このウイルスは、ファイルを暗号化し、名前を変更しました。 暗号化されたウイルスファイルを復号化する方法

最近、悪質なコンピュータプログラムの新しい世代の活動のサージがありました。 彼らは長い時間のために登場（6から8年前）が、その実装のペースは今ピークに達しました。 これは、ますますウイルスファイルが暗号化されているという事実に直面しています。

我々はすでに、例えば、これは単に原始的な悪質なソフトウェアではないことを知っている コンピュータを遮断 （ブルースクリーンを引き起こす）、及び規則等の損傷を目的とした深刻なプログラムは、会計データ。 彼らは、データ1C、DOCX、XLSX、JPG、DOC、XLS、PDF、ZIPなどの届く範囲にあるすべてのファイルを、暗号化します。

特別な危険とみなさウイルス

これは結果として、ユニバーサルデコーダ（復号化）が欠落している、特定のユーザーのコンピュータに接続されていRSAキーを、適用されるという事実にあります。 コンピュータの一つで活躍しているウイルスは、他では動作しない場合があります。

危険なのは、インターネット上の年以上が、でもkulhatskeram（自身ハッカー検討しますが、プログラミングを学ぶことではない個人を）、そのようなウイルスを開発することができ、準備プログラム・ビルダー（ビルダー）を置いていることでもあります。

現在では、より強力な変更があります。

マルウェアデータベースの実装方法

ニュースレターのウイルスは、ルール、会社の経理部門として、意図的に生成します。 まず、それは、電子メールの人事部門を収集し、例えばデータベースの部門を占め、hh.ru. 次の手紙を送っています。 彼らは多くの場合、特定の位置の採用に関しての要求が含まれています。 そのような手紙 添付ファイル 要約とその内に移植OLEオブジェクト（ウイルスを含むPDFファイル）と実際の文書。

自滅その後、ウイルスを、暗号化ファイルの名前を変更し、そして：経理スタッフはすぐに次のことをリブートすると、発生した後、文書を立ち上げ状況で。

手紙のこの種は、（名前が署名と一致する）書かれており、nespamerskogoボックスに送信され、通常は十分です。 空室は常に疑惑が生じない理由である企業の活動をプロファイリングに基づいて要求されています。

ライセンス「カスペルスキー」（ウイルス対策ソフト）または「ウイルスの合計」（ウイルスのためのオンライン・サービス・チェック・添付ファイル）いいえ、この場合には、コンピュータを保護することはできません。 Variant.Zusy.71505：時々、いくつかのウイルス対策プログラムは、添付ファイルが世代であるという問題をスキャンします。

どのようにウイルスに感染されるのを避けるには？

各受信したファイルを確認する必要があります。 特に注目は、PDFが埋め込まれているvordovsky文書を支払っています。

「感染した」メッセージのバリアント

それらの多く。 ウイルスの最も一般的な変異体は、ファイルを以下に示す暗号化します。 すべての場合において、以下の文書が電子メールで来ます：

1. 特定の会社の法的措置に適用されるレビュープロセスの開始に関する通知は（手紙は、リンクをクリックしてデータをチェックするのに役立ちます）。
2. 債務の回収のためのSACからの手紙。
3. 既存の債務の増加のためのズベルバンクからのメッセージ。
4. 交通違反を固定のお知らせ。
5. ご入金の可能な最大遅延で収集機関からの手紙。

ファイルの暗号化のお知らせ

それはCONTACT.txt、ChTO_DELAT.txtファイルに置か破損したテキストタイプと時々、すべてのディレクトリのドライブCのルートフォルダに感染後に表示されます。 そこでは、ユーザーは、信頼性の高い暗号化アルゴリズムによって行われ、そのファイルを暗号化する方法について通知されます。 そして、これは順番に、後続の解読が不可能につながる、最終的なファイルの破損の原因となり、サードパーティ製のツールの不適切な使用について警告しました。

通知は変更されていない状態でコンピュータを残すことをお勧めします。 これは、キーによって提供されるストレージを示します（一般的には2日間です）。 治療のいずれかの種類が無視されるの後、正確な日付をスペルアウト。

与えられた電子メールの終わり。 また、ユーザーが自分のIDを入力しなければならないことと、次のアクションのいずれか、すなわち、キーの排除をもたらすことができると述べています：

• 侮辱;
• さらに、支払いなしで要求の詳細;
• 脅威。

どのファイルが暗号化されたウイルスを復号化するには？

この種類の暗号化は非常に強力です：ファイルは単に不可能である完璧な、nochance等のクラックなどの拡張子に割り当てられていますが、暗号解読を接続し、（博士のWEBを助けるために、いくつかの状況で）抜け穴を探すために試みることができます。..

そこ暗号化されたファイルのウイルスを復元する1つの方法があるが、それはまた後の自己破壊を実装することは困難で十分であるこの悪意のあるプログラム、とオリジナルのexeファイルを削除する必要があり、すべてのウイルスには適していません。

特別なコードのウイルス導入に関してください - 小さなチェック、この時点でファイルが既に（いわば、攻撃者がする必要はなく、のコード）デコーダを有しているからです。 この方法の本質 - 空のチーム（比較入力コード自体の代わりに）浸透し、ウイルスのエントリ。 その結果は - 悪意のあるプログラム自体は、ファイルの復号化を実行しますので、それらを完全に復元します。

各ウイルスには、サードパーティ製の実行ファイル（ファイル形式exeファイル）を解読しません、またはあなたはWinAPIの上で実行されたすべてのアクションを必要以上の機能を、選択しようとすることができる理由である、独自の特殊な暗号化機能を持っています。

このウイルスは、ファイルを暗号化：何をしますか？

復号化手順を実行するために必要とされています。

1. バックアップしてください （バックアップ 既存のファイルのを）。 すべての復号化の終わりに、それは自分自身を削除します。
2. コンピュータ（被害者）で、あなたが待って、その後、この悪質なプログラムを実行する必要があり、ウィンドウが表示されたコードの導入に関して要件が含まれています。
3. 次は、添付のアーカイブファイルPatcher.exeから開始する必要があります。
4. 次のステップは、ウイルスプロセスの数を導入することで、「Enter-」を押す必要があります。
5. 比較命令をこすり意味のメッセージ、«パッチを適用»をします。
6. これは、ボックス内のコードの導入が続いていることのいずれかの文字を入力し、「OK」をクリックします。
7. このウイルスは、彼が自分自身を排除した後のファイルを、復号化のプロセスを開始します。

マルウェアのデータ損失配慮を避けるためにどのように？

ウイルスが解読テイク時間のプロセスのためにファイルを暗号化状況でそれを知ることは価値があります。 賛成の重要な点は、すぐにコンピュータを（、ソケットからプラグを引っ張るオフに切断する場合は、いくつかのファイルを保存することができますバグがあり、上述したマルウェアということである 電源タップを、 あらかじめ指定した拡張子のファイルの数が多いとすぐに、ノートパソコンの場合、バッテリーを取り外し） 。

常にバックアップを作成することですが、ではない別のフォルダではなく、コンピュータに挿入されたリムーバブルメディアに、ウイルスの変更以来、及びこれらの場所に到達します - もう一度主なものであることを強調すべきです。 恒久的にコンピュータに接続されていない別のコンピュータ、ハードドライブ、上のバックアップを保持し、クラウドにする価値があります。

知らない人からのメールで来るすべての文書への疑いで治療すべきである（要約形式で、請求書、SACや税などの決議。）。 彼らは、（この目的のためにネットブックは、重要なデータが含まれていない識別することができます）お使いのコンピュータ上で実行するべきではありません。

*.paycrypt@gmail.com悪意のあるプログラム：救済

...など、上記の暗号化されたウイルスCBFファイル、DOC、JPG、状況では、唯一の3つのシナリオがあります。

1. 最も簡単な方法は、それを取り除くために - すべての感染ファイルを削除（データは非常に重要でない場合には、許容可能です）。
2. ビューラボウイルス対策プログラム、例えば、博士 WEB。 メールの開発者KEY.PRIVATEとしてコンピュータ上に復号化するために必要なキー、といくつかの感染ファイル。
3. 最も高価な方法。 彼は、ハッカーが感染したファイルを復号化するための要求額の支払いを前提としています。 通常、このサービスのコストは200との間にある - 500ドル.. これは、ウイルスが情報の実質的な流れが日常的に行われ、この不正プログラムは、秒単位で多大な害をもたらすことが可能な大企業のファイルを、暗号化の状況で許容されます。 感染したファイルの回復の最速バージョン - この支払いに関連して。

時にはそれが効果的で、追加のオプションです。 このウイルスは、ファイル（paycrypt @ gmail_comまたはその他の悪意のあるソフトウェア）を暗号化する場合には助けることができる システムがロールバック 数日前。

RectorDecryptorを復号化するためのプログラム

このウイルスは、ファイルのjpg、ドキュメント、CBFなど。N.を暗号化した場合は、特別なプログラムを助けることができます。 このために我々は最初のウイルス対策以外のすべてを起動し、無効に行く必要があります。 次に、コンピュータを再起動する必要があります。 すべてのファイルを表示し、不審なハイライト。 フィールドに名前の下に「チーム」（： - データなしメーカーの署名を持っていないアプリケーションに注意を払う必要があります）特定のファイルの場所を述べました。

削除するすべての疑わしいファイル、そしてキャッシュをきれいにする必要が（CCleanerのプログラムは、この目的に適している）一時フォルダをブラウザ。

復号化を開始するには、上記のプログラムをダウンロードする必要があります。 その後、変更されたファイルとその拡張子を指定して、それを実行し、「スキャン開始」をクリックしてください。 プログラムの最近のバージョンでは自分だけに感染したファイルを指定し、「開く」をクリックします。 その後、ファイルは復号化されます。

その後、ユーティリティが自動的に接続されているに格納されたファイルを含め、すべてのコンピュータのデータをスキャンし 、ネットワークドライブ、 およびそれらを復号化します。 この回復プロセスは、（ワークロードやコンピュータの速度に応じて）数時間かかることがあります。

その結果、すべての破損したファイルは、彼らが最初にインストールされていた同じフォルダにデコードされます。 終わりに、それはあなたが事前ボタン「スキャン設定を変更する」を押して、「復号化の成功の後に暗号化されたファイルを削除する」クエリでダニを置くことができ、不審な拡張子を持つすべての既存のファイルを削除する必要があります。 しかし、彼らが引退した後、最初にそれらを復元することができ、ファイルの失敗した復号化の場合のように、入れない方がよいです。

だから、このウイルスは、ファイルドキュメント、CBF、JPG tを暗号化します。E.は、支払コードに急ぐべきではありません。 たぶん、彼はそれを必要としませんでした。

暗号化されたファイルのニュアンス除去

あなたは、標準の検索とその後の除去を使用して、すべての破損したファイルを排除しようとすると、コンピュータをぶら下げと減速を開始することができます。 したがって、この手順のために、あなたは特別な使用する必要がある コマンドラインを。 その打ち上げの後、それは次のように入力する必要があります。del«<ドライブ>：\ * <感染したファイルの拡張子>»/ F / S。

「デル<ドライブ>：\ *。<ファイル名>»/ F / Sを。あなたは、同じコマンドラインで指定する必要があり、「読み取りmenya.txt」として、これらのファイルを削除することを確認してください。

したがって、ウイルスは名前を変更し、ファイルを暗号化する場合は、あなただけの自分で問題を理解しようとする最初に必要なキーサイバー犯罪者の購入にお金を使うべきではないことに留意されたいです。 破損したファイルを復号化するための特別プログラムの購入に投資した方が良いです。

最後に、ファイルに暗号化されたウイルスを復号化する方法については、この記事に質問することを想起する価値があります。