kostenloses Dienstprogramm um Trojaner zu entfernen. Der Virus kam per Post an und es gab einen überzeugenden Brief, den ich öffnete und den Anhang startete. Der Computer verfügt über 4 sehr große Festplatten (Terabyte). Kontaktiert verschiedene Unternehmen, die im Internet voll sind und ihre Dienste anbieten, aber selbst bei erfolgreicher Entschlüsselung befinden sich alle Dateien in einem separaten Ordner und sind alle durcheinander. Niemand gibt eine Garantie für eine 100-prozentige Entschlüsselung. Ich kontaktierte Kaspersky Lab und selbst dort wurde mir nicht geholfen..html# Also beschloss ich, Kontakt aufzunehmen. Ich schickte drei Testfotos und erhielt nach einer Weile eine Antwort mit einer vollständigen Abschrift davon. In der Postkorrespondenz wurde mir entweder aus der Ferne oder zu Hause angeboten. Ich beschloss, es zu Hause zu machen. Wir legten Datum und Uhrzeit der Ankunft des Spezialisten fest. Unmittelbar in der Korrespondenz wurde der Betrag für den Decoder vereinbart und nach erfolgreicher Entschlüsselung unterzeichneten wir einen Arbeitsvertrag und ich leistete die Zahlung gemäß der Vereinbarung. Das Entschlüsseln der Dateien nahm viel Zeit in Anspruch, da einige der Videos groß waren. Nach der vollständigen Entschlüsselung stellte ich sicher, dass alle meine Dateien wieder ihre ursprüngliche Form und die richtige Dateierweiterung hatten. Volumen Festplatte wieder derselbe wie vor der Infektion, da die Bandscheiben während der Infektion fast vollständig verstopft waren. Diejenigen, die über Betrüger usw. schreiben, ich bin damit nicht einverstanden. Dies wird entweder von Konkurrenten aus Wut geschrieben, weil sie keinen Erfolg haben, oder von Menschen, die durch etwas beleidigt sind. Bei mir hat alles super geklappt, meine Ängste gehören der Vergangenheit an. Ich sah wieder meine alten Familienfotos, die ich vor langer Zeit gemacht hatte, und Familienvideos, die ich selbst bearbeitet hatte. Ich möchte der Firma dr.Shifro und persönlich Igor Nikolaevich meinen Dank aussprechen, der mir bei der Wiederherstellung aller meiner Daten geholfen hat. Vielen Dank und viel Glück! Alles, was geschrieben wird, ist meine persönliche Meinung und Sie entscheiden, an wen Sie sich wenden.

Ende 2016 wurde die Welt von einem sehr nicht trivialen Trojaner namens NO_MORE_RANSOM angegriffen, der Benutzerdokumente und Multimedia-Inhalte verschlüsselt. Wie Dateien entschlüsselt werden, nachdem sie dieser Bedrohung ausgesetzt waren, wird weiter erläutert. Es lohnt sich jedoch, alle angegriffenen Benutzer sofort zu warnen, dass es keine einheitliche Technik gibt. Dies ist auf die Verwendung einer der fortschrittlichsten Methoden und den Grad des Eindringens des Virus in das Computersystem oder sogar in das Computersystem zurückzuführen lokales Netzwerk(obwohl es ursprünglich nicht für Netzwerkauswirkungen konzipiert war).

Was ist der NO_MORE_RANSOM-Virus und wie funktioniert er?

Im Allgemeinen wird der Virus selbst normalerweise einer Klasse von Trojanern wie „I Love You“ zugeordnet, die in ein Computersystem eindringen und Benutzerdateien (normalerweise Multimedia) verschlüsseln. Wenn sich der Vorläufer zwar nur in der Verschlüsselung unterschied, dann hat dieser Virus viel von der einst aufsehenerregenden Bedrohung namens DA_VINCI_COD übernommen und die Funktionen einer Ransomware kombiniert.

Nach der Infektion erhalten die meisten Audio-, Video-, Grafik- oder Office-Dokumentdateien einen langen Namen mit der Erweiterung NO_MORE_RANSOM, der ein komplexes Passwort enthält.

Wenn Sie versuchen, sie zu öffnen, erscheint auf dem Bildschirm eine Meldung, dass die Dateien verschlüsselt sind und dass Sie zum Entschlüsseln einen bestimmten Betrag bezahlen müssen.

Wie gelangt die Bedrohung in das System?

Lassen wir die Frage, wie man Dateien eines der oben genannten Typen entschlüsseln kann, nachdem sie NO_MORE_RANSOM ausgesetzt waren, vorerst beiseite und wenden wir uns der Technologie zu, wie ein Virus in ein Computersystem eindringt. Leider wird dafür, so wie es auch klingen mag, die altbewährte Methode verwendet: Eine E-Mail mit Anhang wird an die E-Mail-Adresse gesendet und beim Öffnen erhält der Benutzer einen Schadcode.

Wie wir sehen, ist diese Technik nicht originell. Die Nachricht kann jedoch als bedeutungsloser Text getarnt sein. Oder im Gegenteil, wenn es sich beispielsweise um große Unternehmen handelt, die Bedingungen eines Vertrags zu ändern. Es ist klar, dass ein gewöhnlicher Angestellter eine Investition eröffnet und dann ein katastrophales Ergebnis erzielt. Einer der auffälligsten Ausbrüche war die Verschlüsselung von Datenbanken des beliebten 1C-Pakets. Und das ist schon eine ernste Angelegenheit.

NO_MORE_RANSOM: Wie entschlüssele ich Dokumente?

Dennoch lohnt es sich, sich mit dem Hauptproblem auseinanderzusetzen. Sicherlich interessiert sich jeder dafür, wie man Dateien entschlüsselt. Der NO_MORE_RANSOM-Virus hat seine eigene Abfolge von Aktionen. Wenn der Benutzer sofort nach der Infektion versucht, die Datei zu entschlüsseln, gibt es immer noch eine Möglichkeit, dies zu tun. Wenn sich die Bedrohung fest im System etabliert hat, ist dies ohne die Hilfe von Spezialisten leider nicht möglich. Doch oft erweisen sie sich als machtlos.

Wenn die Bedrohung rechtzeitig erkannt wurde, gibt es nur einen Weg: Wenden Sie sich an den Support von Antiviren-Unternehmen (noch sind nicht alle Dokumente verschlüsselt), senden Sie ein paar unzugängliche Dateien und basierend auf einer Analyse der Originale Versuchen Sie, bereits infizierte Dokumente, die auf Wechselmedien gespeichert sind, wiederherzustellen, indem Sie zunächst alles, was noch zum Öffnen verfügbar ist, auf dasselbe Flash-Laufwerk kopieren (obwohl es auch keine vollständige Garantie dafür gibt, dass der Virus nicht in solche Dokumente eingedrungen ist). Danach müssen die Medien zur Sicherheit zumindest überprüft werden Antivirenscanner(man weiß nie).

Algorithmus

Erwähnenswert ist auch, dass der Virus zur Verschlüsselung den RSA-3072-Algorithmus verwendet, der im Gegensatz zur bisher verwendeten RSA-2048-Technologie so komplex ist, dass die Wahl des richtigen Passworts selbst dann möglich ist, wenn das gesamte Kontingent der Antivirenlabore daran beteiligt ist Dies kann Monate oder Jahre dauern. Daher wird die Frage, wie NO_MORE_RANSOM entschlüsselt werden kann, ziemlich viel Zeit in Anspruch nehmen. Was aber, wenn Sie Informationen sofort wiederherstellen müssen? Entfernen Sie zunächst den Virus selbst.

Ist es möglich, einen Virus zu entfernen und wie geht das?

Eigentlich ist das nicht schwierig. Gemessen an der Unverschämtheit der Erfinder des Virus besteht eine Bedrohung Computersystem nicht getarnt. Im Gegenteil, es ist für sie sogar von Vorteil, sich nach Abschluss der durchgeführten Aktionen „zu entfernen“.

Dennoch sollte zunächst, dem Beispiel des Virus folgend, dieses noch neutralisiert werden. Der erste Schritt besteht darin, portable Sicherheitsprogramme wie KVRT, Malwarebytes, Dr. Web CureIt! und dergleichen. Bitte beachten Sie: Die zum Testen verwendeten Programme müssen portabler Art sein (ohne Installation auf einer Festplatte und optimalerweise von Wechselmedien gestartet). Wird eine Bedrohung entdeckt, sollte diese umgehend entfernt werden.

Wenn solche Aktionen nicht bereitgestellt werden, müssen Sie zunächst zum „Task-Manager“ gehen und alle mit dem Virus verbundenen Prozesse beenden und die Dienste nach Namen sortieren (normalerweise ist dies der Runtime Broker-Prozess).

Nachdem Sie die Aufgabe abgebrochen haben, müssen Sie den Editor aufrufen Systemregistrierung(regedit im Menü „Ausführen“) und suchen Sie nach dem Namen „Client Server Runtime System“ (ohne Anführungszeichen). Verwenden Sie dann das Menü zum Navigieren durch die Ergebnisse „Weitersuchen ...“, um alle gefundenen Elemente zu löschen. Als nächstes müssen Sie den Computer neu starten und im „Task-Manager“ prüfen, ob der gesuchte Prozess vorhanden ist.

Grundsätzlich lässt sich mit dieser Methode die Frage lösen, wie der NO_MORE_RANSOM-Virus im Infektionsstadium entschlüsselt werden kann. Die Wahrscheinlichkeit seiner Neutralisierung ist natürlich gering, aber es besteht eine Chance.

So entschlüsseln Sie mit NO_MORE_RANSOM: Backups verschlüsselte Dateien

Aber es gibt noch eine andere Technik, die nur wenige Menschen kennen oder auch nur vermuten. Tatsache ist, dass das Betriebssystem selbst ständig eigene Schatten-Backups erstellt (z. B. im Falle einer Wiederherstellung) oder der Benutzer solche Images absichtlich erstellt. Wie die Praxis zeigt, befällt der Virus genau diese Kopien nicht (dies ist in seiner Struktur einfach nicht vorgesehen, aber nicht ausgeschlossen).

Das Problem, NO_MORE_RANSOM zu entschlüsseln, besteht also darin, sie zu verwenden. Verwenden Sie jedoch Standard Windows-Tools nicht empfohlen (und viele Benutzer haben überhaupt keinen Zugriff auf versteckte Kopien). Daher müssen Sie das Dienstprogramm ShadowExplorer verwenden (es ist portabel).

Zum Wiederherstellen müssen Sie lediglich die ausführbare Datei ausführen, die Informationen nach Datum oder Abschnitten sortieren, die gewünschte Kopie (einer Datei, eines Ordners oder des gesamten Systems) auswählen und die Exportzeile über das RMB-Menü verwenden. Als nächstes wählen Sie einfach das Verzeichnis aus, in dem die aktuelle Kopie gespeichert werden soll, und verwenden dann den Standard-Wiederherstellungsprozess.

Dienstprogramme von Drittanbietern

Für das Problem, NO_MORE_RANSOM zu entschlüsseln, bieten viele Labore natürlich ihre eigenen Lösungen an. Kaspersky Lab empfiehlt beispielsweise die Verwendung eines eigenen Software Kaspersky Decryptor, präsentiert in zwei Modifikationen – Rakhini und Rector.

Ähnliche Entwicklungen wie der NO_MORE_RANSOM-Decoder von Dr. sehen nicht weniger interessant aus. Netz. Hier muss jedoch sofort berücksichtigt werden, dass der Einsatz solcher Programme nur dann gerechtfertigt ist, wenn eine Bedrohung schnell erkannt wird, bevor alle Dateien infiziert sind. Wenn der Virus fest im System verankert ist (wenn verschlüsselte Dateien einfach nicht mit ihren unverschlüsselten Originalen verglichen werden können), können solche Anwendungen auch nutzlos sein.

Infolge

Eigentlich liegt nur eine Schlussfolgerung nahe: Es ist notwendig, diesen Virus ausschließlich in der Infektionsphase zu bekämpfen, wenn nur die ersten Dateien verschlüsselt werden. Im Allgemeinen ist es am besten, Anhänge in E-Mail-Nachrichten, die von zweifelhaften Quellen stammen, nicht zu öffnen (dies gilt ausschließlich für Clients, die direkt auf dem Computer installiert sind – Outlook, Oulook Express usw.). Wenn einem Mitarbeiter des Unternehmens außerdem eine Liste mit Adressen von Kunden und Partnern zur Verfügung steht, ist das Öffnen „unangemessener“ Nachrichten völlig unpraktisch, da die meisten Menschen bei der Bewerbung um eine Stelle Geheimhaltungsvereinbarungen zu Geschäftsgeheimnissen und Cybersicherheit unterzeichnen.