Virus Ransomware adalah program komputer, yang terlebih dahulu mengenkripsi file Anda dan kemudian meminta uang agar dapat mendekripsinya. Virus Ransomware telah menjadi epidemi yang nyata. Internet dipenuhi dengan permintaan bantuan untuk mendekripsi file. Kebanyakan virus ransomware sangat mirip satu sama lain. Mereka menyelinap ke komputer Anda dan kemudian mengenkripsi file Anda. Perbedaan utama di antara keduanya diyakini terletak pada algoritma enkripsi dan jumlah uang tebusan yang diperlukan.

Ingatlah bahwa dengan membayar uang tebusan, Anda tidak memiliki jaminan bahwa file Anda akan berhasil didekripsi. Anda hanya mendukung bisnis kriminal penjahat dunia maya. Anda tidak pernah bisa yakin apa yang akan mereka kirimkan kepada Anda Kunci rahasia, digunakan untuk mendekripsinya. Oleh karena itu, jangan pernah mencoba menghubungi penjahat atau membayar uang tebusan. Selain itu, virus ransomware dapat menyebar melalui jaringan torrent P2P, tempat pengguna mengunduh versi yang diretas perangkat lunak. Oleh karena itu, Anda harus berhati-hati saat mengunduh file dari sumber yang tidak diverifikasi, serta saat membuka file yang dikirim dari penerima yang tidak dikenal. Surel.

Wallpaper desktop di PC yang terinfeksi ransomware.better_call_saul

Sebagian besar virus ini muncul baru-baru ini; .better_call_saul muncul sekitar bulan Februari. Saat ini, virus .better_call_saul menyebar cukup agresif di Rusia dan negara-negara pasca-Soviet lainnya. Sebagian besar pengguna terinfeksi virus .better_call_saul ketika mereka mengeklik tautan di email. Penjahat juga akan menyebarkan virus ini melalui surat spam dengan file terinfeksi yang dilampirkan ke email. Situs web yang diretas adalah metode infeksi ransomware.better_call_saul yang paling umum ketiga. Setelah berhasil menembus sistem, ransomware ini mengenkripsi berbagai file yang tersimpan di Anda hard drive. Untuk enkripsi, virus menggunakan algoritma RSA-3072.

Harap dicatat bahwa virus ini menambahkan ekstensi .better_call_saul di akhir nama setiap file terenkripsi. Selain itu, mengubah tampilan desktop (mengubah wallpaper) dan membuat file README.txt di setiap folder yang berisi file terenkripsi. File teks README.txt dan juga wallpaper desktop berisi pesan yang menyatakan bahwa file tersebut dienkripsi dan untuk memulihkannya, korban harus membayar uang tebusan. Dalam instruksinya, korban disarankan untuk menghubungi penjahat dunia maya dengan menulis ke alamat yang ditentukan alamat email, dan kirim kode khusus. Setelah ini, korban seharusnya menerima instruksi lebih lanjut.

Penjahat dunia maya kemudian meminta untuk membayar 14-15 ribu rubel ke dompet QIWI khusus. Jika uang tebusan tidak dibayarkan dalam waktu 48 jam, maka kunci yang digunakan untuk mendekripsi file dan disimpan di server yang dikendalikan oleh penjahat akan dihapus. Ingatlah bahwa tanpa kunci ini mustahil mendekripsi file Anda. Sayangnya, saat ini belum ada alat yang mampu mendekripsi file yang dikodekan oleh virus .better_call_saul. Salah satu cara untuk mengatasi masalah ini adalah dengan memulihkan sistem atau file dari cadangan. Beberapa opsi lain untuk memerangi virus ini diuraikan di bawah ini.

Hapus ransomware.better_call_saul dengan pembersih otomatis

Khusus metode yang efektif bekerja dengan malware pada umumnya dan ransomware pada khususnya. Penggunaan kompleks pelindung yang terbukti menjamin deteksi menyeluruh terhadap komponen virus apa pun penghapusan lengkap dengan satu klik. Harap dicatat bahwa kita berbicara tentang dua proses berbeda: menghapus instalasi infeksi dan memulihkan file di PC Anda. Namun, ancaman tersebut tentu perlu dihilangkan, karena ada informasi tentang masuknya Trojan komputer lain yang menggunakannya.

1. . Setelah memulai perangkat lunak, klik tombol Mulai Pemindaian Komputer(Mulai memindai).
2. Perangkat lunak yang diinstal akan memberikan laporan tentang ancaman yang terdeteksi selama pemindaian. Untuk menghapus semua ancaman yang terdeteksi, pilih opsi Perbaiki keadaan(Hilangkan ancaman). Malware yang dimaksud akan dihapus sepenuhnya.

Pulihkan akses ke file terenkripsi

Seperti disebutkan, ransomware .better_call_saul mengunci file menggunakan algoritma enkripsi yang kuat sehingga data terenkripsi tidak dapat dipulihkan dengan gesekan. tongkat sihir- jika Anda tidak memperhitungkan pembayaran jumlah tebusan yang belum pernah terjadi sebelumnya. Namun beberapa metode benar-benar dapat menjadi penyelamat yang akan membantu Anda memulihkan data penting. Di bawah ini Anda dapat membiasakan diri dengan mereka.

Program pemulihan file otomatis

Suatu keadaan yang sangat tidak biasa diketahui. Infeksi ini menghapus file asli dalam bentuk tidak terenkripsi. Proses enkripsi untuk tujuan pemerasan menargetkan salinannya. Hal ini memberikan peluang bagi hal tersebut perangkat lunak cara memulihkan objek yang terhapus, meskipun keandalan penghapusannya terjamin. Sangat disarankan untuk menggunakan prosedur pemulihan file; efektivitasnya tidak diragukan lagi.

Salinan bayangan volume

Pendekatannya didasarkan pada Prosedur Windows pencadangan file, yang diulangi pada setiap titik pemulihan. Kondisi kerja yang penting metode ini: Fungsi “Pemulihan Sistem” harus diaktifkan sebelum infeksi. Namun, perubahan apa pun pada file yang dilakukan setelah titik pemulihan tidak akan muncul di versi file yang dipulihkan.

Cadangan

Ini adalah yang terbaik di antara semua metode non-tebusan. Jika prosedur backup data server eksternal digunakan sebelum serangan ransomware di komputer Anda, untuk memulihkan file terenkripsi Anda hanya perlu masuk ke antarmuka yang sesuai, pilih file yang diperlukan dan luncurkan mekanisme pemulihan data dari cadangan. Sebelum melakukan operasi, Anda harus memastikan bahwa ransomware telah dihapus sepenuhnya.

Periksa kemungkinan adanya sisa komponen ransomware.better_call_saul

Membersihkan mode manual penuh dengan kelalaian masing-masing fragmen ransomware yang dapat menghindari penghapusan dalam bentuk objek sistem operasi tersembunyi atau elemen registri. Untuk menghilangkan risiko penyimpanan sebagian elemen berbahaya tertentu, pindai komputer Anda menggunakan perangkat lunak keamanan yang andal. paket perangkat lunak, yang berspesialisasi dalam malware.

Sekitar satu atau dua minggu yang lalu, peretasan lain dari pembuat virus modern muncul di Internet, yang mengenkripsi semua file pengguna. Sekali lagi saya akan mempertimbangkan pertanyaan tentang bagaimana menyembuhkan komputer setelah terkena virus ransomware terenkripsi000007 dan memulihkan file terenkripsi. Dalam hal ini tidak ada hal baru atau unik yang muncul, hanya modifikasi dari versi sebelumnya.

Dekripsi terjamin file setelah virus ransomware - dr-shifro.ru. Detail pekerjaan dan skema interaksi dengan pelanggan ada di bawah artikel saya atau di situs web di bagian “Prosedur Kerja”.

Deskripsi virus ransomware CRYPTED000007

Enkripsi CRYPTED000007 pada dasarnya tidak berbeda dari pendahulunya. Cara kerjanya hampir persis sama. Namun tetap saja ada beberapa nuansa yang membedakannya. Saya akan memberi tahu Anda semuanya secara berurutan.

Ia tiba, seperti analognya, melalui surat. Teknik yang digunakan rekayasa sosial sehingga pengguna pasti akan tertarik dengan surat tersebut dan membukanya. Dalam kasus saya, surat itu berbicara tentang semacam pengadilan dan informasi penting pada kasus di lampiran. Setelah meluncurkan lampiran, pengguna membuka dokumen Word dengan ekstrak dari Pengadilan Arbitrase Moskow.

Sejalan dengan pembukaan dokumen, enkripsi file dimulai. Mulai bermunculan sepanjang waktu Pengumuman dari Kontrol Akun Pengguna Windows.

Jika Anda setuju dengan usulan tersebut, maka cadangan file dalam bayangan salinan Windows akan dihapus dan pemulihan informasi akan sangat sulit. Jelas sekali bahwa Anda tidak dapat menyetujui proposal tersebut dalam keadaan apa pun. Dalam enkripsi ini, permintaan ini muncul terus-menerus, satu demi satu dan tidak berhenti, memaksa pengguna untuk menyetujui dan menghapus salinan cadangan. Inilah perbedaan utama dari modifikasi enkripsi sebelumnya. Saya belum pernah menemukan permintaan untuk menghapus salinan bayangan tanpa henti. Biasanya setelah 5-10 tawaran mereka berhenti.

Saya akan segera memberikan rekomendasi untuk kedepannya. Sangat umum bagi orang untuk menonaktifkan peringatan Kontrol Akun Pengguna. Tidak perlu melakukan ini. Mekanisme ini benar-benar dapat membantu dalam melawan virus. Nasihat kedua yang jelas adalah jangan terus-menerus bekerja di bawah akun administrator komputer, kecuali ada kebutuhan obyektif untuk itu. Dalam hal ini, virus tidak akan mempunyai peluang untuk menimbulkan banyak kerugian. Anda akan memiliki peluang lebih besar untuk melawannya.

Namun meskipun Anda selalu menjawab negatif permintaan ransomware, semua data Anda sudah dienkripsi. Setelah proses enkripsi selesai, Anda akan melihat gambar di desktop Anda.

Pada saat yang sama, akan ada banyak orang file teks dengan konten yang sama.

File Anda telah dienkripsi. Untuk mendekripsi ux, Anda perlu mengirimkan kode: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Selanjutnya Anda akan menerima semua instruksi yang diperlukan. Upaya untuk menguraikannya sendiri tidak akan menghasilkan apa pun selain sejumlah informasi yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba, buatlah salinan cadangan file terlebih dahulu, jika tidak, jika terjadi perubahan, dekripsi menjadi tidak mungkin dilakukan dalam keadaan apa pun. Jika Anda belum menerima pemberitahuan di alamat di atas dalam waktu 48 jam (hanya dalam kasus ini!), gunakan formulir kontak. Hal ini dapat dilakukan dengan dua cara: 1) Unduh dan instal Peramban Tor melalui tautan: https://www.torproject.org/download/download-easy.html.en Di kotak alamat Tor Browser, masukkan alamat: http://cryptsen7fo43rr6.onion/ dan tekan Enter. Halaman dengan formulir kontak akan dimuat. 2) Di browser apa pun, buka salah satu alamat: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Semua file penting di komputer Anda dienkripsi. Untuk mendekripsi file Anda harus mengirimkan kode berikut: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Kemudian Anda akan menerima semua instruksi yang diperlukan. Semua upaya dekripsi sendiri hanya akan mengakibatkan hilangnya data Anda yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba mendekripsinya sendiri, harap buat cadangan terlebih dahulu karena dekripsi menjadi tidak mungkin dilakukan jika ada perubahan di dalam file. Jika Anda tidak menerima jawaban dari email tersebut selama lebih dari 48 jam (dan hanya dalam kasus ini!), gunakan formulir umpan balik. Anda dapat melakukannya dengan dua cara: 1) Unduh Tor Browser dari sini: https://www.torproject.org/download/download-easy.html.en Instal dan ketik alamat berikut ke dalam bilah alamat: http:/ /cryptsen7fo43rr6.onion/ Tekan Enter dan kemudian halaman dengan formulir umpan balik akan dimuat. 2) Kunjungi salah satu alamat berikut di browser apa pun: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Alamat surat mungkin berubah. Saya juga menemukan alamat berikut:

• [dilindungi email]
• [dilindungi email]

Alamat terus diperbarui, sehingga bisa sangat berbeda.

Segera setelah Anda mengetahui bahwa file Anda dienkripsi, segera matikan komputer Anda. Ini harus dilakukan untuk menghentikan proses enkripsi pada komputer lokal dan drive jaringan. Virus enkripsi dapat mengenkripsi semua informasi yang dapat dijangkau, termasuk pada drive jaringan. Namun jika informasinya banyak, maka akan memakan waktu yang cukup lama. Terkadang, bahkan dalam beberapa jam, ransomware tidak punya waktu untuk mengenkripsi semua yang ada di drive jaringan dengan kapasitas sekitar 100 gigabyte.

Selanjutnya Anda perlu memikirkan baik-baik bagaimana harus bertindak. Jika Anda memerlukan informasi di komputer Anda dengan cara apa pun dan Anda tidak memiliki salinan cadangan, maka lebih baik beralih ke spesialis saat ini. Belum tentu demi uang bagi beberapa perusahaan. Anda hanya membutuhkan seseorang yang pandai sistem Informasi. Penting untuk menilai skala bencana, menghilangkan virus, dan mengumpulkan semua informasi yang tersedia mengenai situasi tersebut untuk memahami bagaimana tindakan selanjutnya.

Tindakan yang salah aktif di panggung ini dapat secara signifikan mempersulit proses mendekripsi atau memulihkan file. Dalam kasus terburuk, mereka dapat membuat hal tersebut menjadi mustahil. Jadi luangkan waktu Anda, hati-hati dan konsisten.

Bagaimana virus ransomware CRYPTED000007 mengenkripsi file

Setelah virus diluncurkan dan menyelesaikan aktivitasnya, semua file berguna akan dienkripsi, diganti namanya dari ekstensi.crypted000007. Selain itu, tidak hanya ekstensi file yang akan diganti, tetapi juga nama filenya, sehingga Anda tidak akan tahu persis jenis file apa yang Anda miliki jika Anda tidak mengingatnya. Ini akan terlihat seperti ini.

Dalam situasi seperti ini, akan sulit untuk menilai skala tragedi tersebut, karena Anda tidak akan dapat sepenuhnya mengingat apa yang Anda alami dalam hidup Anda. folder yang berbeda. Hal ini dilakukan khusus untuk membingungkan orang dan mendorong mereka membayar untuk dekripsi file.

Dan jika Anda telah mengenkripsi dan folder jaringan dan tidak cadangan penuh, maka hal ini dapat menghentikan pekerjaan seluruh organisasi sepenuhnya. Anda perlu beberapa saat untuk mencari tahu apa yang akhirnya hilang untuk memulai restorasi.

Cara merawat komputer Anda dan menghapus ransomware CRYPTED000007

Virus CRYPTED000007 sudah ada di komputer Anda. Pertanyaan pertama dan terpenting adalah bagaimana cara mendisinfeksi komputer dan cara menghapus virus untuk mencegah enkripsi lebih lanjut jika belum selesai. Saya ingin segera menarik perhatian Anda pada fakta bahwa setelah Anda sendiri mulai melakukan beberapa tindakan dengan komputer Anda, kemungkinan mendekripsi data berkurang. Jika Anda perlu memulihkan file dengan cara apa pun, jangan sentuh komputer Anda, tetapi segera hubungi profesional. Di bawah ini saya akan membicarakannya dan memberikan tautan ke situs tersebut serta menjelaskan cara kerjanya.

Sementara itu, kami akan terus merawat komputer secara mandiri dan menghapus virusnya. Secara tradisional, ransomware mudah dihapus dari komputer, karena virus tidak mempunyai tugas untuk tetap berada di komputer dengan cara apa pun. Setelah enkripsi penuh file, bahkan lebih menguntungkan baginya untuk menghapus dirinya sendiri dan menghilang, sehingga lebih sulit untuk menyelidiki kejadian tersebut dan mendekripsi file tersebut.

Sulit untuk menjelaskan penghapusan virus secara manual, meskipun saya telah mencoba melakukan ini sebelumnya, tetapi saya melihat bahwa seringkali hal itu tidak ada gunanya. Nama file dan jalur penempatan virus terus berubah. Apa yang saya lihat tidak lagi relevan dalam satu atau dua minggu. Biasanya virus dikirim melalui surat secara bergelombang, dan setiap kali ada modifikasi baru yang belum terdeteksi oleh antivirus. Alat universal yang memeriksa startup dan mendeteksi aktivitas mencurigakan di folder sistem membantu.

Untuk menghapus virus CRYPTED000007, Anda dapat menggunakan program berikut:

1. Alat Penghapus Virus Kaspersky - utilitas dari Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr. Penyembuhan Web! - produk serupa dari web lain http://free.drweb.ru/cureit.
3. Jika dua utilitas pertama tidak membantu, coba MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Kemungkinan besar, salah satu produk ini akan membersihkan komputer Anda dari ransomware CRYPTED000007. Jika tiba-tiba tidak membantu, coba hapus virus secara manual. Saya memberikan contoh metode penghapusan dan Anda dapat melihatnya di sana. Singkatnya, selangkah demi selangkah, Anda perlu bertindak seperti ini:

1. Kami melihat daftar proses, setelah menambahkan beberapa kolom tambahan ke pengelola tugas.
2. Kami menemukan proses virus, buka folder tempatnya berada dan hapus.
3. Kami menghapus penyebutan proses virus berdasarkan nama file di registri.
4. Kami reboot dan memastikan bahwa virus CRYPTED000007 tidak ada dalam daftar proses yang berjalan.

Di mana mengunduh decryptor CRYPTED000007

Pertanyaan tentang dekripsi yang sederhana dan andal muncul pertama kali ketika menyangkut virus ransomware. Hal pertama yang saya rekomendasikan adalah menggunakan layanan https://www.nomoreransom.org. Bagaimana jika Anda beruntung dan mereka memiliki dekripsi untuk versi enkripsi CRYPTED000007 Anda. Saya akan langsung mengatakan bahwa Anda tidak memiliki banyak peluang, tetapi mencoba bukanlah penyiksaan. Pada halaman rumah klik Ya:

Kemudian unduh beberapa file terenkripsi dan klik Buka! Temukan:

Pada saat penulisan, tidak ada decryptor di situs tersebut.

Mungkin Anda akan lebih beruntung. Anda juga dapat melihat daftar dekripsi untuk diunduh di halaman terpisah - https://www.nomoreransom.org/decryption-tools.html. Mungkin ada sesuatu yang berguna di sana. Ketika virus masih segar, kemungkinan hal ini kecil terjadi, namun seiring berjalannya waktu, sesuatu mungkin muncul. Ada contoh ketika dekripsi untuk beberapa modifikasi enkripsi muncul di Internet. Dan contoh-contoh ini ada di halaman yang ditentukan.

Saya tidak tahu di mana lagi Anda bisa menemukan dekoder. Kecil kemungkinannya bahwa itu akan benar-benar ada, mengingat kekhasan pekerjaan enkripsi modern. Hanya pembuat virus yang dapat memiliki dekripsi lengkap.

Cara mendekripsi dan memulihkan file setelah virus CRYPTED000007

Apa yang harus dilakukan ketika virus CRYPTED000007 telah mengenkripsi file Anda? Penerapan teknis enkripsi tidak mengizinkan mendekripsi file tanpa kunci atau dekripsi, yang hanya dimiliki oleh pembuat enkripsi. Mungkin ada cara lain untuk mendapatkannya, tapi saya tidak punya informasinya. Kami hanya dapat mencoba memulihkan file menggunakan metode improvisasi. Ini termasuk:

• Alat salinan bayangan jendela.
• Program pemulihan data yang dihapus

Pertama, mari kita periksa apakah kita mengaktifkan salinan bayangan. Alat ini berfungsi secara default di Windows 7 dan lebih tinggi, kecuali Anda menonaktifkannya secara manual. Untuk memeriksanya, buka properti komputer dan buka bagian perlindungan sistem.

Jika selama infeksi Anda tidak mengonfirmasi permintaan UAC untuk menghapus file dalam salinan bayangan, beberapa data akan tetap ada di sana. Saya berbicara lebih detail tentang permintaan ini di awal cerita, ketika saya berbicara tentang cara kerja virus.

Untuk memulihkan file dari salinan bayangan dengan mudah, saya sarankan menggunakan program gratis untuk ini - ShadowExplorer. Unduh arsip, buka paket program dan jalankan.

Salinan file terbaru dan root drive C akan terbuka di sudut kiri atas, Anda dapat memilih salinan cadangan jika Anda memiliki beberapa di antaranya. Periksa salinan yang berbeda untuk ketersediaan file yang diperlukan. Bandingkan berdasarkan tanggal untuk versi terbaru. Dalam contoh saya di bawah ini, saya menemukan 2 file di desktop saya dari tiga bulan lalu saat terakhir diedit.

Saya dapat memulihkan file-file ini. Untuk melakukan ini, saya memilihnya, mengklik kanan, memilih Ekspor dan menentukan folder tempat memulihkannya.

Anda dapat segera memulihkan folder menggunakan prinsip yang sama. Jika Anda memiliki salinan bayangan yang berfungsi dan tidak menghapusnya, Anda memiliki peluang bagus untuk memulihkan semua, atau hampir semua, file yang dienkripsi oleh virus. Mungkin beberapa di antaranya akan lebih banyak lagi versi lama, daripada yang kita inginkan, namun demikian, ini lebih baik daripada tidak sama sekali.

Jika karena alasan tertentu Anda tidak memiliki salinan bayangan file Anda, satu-satunya kesempatan Anda untuk mendapatkan setidaknya sesuatu dari file terenkripsi adalah memulihkannya menggunakan alat pemulihan. file yang dihapus. Untuk melakukan ini, saya sarankan menggunakan program gratis Photorec.

Luncurkan program dan pilih disk tempat Anda akan memulihkan file. Meluncurkan versi grafis program mengeksekusi file qphotorec_win.exe. Anda harus memilih folder tempat file yang ditemukan akan ditempatkan. Sebaiknya folder ini tidak terletak di drive yang sama tempat kita mencari. Hubungkan flash drive atau eksternal HDD untuk ini.

Proses pencariannya akan memakan waktu lama. Pada akhirnya Anda akan melihat statistik. Sekarang Anda dapat pergi ke folder yang ditentukan sebelumnya dan melihat apa yang ditemukan di sana. Kemungkinan besar akan ada banyak file dan sebagian besar akan rusak atau berupa file sistem dan tidak berguna. Namun demikian, beberapa file berguna dapat ditemukan dalam daftar ini. Tidak ada jaminan di sini, apa yang Anda temukan itulah yang akan Anda temukan. Gambar biasanya dikembalikan paling baik.

Jika hasilnya tidak memuaskan Anda, maka ada juga program untuk memulihkan file yang terhapus. Di bawah ini adalah daftar program yang biasanya saya gunakan ketika saya perlu memulihkan jumlah file maksimum:

• R.penghemat
• bintang Pemulihan data
• Pemulihan JPEG Pro
• Profesional Pemulihan File Aktif

Program-program ini tidak gratis, jadi saya tidak akan memberikan linknya. Jika Anda benar-benar menginginkannya, Anda dapat menemukannya sendiri di Internet.

Seluruh proses pemulihan file ditampilkan secara rinci dalam video di akhir artikel.

Kaspersky, eset nod32 dan lainnya dalam perang melawan enkripsi Filecoder.ED

Antivirus populer mendeteksi ransomware CRYPTED000007 sebagai Pembuat file.ED dan kemudian mungkin ada sebutan lain. Saya menelusuri forum antivirus utama dan tidak melihat sesuatu yang berguna di sana. Sayangnya, seperti biasa, software antivirus ternyata tidak siap menghadapi serbuan gelombang baru ransomware. Berikut ini postingan dari forum Kaspersky.

Antivirus biasanya melewatkan modifikasi baru dari Trojan ransomware. Meskipun demikian, saya merekomendasikan untuk menggunakannya. Jika Anda beruntung dan menerima email ransomware bukan pada gelombang pertama infeksi, tetapi beberapa saat kemudian, ada kemungkinan antivirus akan membantu Anda. Mereka semua bekerja satu langkah di belakang para penyerang. Ternyata versi baru ransomware, antivirus tidak meresponsnya. Segera setelah sejumlah bahan untuk penelitian tentang virus baru terkumpul, perangkat lunak antivirus merilis pembaruan dan mulai meresponsnya.

Saya tidak mengerti apa yang menghalangi antivirus untuk segera merespons proses enkripsi apa pun di sistem. Mungkin ada beberapa nuansa teknis pada topik ini yang tidak memungkinkan kami merespons dan mencegah enkripsi file pengguna secara memadai. Menurut saya, setidaknya ada kemungkinan untuk menampilkan peringatan tentang fakta bahwa seseorang mengenkripsi file Anda, dan menyarankan untuk menghentikan prosesnya.

Ke mana harus mencari dekripsi yang terjamin

Saya kebetulan bertemu dengan satu perusahaan yang benar-benar mendekripsi data setelah berbagai virus enkripsi bekerja, termasuk CRYPTED000007. Alamat mereka adalah http://www.dr-shifro.ru. Pembayaran hanya setelah dekripsi penuh dan verifikasi Anda. Berikut adalah perkiraan skema kerja:

1. Seorang spesialis perusahaan datang ke kantor atau rumah Anda dan menandatangani perjanjian dengan Anda, yang menetapkan biaya pekerjaan.
2. Meluncurkan decryptor dan mendekripsi semua file.
3. Anda memastikan bahwa semua file dibuka dan menandatangani sertifikat pengiriman/penerimaan pekerjaan yang telah selesai.
4. Pembayaran dilakukan hanya setelah hasil dekripsi berhasil.

Jujur saja, saya tidak tahu bagaimana mereka melakukannya, tapi Anda tidak mengambil risiko apa pun. Pembayaran hanya setelah demonstrasi pengoperasian dekoder. Silakan tulis ulasan tentang pengalaman Anda dengan perusahaan ini.

Metode perlindungan terhadap virus CRYPTED000007

Bagaimana cara melindungi diri Anda dari ransomware dan menghindari kerusakan materi dan moral? Ada beberapa tips sederhana dan efektif:

1. Cadangan! Cadangan semua data penting. Dan bukan sekedar backup, tapi backup yang tidak ada akses permanen. Jika tidak, virus dapat menginfeksi dokumen dan salinan cadangan Anda.
2. Antivirus berlisensi. Meskipun tidak memberikan jaminan 100%, namun meningkatkan kemungkinan menghindari enkripsi. Mereka paling sering tidak siap untuk versi enkripsi yang baru, tetapi setelah 3-4 hari mereka mulai merespons. Hal ini meningkatkan peluang Anda untuk menghindari infeksi jika Anda tidak termasuk dalam gelombang pertama distribusi modifikasi baru ransomware.
3. Jangan membuka lampiran mencurigakan di email. Tidak ada yang perlu dikomentari di sini. Semua ransomware yang saya kenal menjangkau pengguna melalui email. Apalagi setiap saat diciptakan trik-trik baru untuk menipu korbannya.
4. Jangan sembarangan membuka tautan yang dikirimkan kepada Anda dari teman Anda melalui media sosial atau utusan. Kadang-kadang virus juga menyebar dengan cara ini.
5. Menyalakan tampilan jendela ekstensi file. Cara melakukannya mudah ditemukan di Internet. Ini akan memungkinkan Anda melihat ekstensi file pada virus. Seringkali memang demikian .exe, .vbs, .src. Dalam pekerjaan Anda sehari-hari dengan dokumen, Anda tidak mungkin menemukan ekstensi file seperti itu.

Saya mencoba melengkapi apa yang sudah saya tulis sebelumnya di setiap artikel tentang virus ransomware. Sementara itu, saya mengucapkan selamat tinggal. Saya akan senang menerima komentar bermanfaat tentang artikel ini dan virus ransomware CRYPTED000007 secara umum.

Video tentang dekripsi dan pemulihan file

Berikut adalah contoh modifikasi virus sebelumnya, tetapi videonya sepenuhnya relevan untuk CRYPTED000007.

Di penghujung tahun 2016 hal itu diperhatikan virus ransomware baru– NO_MORE_RANSOM. Ia menerima nama yang panjang karena ekstensi yang diberikannya pada file pengguna.

Saya banyak mengadopsi dari virus lain, misalnya dari da_vinci_cod. Sejak muncul di Internet baru-baru ini, laboratorium antivirus belum dapat menguraikan kodenya. Dan mereka tidak mungkin dapat melakukan ini dalam waktu dekat - algoritma enkripsi yang lebih baik digunakan. Jadi, mari kita cari tahu apa yang harus dilakukan jika file Anda dienkripsi dengan ekstensi “no_more_ransom”.

Deskripsi dan prinsip operasi

Pada awal tahun 2017, banyak forum dibanjiri dengan pesan “no_more_ransom virus telah mengenkripsi file,” yang mana pengguna meminta bantuan untuk menghilangkan ancaman tersebut. Tidak hanya komputer pribadi, tetapi seluruh organisasi (terutama yang menggunakan database 1C) juga diserang. Situasi untuk semua korban kurang lebih sama: mereka membuka lampiran dari surel, setelah beberapa waktu file tersebut menerima ekstensi No_more_ransom. Virus ransomware telah melewati semua yang populer program antivirus.

Secara umum, berdasarkan prinsip infeksi, No_more_ransom tidak dapat dibedakan dari pendahulunya:

Cara menyembuhkan atau menghilangkan virus No_more_ransom

Penting untuk dipahami bahwa setelah Anda memulai No_more_ransom sendiri, Anda akan kehilangan kesempatan untuk memulihkan akses ke file menggunakan kata sandi penyerang. Apakah mungkin memulihkan file setelah No_more_ransom? Sampai saat ini, tidak ada algoritma yang 100% berfungsi untuk mendekripsi data. Satu-satunya pengecualian adalah utilitas dari laboratorium terkenal, tetapi pemilihan kata sandi membutuhkan waktu yang sangat lama (bulan, tahun). Namun lebih lanjut tentang pemulihan di bawah ini. Pertama, mari kita cari tahu cara mengidentifikasi Trojan no lebih banyak tebusan(terjemahan – “tidak ada lagi tebusan”) dan mengatasinya.

Biasanya, perangkat lunak anti-virus yang diinstal memungkinkan ransomware memasuki komputer - versi baru sering kali dirilis, yang databasenya tidak punya waktu untuk dirilis. Virus jenis ini cukup mudah dihapus dari komputer, karena scammer tidak memerlukan virus tersebut untuk tetap berada di sistem setelah menyelesaikan tugasnya (enkripsi). Untuk menghapusnya, Anda dapat menggunakan utilitas siap pakai yang didistribusikan secara gratis:

Cara menggunakannya sangat sederhana: luncurkan, pilih disk, klik "Mulai pemindaian". Yang tersisa hanyalah menunggu. Setelah itu, sebuah jendela akan muncul di mana semua ancaman akan ditampilkan. Klik "Hapus".

Kemungkinan besar, salah satu utilitas ini akan menghapus virus ransomware. Jika ini tidak terjadi, maka diperlukan penghapusan manual:

Jika Anda segera menyadari adanya virus dan berhasil menghapusnya, ada kemungkinan beberapa data tidak akan dienkripsi. Lebih baik menyimpan file yang tidak diserang di drive terpisah.

Utilitas dekripsi untuk mendekripsi file “No_more_ransom”.

Tidak mungkin menemukan kodenya sendiri, kecuali Anda seorang peretas tingkat lanjut. Untuk dekripsi, Anda memerlukannya utilitas khusus. Saya akan segera mengatakan bahwa tidak semua orang dapat mendekripsi file terenkripsi seperti “No_more_ransom”. Virus ini masih baru, jadi menebak kata sandi adalah tugas yang sangat sulit.

Jadi, pertama-tama, kami mencoba memulihkan data dari salinan bayangan. Bawaan sistem operasi, dimulai dengan Windows 7, secara rutin menyimpan salinan dokumen Anda. Dalam beberapa kasus, virus tidak dapat menghapus salinannya. Oleh karena itu, kami mengunduh program gratis Penjelajah Bayangan. Anda tidak perlu menginstal apa pun - Anda hanya perlu membongkarnya.

Jika virus tidak menghapus salinannya, maka ada kemungkinan memulihkan sekitar 80-90% informasi terenkripsi.

Laboratorium anti-virus terkenal juga menawarkan program dekripsi untuk memulihkan file setelah virus No_more_ransom. Namun, Anda tidak boleh berharap bahwa utilitas ini dapat memulihkan data Anda. Enkripsi terus ditingkatkan, dan para ahli tidak punya waktu untuk merilis pembaruan untuk setiap versi. Kirim sampel ke dukungan teknis laboratorium antivirus untuk membantu pengembang.

Untuk memerangi No_more_ransom ada Kaspersky Decryptor. Utilitas ini disajikan dalam dua versi dengan awalan dan Rakhni (ada artikel terpisah tentangnya di situs web kami). Untuk melawan virus dan mendekripsi file, Anda hanya perlu menjalankan program, memilih lokasi pemindaian.

Selain itu, Anda harus menentukan salah satu dokumen yang diblokir agar utilitas dapat mulai menebak kata sandi.

Anda juga dapat mengunduh dekripsi terbaik No_more_ransom dari Dr. secara gratis. jaring. Utilitasnya disebut matsnu1decrypt. Ia bekerja sesuai dengan skenario serupa dengan program dari Kaspersky. Yang perlu Anda lakukan hanyalah menjalankan pemindaian dan menunggu hingga selesai.

, VIDEO, MUSIK dan file pribadi lainnya di .NO_MORE_RANSOM, dan mengubah nama asli menjadi kombinasi huruf dan angka acak. Namun, sebagian besar file memiliki format yang paling penting .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP jangan buka. Akuntansi 1C tidak bekerja. Ini adalah tampilannya:

Dukungan teknis untuk Kaspersky Lab, Dr.Web, dan lainnya perusahaan terkenal, yang terlibat dalam pengembangan perangkat lunak anti-virus, sebagai tanggapan atas permintaan pengguna untuk mendekripsi data, melaporkan bahwa tidak mungkin melakukan hal ini dalam waktu yang dapat diterima.

Tapi jangan terburu-buru putus asa!

Faktanya adalah, setelah menembus komputer Anda, program jahat menggunakan perangkat lunak enkripsi GPG yang sepenuhnya legal dan algoritma enkripsi populer - RSA-1024 sebagai alatnya. Karena utilitas ini digunakan di banyak tempat dan bukan merupakan virus, program antivirus mengizinkannya melewatinya dan tidak memblokir operasinya. Kunci publik dan pribadi dihasilkan untuk mengenkripsi file. Kunci pribadi dikirim ke server penyerang dan tetap terbuka di komputer pengguna. Kedua kunci diperlukan untuk mendekripsi file! Penyerang dengan hati-hati menimpa kunci pribadi di komputer yang terpengaruh. Namun hal ini tidak selalu terjadi. Selama lebih dari tiga tahun sejarah kerja sempurna, para spesialis Dr.SHIFRO Kami telah mempelajari ribuan variasi aktivitas malware, dan bahkan mungkin dalam situasi yang tampaknya tidak ada harapan lagi, kami akan dapat menawarkan solusi yang memungkinkan Anda mendapatkan kembali data Anda.

Dalam video ini Anda dapat menyaksikan pengoperasian decryptor yang sebenarnya di komputer salah satu klien kami:

Untuk menganalisis kemungkinan dekripsi, kirim 2 sampel file terenkripsi: satu teks (doc, docx, odt, txt atau rtf hingga ukuran 100 KB), grafik kedua (jpg, png, bmp, tif atau ukuran pdf hingga 3MB). Anda juga memerlukan file catatan dari penyerang. Setelah memeriksa berkas, kami akan memberikan perkiraan biayanya. File dapat dikirim melalui email [dilindungi email] atau gunakan formulir pengiriman file di website (tombol oranye).

KOMENTAR (2)

Kena virus NCOV. Setelah mencari metode dekripsi di Internet, kami menemukan situs ini. Spesialis dengan cepat dan menyeluruh menjelaskan apa yang perlu dilakukan. Sebagai jaminan, 5 file pengujian telah didekripsi. Mereka mengumumkan biayanya dan setelah pembayaran semuanya diuraikan dalam beberapa jam. Meskipun tidak hanya komputernya yang dienkripsi, tetapi juga penggerak jaringan. Terima kasih banyak atas bantuan Anda!

Selamat tinggal! Saya baru-baru ini mengalami situasi serupa dengan virus NCOV, yang tidak punya waktu untuk mengenkripsi semua disk, karena... setelah beberapa waktu saya membuka folder dengan foto tersebut dan melihat sebuah amplop kosong dan nama file dari kumpulan huruf dan angka yang berbeda dan segera mendownload dan meluncurkan utilitas gratis untuk menghapus Trojan. Virus tiba melalui pos dan ada surat yang meyakinkan bahwa saya membuka dan meluncurkan lampirannya. Ada 4 hard drive yang terpasang di komputer ukuran besar(terabyte). Dihubungi berbagai perusahaan, yang banyak terdapat di Internet dan menawarkan layanannya, tetapi meskipun dekripsi berhasil, semua file akan berada di folder terpisah dan semuanya tercampur. Tidak ada yang memberikan jaminan dekripsi 100%. Saya menghubungi Kaspersky Lab dan bahkan di sana mereka tidak membantu saya..html# jadi saya memutuskan untuk menghubungi. Saya mengirim tiga foto tes dan setelah beberapa saat menerima tanggapan dengan transkrip lengkapnya. Dalam korespondensi surat saya ditawari dari jarak jauh atau di rumah. Saya memutuskan untuk melakukannya di rumah. Kami memutuskan tanggal dan waktu kedatangan spesialis. Segera dalam korespondensi, jumlah untuk decoder disepakati dan kemudian semoga berhasil menguraikannya Kami menandatangani perjanjian untuk melakukan pekerjaan itu dan saya melakukan pembayaran sesuai perjanjian. Mendekripsi file memerlukan banyak waktu, karena beberapa video berukuran besar. Setelah dekripsi lengkap, saya memastikan semua file saya kembali ke bentuk aslinya dan ekstensi yang benar mengajukan. Volume hard drive menjadi sama seperti sebelum terinfeksi, karena selama infeksi, disk hampir tersumbat seluruhnya. Mereka yang menulis tentang scammers, dll, saya tidak setuju dengan ini. Ini ditulis oleh pesaing karena marah, karena mereka tidak berhasil, atau oleh orang yang tersinggung oleh sesuatu. Dalam kasus saya, semuanya menjadi baik-baik saja, ketakutan saya ada di masa lalu. Saya kembali melihat foto-foto keluarga lama saya yang saya ambil sejak dulu dan video keluarga yang saya edit sendiri. Saya ingin mengucapkan terima kasih kepada perusahaan dr.Shifro dan secara pribadi kepada Igor Nikolaevich, yang membantu saya memulihkan semua data saya. Terima kasih banyak dan semoga berhasil! Segala sesuatu yang tertulis adalah pendapat pribadi saya, dan Anda memutuskan siapa yang akan dihubungi.

Pada akhir tahun 2016, dunia diserang oleh virus Trojan yang sangat tidak sepele yang mengenkripsi dokumen pengguna dan konten multimedia, yang disebut NO_MORE_RANSOM. Cara mendekripsi file setelah terkena ancaman ini akan dibahas lebih lanjut. Namun, perlu segera diperingatkan kepada semua pengguna yang telah diserang bahwa tidak ada teknik yang seragam. Hal ini disebabkan penggunaan salah satu yang paling canggih dan tingkat penetrasi virus ke dalam sistem komputer atau bahkan ke dalam jaringan lokal(walaupun awalnya tidak dirancang untuk dampak jaringan).

Apa itu virus NO_MORE_RANSOM dan bagaimana cara kerjanya?

Secara umum, virus itu sendiri biasanya digolongkan ke dalam golongan Trojan seperti I Love You, yang menembus sistem komputer dan mengenkripsi file pengguna (biasanya multimedia). Benar, jika nenek moyangnya hanya berbeda dalam enkripsi, maka virus ini banyak meminjam dari ancaman sensasional yang disebut DA_VINCI_COD, yang menggabungkan fungsi ransomware.

Setelah infeksi, sebagian besar file audio, video, grafik, atau dokumen kantor diberi nama panjang dengan ekstensi NO_MORE_RANSOM yang berisi kata sandi yang rumit.

Saat Anda mencoba membukanya, sebuah pesan muncul di layar yang menyatakan bahwa file tersebut dienkripsi, dan untuk mendekripsinya Anda harus membayar sejumlah tertentu.

Bagaimana ancaman memasuki sistem?

Mari kita tinggalkan dulu pertanyaan tentang cara mendekripsi file jenis apa pun di atas setelah terpapar NO_MORE_RANSOM, dan mari kita beralih ke teknologi bagaimana virus menembus sistem komputer. Sayangnya, tidak peduli bagaimana kedengarannya, metode lama yang telah terbukti digunakan untuk ini: email dengan lampiran dikirim ke alamat email, dan saat membukanya, pengguna menerima kode berbahaya.

Seperti yang bisa kita lihat, teknik ini tidak asli. Namun, pesan tersebut mungkin disamarkan sebagai teks yang tidak bermakna. Atau sebaliknya, misalnya jika kita berbicara tentang perusahaan besar, mengubah syarat-syarat suatu kontrak. Jelas bahwa pegawai biasa membuka investasi, dan kemudian mendapat hasil yang membawa malapetaka. Salah satu terobosan paling cemerlang adalah enkripsi database paket 1C yang populer. Dan ini sudah menjadi masalah yang serius.

NO_MORE_RANSOM: bagaimana cara mendekripsi dokumen?

Namun masalah utama masih layak untuk diatasi. Pasti semua orang tertarik dengan cara mendekripsi file. Virus NO_MORE_RANSOM memiliki urutan tindakannya sendiri. Jika pengguna mencoba mendekripsi segera setelah terinfeksi, masih ada cara untuk melakukannya. Jika ancaman telah tertanam kuat dalam sistem, sayangnya, hal itu tidak dapat dilakukan tanpa bantuan spesialis. Namun seringkali mereka tidak berdaya.

Jika ancaman terdeteksi tepat waktu, hanya ada satu cara - hubungi layanan dukungan perusahaan anti-virus (belum semua dokumen telah dienkripsi), kirim beberapa file yang tidak dapat diakses dan, berdasarkan analisis dokumen asli disimpan di media yang dapat dipindahkan, coba pulihkan dokumen yang sudah terinfeksi, pertama-tama dengan menyalin ke flash drive yang sama semua yang masih tersedia untuk dibuka (walaupun tidak ada jaminan lengkap bahwa virus belum menembus dokumen tersebut). Setelah itu, untuk memastikannya, minimal harus dilakukan pengecekan media pemindai antivirus(kau tak pernah tahu).

Algoritma

Perlu juga disebutkan bahwa virus ini menggunakan algoritma enkripsi RSA-3072, yang, tidak seperti teknologi RSA-2048 yang digunakan sebelumnya, sangat rumit sehingga memilih kata sandi yang tepat, bahkan jika seluruh kontingen laboratorium anti-virus terlibat di dalamnya. ini, mungkin memakan waktu berbulan-bulan atau bertahun-tahun. Dengan demikian, pertanyaan bagaimana cara mendekripsi NO_MORE_RANSOM akan memakan waktu yang cukup lama. Namun bagaimana jika Anda perlu segera memulihkan informasi? Pertama-tama, hapus virus itu sendiri.

Apakah mungkin untuk menghapus virus dan bagaimana cara melakukannya?

Sebenarnya hal ini tidak sulit untuk dilakukan. Dilihat dari kelancangan pembuat virus, ancamannya memang besar sistem komputer tidak disamarkan. Sebaliknya, bahkan bermanfaat baginya untuk “menyingkirkan dirinya sendiri” setelah menyelesaikan tindakan yang dilakukan.

Namun demikian, pada awalnya, mengikuti jejak virus, virus ini tetap harus dinetralisir. Langkah pertama adalah menggunakan utilitas keamanan portabel seperti KVRT, Malwarebytes, Dr. Penyembuhan Web! dan sejenisnya. Harap diperhatikan: program yang digunakan untuk pengujian harus portabel (tanpa instalasi pada hard drive dan berjalan di dalamnya pilihan optimal dari media yang dapat dipindahkan). Jika ditemukan ancaman, ancaman tersebut harus segera dihilangkan.

Jika tindakan tersebut tidak tersedia, Anda harus terlebih dahulu masuk ke “Task Manager” dan mengakhiri semua proses yang terkait dengan virus di dalamnya, mengurutkan layanan berdasarkan nama (biasanya ini adalah proses Runtime Broker).

Setelah membatalkan tugas, Anda perlu menghubungi editor registri sistem(regedit di menu “Run”) dan cari nama “Client Server Runtime System” (tanpa tanda kutip), lalu gunakan menu untuk menelusuri hasil “Find next…” untuk menghapus semua elemen yang ditemukan. Selanjutnya, Anda perlu me-restart komputer dan memeriksa “Task Manager” untuk melihat apakah proses yang Anda cari ada di sana.

Pada prinsipnya, pertanyaan tentang bagaimana mendekripsi virus NO_MORE_RANSOM pada tahap infeksi dapat diselesaikan dengan menggunakan metode ini. Kemungkinan netralisasinya tentu saja kecil, tetapi ada peluang.

Cara mendekripsi file yang dienkripsi dengan NO_MORE_RANSOM: backup

Tetapi ada teknik lain yang hanya diketahui atau bahkan ditebak oleh sedikit orang. Faktanya adalah bahwa sistem operasi itu sendiri terus-menerus membuat cadangan bayangannya sendiri (misalnya, dalam kasus pemulihan), atau pengguna dengan sengaja membuat gambar tersebut. Seperti yang ditunjukkan oleh praktik, salinan inilah yang tidak terpengaruh oleh virus (hal ini tidak diatur dalam strukturnya, meskipun tidak dikecualikan).

Jadi masalah bagaimana menguraikan NO_MORE_RANSOM adalah menggunakannya. Namun, gunakan standar Alat Windows tidak disarankan (dan banyak pengguna tidak memiliki akses ke salinan tersembunyi sama sekali). Oleh karena itu, Anda perlu menggunakan utilitas ShadowExplorer (portabel).

Untuk memulihkan, Anda hanya perlu menjalankan file yang dapat dieksekusi, mengurutkan informasi berdasarkan tanggal atau bagian, memilih salinan yang diinginkan (file, folder, atau seluruh sistem) dan menggunakan jalur ekspor melalui menu RMB. Selanjutnya, Anda cukup memilih direktori tempat salinan saat ini akan disimpan, dan kemudian menggunakan proses pemulihan standar.

Utilitas pihak ketiga

Tentu saja, untuk masalah cara menguraikan NO_MORE_RANSOM, banyak laboratorium menawarkan solusinya sendiri. Misalnya, Kaspersky Lab merekomendasikan penggunaan miliknya sendiri perangkat lunak Kaspersky Decryptor, disajikan dalam dua modifikasi - Rakhini dan Rector.

Perkembangan serupa seperti decoder NO_MORE_RANSOM dari Dr. juga terlihat tidak kalah menarik. jaring. Namun di sini perlu segera diingat bahwa penggunaan program semacam itu hanya dibenarkan jika ancaman terdeteksi dengan cepat, sebelum semua file terinfeksi. Jika virus sudah tertanam kuat di sistem (ketika file terenkripsi tidak bisa dibandingkan dengan file asli yang tidak terenkripsi), aplikasi semacam itu mungkin juga tidak berguna.

Sebagai akibat

Sebenarnya, hanya ada satu kesimpulan yang muncul: virus ini perlu dilawan secara eksklusif pada tahap infeksi, ketika hanya file pertama yang dienkripsi. Secara umum, yang terbaik adalah tidak membuka lampiran dalam pesan email yang diterima dari sumber yang meragukan (ini hanya berlaku untuk klien yang diinstal langsung di komputer - Outlook, Oulook Express, dll.). Selain itu, jika karyawan perusahaan memiliki daftar alamat klien dan mitra, membuka pesan yang “tidak pantas” menjadi sangat tidak praktis, karena kebanyakan orang menandatangani perjanjian kerahasiaan mengenai rahasia dagang dan keamanan siber saat melamar pekerjaan.