Poista DarkSide ransomware käyttöjärjestelmästä

DarkSide Ransomware poistaminen - viruksen poistovaiheet (päivitetty)



DarkSide ransomware poisto-ohjeet

Mikä on DarkSide?

DarkSiden löysi HaittaohjelmaHunterTeam . Tämäntyyppinen haittaohjelma tekee tiedostoista salattua, uhrien ulottumattomissa, muuttaa tiedostonimiä ja lunnaita. DarkSide nimeää salatut tiedostot uudelleen lisäämällä uhrin tunnuksen laajennuksena. Esimerkiksi se nimeäisi ' 1.jpg '-' 1.jpg.d0ac7d95 ',' 2.jpg '-' 2.jpg.d0ac7d95 ', ja niin edelleen. Se pudottaa LUE. [Uhrin tunnus] .TXT 'tiedosto (lunnasviesti) jokaisessa kansiossa, joka sisältää salattuja tietoja.

Lunnaita koskevassa viestissä todetaan, että DarkSide-lunnasohjelma salaa tiedot voimakkailla salausalgoritmeilla, jotta uhrit eivät pysty purkamaan tiedostojaan ilman ohjelmistoa, jota voi ostaa vain tämän haittaohjelman takana olevilta verkkorikollisilta. Uhreja varoitetaan, että heidän tietonsa julkaistaan ​​tietyllä verkkosivustolla, elleivät he maksa lunnaita (oston salauksen purkuohjelmisto). Tietoja säilytetään sivustolla vähintään kuusi kuukautta. Ohjeet lunnaiden maksamiseen ja muut yksityiskohdat, kuten salauksen purkuohjelmiston kustannukset, ovat Tor-verkkosivustolla, johon pääsee lunnaita koskevassa viestissä olevan linkin kautta (README. [Uhrin_ID] .TXT-tekstitiedosto). On erittäin todennäköistä, että DarkSiden takana olevat verkkorikolliset kohdistuvat suuriin yrityksiin ja organisaatioihin, koska niiden salauksenpurkuohjelmisto maksaa 194,105 BTC plus 10% tästä summasta eli 23220,713 XMR. Lisäksi uhreja kannustetaan ostamaan ohjelmisto kolmen päivän kuluessa, muuten kustannukset kaksinkertaistuvat (se maksaa sitten 388,209 Bitcoins plus 10% tästä summasta eli 46441.426 Moneros). Vain lunnasohjelman takana olevilla verkkorikollisilla on kelvolliset työkalut, jotka voivat purkaa tiedostot. Valitettavasti ei ole muita työkaluja, jotka voivat purkaa DarkSiden vaarantamien tiedostojen salauksen. Tästä huolimatta älä maksa verkkorikollisille lunnaita - he eivät lähetä mitään salauksen purkutyökaluja / avaimia edes maksun jälkeen. Maksavat uhrit huijataan. Yleensä ainoa tapa välttää tietojen menetys on palauttaa tiedostot varmuuskopiosta. Mahdollisten tiedostojen uudelleenkoodaus voidaan estää poistamalla ransomware, mutta jo vaarantuneet tiedostot pysyvät salattuina myös rogue-ohjelmiston poistamisen jälkeen.





Näyttökuva viestistä, joka kannustaa käyttäjiä maksamaan lunnaat purkamaan vaarantuneiden tietojensa purkamisen:

DarkSide purkaa ohjeet (LUE. [Uhri



Joitakin muita esimerkkejä lunnasohjelmista ovat KIINTEÄ , Protomolekyyli ja AW46 . Useimmissa tapauksissa tämä haittaohjelma salaa tiedostot ja näyttää ja / tai luo lunnasviestin. Yleisiä eroja ovat salauksen purkamisen kustannukset ja salausalgoritmi ( symmetrinen tai epäsymmetrinen ), jota käytetään tietojen salaamiseen. Valitettavasti uhrit eivät voi purkaa tiedostoja ilman voimassa olevia työkaluja, jotka ovat vain lunnasohjelman takana olevia rikollisia, elleivät lunnasohjelmat sisällä vikoja tai muita haavoittuvuuksia. Ainoa ilmainen tapa välttää lunnasohjelman aiheuttama tietojen menetys on palauttaa tiedostot etäpalvelimen (esim. Pilvi) varmuuskopiosta ja / tai irrotetusta tallennuslaitteesta.

Kuinka ransomware tartuttaa tietokoneeni?

Verkkorikolliset lähettävät usein sähköposteja, jotka sisältävät haitallisia liitteitä tai verkkosivustolinkkejä, ja yrittävät huijata vastaanottajia avaamaan haitallisen tiedoston. Jos tiedosto avataan, se aiheuttaa haittaohjelmien asennuksen. Esimerkkejä verkkorikollisten sähköposteihinsa liittämistä tiedostoista ovat haitalliset Microsoft Office, PDF-dokumentit, suoritettavat tiedostot, kuten .exe, arkistotiedostot, kuten ZIP, RAR ja JavaScript-tiedostot. Yritykset aktivoida lisensoitu ohjelmisto halkeilutyökaluilla voivat myös aiheuttaa haittaohjelmien asennuksen. Yleensä nämä työkalut tartuttavat järjestelmät haittaohjelmilla eivätkä ohita minkään asennetun ohjelmiston aktivointia. Troijalaiset ovat haittaohjelmia, jotka voivat aiheuttaa ketjuinfektioita asentamalla muita tällaisia ​​ohjelmistoja. Haittaohjelma leviää tällä tavalla vasta, kun tietokone on jo saanut troijalaisen tartunnan. Käyttäjiä huijataan usein tartuttamaan tietokoneitaan vertaisverkkojen (esim. Torrent-asiakkaat, eMule), kolmansien osapuolten lataajien, asentajien, ilmaisohjelmien lataussivustojen, ilmaisten tiedostojen isännöintisivustojen ja muiden tällaisten työkalujen kautta. Tietokoneet saavat tartunnan, kun käyttäjät lataavat ja suorittavat haitallisia tiedostoja. Useimmissa tapauksissa rikolliset peittävät tiedostot laillisiksi ja vaarattomiksi. Lisäksi haittaohjelmat asennetaan usein vahingossa väärennettyjen ohjelmistopäivitysten kautta, jotka hyödyntävät vanhentuneiden ohjelmistojen vikoja tai yksinkertaisesti asentavat haittaohjelmia päivitysten ja korjausten sijaan.

Uhkan yhteenveto:
Nimi DarkSide-virus
Uhkatyyppi Ransomware, Crypto Virus, Tiedostojen kaappi.
Salatut tiedostotunniste Uhrin henkilötodistus
Lunnaita vaativa viesti LUE. [Uhrin_ID] .TXT, Tor-sivusto.
Lunnaiden määrä 194,105 BTC (+10%) / 388,209 BTC (+ 10%) tai 23220,713 XMR / 46441,426 XMR
Verkkorikollinen yhteyshenkilö Tor-sivusto
Tunnistusnimet Avast (Win32: Malware-gen), BitDefender (Gen: Trojan.Heur.RP.bmGfbKkIF@n), Emsisoft (Gen: Trojan.Heur.RP.bmGfbKkIF@n (B)), Kaspersky (Trojan-Ransom.Win32). Xx), täydellinen luettelo havaitsemisista ( VirusYhteensä )
Oireet Tietokoneellesi tallennettuja tiedostoja ei voi avata, aiemmin toiminnallisilla tiedostoilla on nyt eri laajennus (esimerkiksi my.docx.locked). Lunnaita vaativa viesti näkyy työpöydälläsi. Verkkorikolliset vaativat lunnaiden maksamisen (yleensä bitcoineina) tiedostojen lukituksen avaamiseksi.
lisäinformaatio Tätä lunnasohjelmaa voidaan käyttää kohdistamaan suuriin yrityksiin ja organisaatioihin.
Jakelumenetelmät Tartunnan saaneet sähköpostiliitteet (makrot), torrent-sivustot, haitalliset mainokset.
Vahingoittaa Kaikki tiedostot ovat salattuja, eikä niitä voi avata maksamatta lunnaita. Muita salasanan varastavia troijalaisia ​​ja haittaohjelmatartuntoja voidaan asentaa yhdessä ransomware-infektion kanssa.
Haittaohjelmien poisto (Windows)

Poista mahdolliset haittaohjelmatartunnat tarkistamalla tietokoneesi laillisilla virustorjuntaohjelmistoilla. Turvallisuustutkijat suosittelevat Malwarebytesin käyttöä.
▼ Lataa Malwarebytes
Jos haluat käyttää monipuolista tuotetta, sinun on hankittava Malwarebytes-lisenssi. Saatavana 14 päivän ilmainen kokeilu.

Kuinka suojautua ransomware-infektioilta

Ohjelmistoa ja tiedostoja EI saa ladata tai asentaa kolmansien osapuolien latausohjelmien / asentajien, epävirallisten verkkosivustojen tai muiden (edellä mainittujen) kanavien / työkalujen kautta. Käytä virallisia verkkosivustoja ja suoria linkkejä. Asennettu ohjelmisto on päivitettävä virallisten ohjelmistokehittäjien suunnittelemilla työkaluilla ja toiminnoilla. Sama koskee aktivointia. Lisäksi on laitonta ohittaa lisensoitujen ohjelmistojen aktivointi epävirallisilla, kolmansien osapuolten ('halkeamien') työkaluilla. Asiaankuulumattomiin sähköposteihin, jotka sisältävät liitteitä ja jotka vastaanotetaan tuntemattomista / epäilyttävistä osoitteista, ei tule luottaa (älä avaa tiedostoja tai verkkosivustolinkkejä niissä). Skannaa järjestelmä säännöllisesti hyvämaineisella virustorjunta- tai vakoiluohjelmien torjuntaohjelmistolla, pidä se ajan tasalla ja poista havaitut uhat välittömästi. Jos tietokoneessasi on jo DarkSide-tartunta, suosittelemme tarkistuksen suorittamista Malwarebytes Windowsille poistaa tämä lunnasohjelma automaattisesti.

Ulkonäkö LUE. [Uhrin tunnus] .TXT 'lunnasviesti (GIF):

darkside ransom note gif

DarkSide-lunnasohjelmatekstitiedostossa esitetty teksti:

----------- [Tervetuloa pimeään] ------------->

Mitä tapahtui?
----------------------------------------------
Tietokoneesi ja palvelimesi ovat salattuja, varmuuskopiot poistetaan. Käytämme vahvoja salausalgoritmeja, joten et voi purkaa tietojesi salausta.
Mutta voit palauttaa kaiken ostamalla meiltä erityisohjelman - yleisen salauksenpuristimen. Tämä ohjelma palauttaa kaiken verkon.
Seuraa alla olevia ohjeita ja palautat kaikki tietosi.

Tietovuoto
----------------------------------------------

Ensinnäkin olemme ladanneet yli 100 Gt dataa.

Esimerkki tiedoista:
- kirjanpitotiedot
- Johdon tiedot
- Myyntitiedot
- Asiakastuen tiedot
- Markkinointitiedot
- Laatutiedot
- Ja muuta muuta ...

Henkilökohtainen vuotosivusi: hxxp: //darksidedxcftmqa.onion/blog/article/id/6/ dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC
Tiedot on esiladattu ja ne julkaistaan ​​automaattisesti, jos et maksa.
Julkaisun jälkeen tietosi ovat käytettävissä vähintään 6 kuukautta tor cdn -palvelimillamme.

Me olemme valmiina:
- toimittaa sinulle todisteet varastetuista tiedoista
- Antaa sinulle yleisen salauksen purkutyökalun kaikille salatuille tiedostoille.
- Poista kaikki varastetut tiedot.

Mitä takuita?
----------------------------------------------
Arvostamme maineemme. Jos emme tee työtä ja vastuita, kukaan ei maksa meille. Tämä ei ole meidän etujemme mukaista.
Kaikki salauksen purkuohjelmistomme on testattu täydellisesti ja purkaa tietosi. Tarjoamme tukea myös ongelmatapauksissa.
Takaamme yhden tiedoston purkamisen ilmaiseksi. Mene sivustolle ja ota meihin yhteyttä.

Kuinka pääset verkkosivustolle?
----------------------------------------------
TOR-selaimen käyttäminen:
1) Lataa ja asenna TOR-selain tältä sivustolta: hxxps: //torproject.org/
2) Avaa verkkosivustomme: hxxp: //darksidfqzcuhtk2.onion/ K71D6P88YTX04R3ISCJZHMD5IYV55V9247QHJY0HJYUXX68H2P05XPRIR5SP2U68

Kun avaat verkkosivustomme, lisää seuraavat tiedot syöttölomakkeeseen:
Avain:
-

!!! VAARA !!!
ÄLÄ MUOKKAA tai yritä palauttaa tiedostoja itse. Emme voi palauttaa niitä.
!!! VAARA !!!

Tor-sivuston (GIF) ulkonäkö:

darkside ransomware tor -sivuston gif

Teksti Tor-verkkosivustolla:

Verkkosi on lukittu!
Sinun on maksettava 2 000 000 dollaria
194,105 BTC (+ 10%) - 23220,713 XMR nyt, tai 4 000 000 dollaria
388,209 BTC (+ 10%) - 46441,426 XMR kaksinkertaistumisen jälkeen.

Maksun jälkeen tarjoamme sinulle yleisen salauksenpuristimen kaikille verkkoille.

Älä huoli, olemme hyviä salauksen purkuasiantuntijoita.
Kuinka purkaa tiedostot?

Osta tarvittava määrä XMR (Monero): 23220.713 XMR tai BTC (Bitcoin): 194.105 BTC (+ 10%)
Lähetä 23220.713 XMR tai 194.105 BTC (+ 10%) seuraavaan osoitteeseen:
Valuutta: 86R5YKD3DbMTJ1mgqiYjjsVULxwcxN5h5Yy Jt7Sz4B2oZEpZCnGBDZY4DG293xeeZSeF6iaDJqAoRVMeQXgUNM5x3fzyZru
BTC: bc1qena2vfl7xhc5ad7q06eeuyd563ykxmwardnt2d
* Tämä vastaanotto-osoite luotiin sinulle tapahtumiesi tunnistamiseksi.
Odota 10 vahvistusta XMR: lle tai 3 vahvistusta BTC: lle.
Lataa nykyinen sivu uudelleen ja hanki linkkilataus Decryptor.

Aikaa jäljellä
03 päivää, 00:45:03
Aika päättyy 15. elokuuta 2020, 10.52
* Hinta kaksinkertaistuu, jos et maksa.
Tietovuoto
Tietosi varastettu. Lue blogi.
Seuraava julkaisu:
03 päivää, 13:50:07
Tapahtumat
TXID-summavahvistusten tilapäivä
Tapahtumia ei löydy

Näyttökuva DarkSide-tietovuodosta:

darkside-tietovuodot

Näyttökuva tiedostoista, jotka DarkSide on salannut (uhrin tunnus on laajennuksena):

DarkSide-lunnasohjelman salaamat tiedostot (uhri

Päivitetty 23. lokakuuta 2020 - DarkSide-lunnasohjelman takana olevat rikolliset väittävät lahjoittaneensa osan laittomasta voitostaan ​​(maksetuista lunnaista) hyväntekeväisyysjärjestöille. Lahjoitustodistus toimitettiin kahdelle organisaatiolle: Children International ja The Water Project. Lahjoituksen aikana summat olivat yhtä suuret kuin noin 10 000 dollaria (USD) kukin. Huomaa, että on erittäin epätodennäköistä, että hyväntekeväisyysjärjestöt kykenevät pitämään nämä lahjoitukset, koska on laitonta vastaanottaa ja / tai käyttää rikollisesta toiminnasta saatuja varoja. Lisätietoja tästä löytyy Catalin Cimpanun artikkeli Zero Day -blogista (ZDNet) .

Päivitetty 26. marraskuuta 2020 - Olemme äskettäin löytäneet uuden version DarkSide-lunnasohjelmasta, joka välittää hieman erilaisen lunnasviestin. Se muuttaa myös työpöydän taustakuvan ja salattujen tiedostojen kuvakkeet.

Lunnaasanoman ulkonäkö tästä DarkSide-versiosta - README. [Uhrin_ID] .TXT (GIF):

lataa linux mint iso

DarkSide-lunnasohjelman toimittama lunnaita koskeva huomautus (2020-11-26)

Sisältynyt teksti:

----------- [Tervetuloa DarkSideen] ------------->

Mitä tapahtui?
----------------------------------------------
Tietokoneesi ja palvelimesi ovat salattuja, varmuuskopiot poistetaan. Käytämme vahvoja salausalgoritmeja, joten et voi purkaa tietojesi salausta.
Mutta voit palauttaa kaiken ostamalla meiltä erityisohjelman - yleisen salauksenpuristimen. Tämä ohjelma palauttaa kaiken verkon.
Seuraa alla olevia ohjeita ja palautat kaikki tietosi.

Tietovuoto
----------------------------------------------
Ensinnäkin olemme ladanneet yli 260 Gt tietoa.

Esimerkki tiedoista:
- Sopimukset
- Asiakastiedot
- Rahoittaa
- HR
- Leadarea-tiedot
- logistiikkatiedot
- Korttitiedot
- Gitlab-varmuuskopiot

Henkilökohtainen vuotosivusi: hxxp: //darksidedxcftmqa.onion/blog/article/ id / 10 / 9t357riZiE6o5q_CaQX0E3AF3kFELw-2_rbsbi7J9Ye226-2RM7ELc59bc0JvxUu
Tiedot on esiladattu ja ne julkaistaan ​​automaattisesti, jos et maksa.
Julkaisun jälkeen tietosi ovat käytettävissä vähintään 6 kuukautta tor cdn -palvelimillamme.

Me olemme valmiina:
- toimittaa sinulle todisteet varastetuista tiedoista
- Antaa sinulle yleisen salauksen purkutyökalun kaikille salatuille tiedostoille.
- Poista kaikki varastetut tiedot.

Mitä takuita?
----------------------------------------------
Arvostamme maineemme. Jos emme tee työtä ja vastuita, kukaan ei maksa meille. Tämä ei ole meidän etujemme mukaista.
Kaikki salauksen purkuohjelmistomme on testattu täydellisesti ja purkaa tietosi. Tarjoamme tukea myös ongelmatapauksissa.
Takaamme yhden tiedoston purkamisen ilmaiseksi. Mene sivustolle ja ota meihin yhteyttä.

Kuinka pääset verkkosivustolle?
----------------------------------------------
TOR-selaimen käyttäminen:
1) Lataa ja asenna TOR-selain tältä sivustolta: hxxps: //torproject.org/
2) Avaa verkkosivustomme: hxxp: //darksidfqzcuhtk2.onion/ N0V4UBROF6PNA5OQXVOAYUY712Z1MRRLN5KX57JYC1ZJYUBXGWY996BIH9OMDLGT

Kun avaat verkkosivustomme, lisää seuraavat tiedot syöttölomakkeeseen:
Avain:

-

!!! VAARA !!!
ÄLÄ MUOKKAA tai yritä palauttaa tiedostoja itse. Emme voi palauttaa niitä.
!!! VAARA !!!

Näyttökuva tämän DarkSide-muunnoksen asettamasta työpöydän taustakuvasta:

DarkSide-lunnasohjelman asettama työpöydän taustakuva (2020-11-26)

Sisältynyt teksti:

Kaikki tiedostosi on salattu!

Etsi README. [Uhrin_ID] .TXT ja noudata ohjeita!

Näyttökuva salatuista tiedostoista (laajennus pysyy samana: uhrin tunnus):

DarkSide-lunnasohjelman salaamat tiedostot (2020-11-26)

Päivitetty 11. tammikuuta 2021 - Bitdefender on hiljattain julkaissut salauksen purkutyökalun, joka pystyy palauttamaan DarkSide-lunnasohjelman salaamat tiedot. Voit ladata tämän työkalun ja löytää lisätietoja Bitdefenderin verkkosivusto .

Näyttökuva BitSefenderin DarkSide-lunnasohjelmien salauksen purkutyökalusta:

BitSefenderin DarkSide-ransomware-salauksen purkutyökalu

DarkSide ransomware poisto:

Välitön automaattinen haittaohjelmien poisto: Manuaalinen uhkien poisto voi olla pitkä ja monimutkainen prosessi, joka vaatii edistyneitä tietotekniikan taitoja. Malwarebytes on ammattimainen automaattinen haittaohjelmien poistotyökalu, jota suositellaan eroon haittaohjelmista. Lataa se napsauttamalla alla olevaa painiketta:
▼ LATAA Malwarebytes Lataamalla minkä tahansa tällä verkkosivustolla luetellun ohjelmiston hyväksyt sen Tietosuojakäytäntö ja Käyttöehdot . Jos haluat käyttää monipuolista tuotetta, sinun on hankittava Malwarebytes-lisenssi. Saatavana 14 päivän ilmainen kokeilu.

Pikavalikko:

Lunnasohjelmasta ilmoittaminen viranomaisille:

Jos olet ransomware-hyökkäyksen uhri, suosittelemme ilmoittamaan tästä tapahtumasta viranomaisille. Tarjoamalla tietoja lainvalvontaviranomaisille autat seuraamaan tietoverkkorikollisuutta ja mahdollisesti auttamaan hyökkääjien syytteeseenpanossa. Tässä on luettelo viranomaisista, joissa sinun tulisi ilmoittaa ransomware-hyökkäyksestä. Täydellinen luettelo paikallisista kyberturvallisuuskeskuksista ja tiedot siitä, miksi sinun pitäisi ilmoittaa ransomware-hyökkäyksistä, lue tämä artikkeli .

Luettelo paikallisviranomaisista, joissa ransomware-hyökkäykset on ilmoitettava (valitse yksi asuinpaikkasi mukaan):

Tartunnan saaneen laitteen eristäminen:

Jotkut lunnasohjelmatyyppiset infektiot on suunniteltu salaamaan ulkoisten tallennuslaitteiden tiedostot, tartuttamaan ne ja jopa leviämään koko paikalliseen verkkoon. Tästä syystä on erittäin tärkeää eristää tartunnan saanut laite (tietokone) mahdollisimman pian.

Vaihe 1: Katkaise yhteys Internetiin.

Helpoin tapa irrottaa tietokone Internetistä on irrottaa Ethernet-kaapeli emolevystä. Jotkin laitteet on kuitenkin kytketty langattoman verkon kautta, ja joillekin käyttäjille (etenkin niille, jotka eivät ole erityisen teknisesti taitavia) kaapeleiden irrottaminen saattaa tuntua hankala. Siksi voit irrottaa järjestelmän myös manuaalisesti ohjauspaneelin kautta:

Siirry kohtaan Ohjauspaneeli ', napsauta hakupalkkia näytön oikeassa yläkulmassa, kirjoita' Verkko-ja jakamiskeskus 'ja valitse hakutulos: Tunnista lunnasohjelmatyyppinen infektio (vaihe 1)

Klikkaa ' Muuta adapterin asetuksia '-vaihtoehto ikkunan vasemmassa yläkulmassa: Tunnista lunnasohjelmatyyppinen infektio (vaihe 2)

Napsauta hiiren kakkospainikkeella kutakin yhteyspistettä ja valitse ' Poista käytöstä '. Kun järjestelmä on poistettu käytöstä, sitä ei enää yhdistetä Internetiin. Ota yhteyspisteet uudelleen käyttöön napsauttamalla hiiren kakkospainikkeella uudelleen ja valitsemalla ' ota käyttöön '. Tunnista lunnasohjelmatyyppinen infektio (vaihe 3)

Vaihe 2: Irrota kaikki tallennuslaitteet.

Kuten edellä mainittiin, ransomware saattaa salata tietoja ja tunkeutua kaikkiin tietokoneeseen kytkettyihin tallennuslaitteisiin. Tästä syystä kaikki ulkoiset tallennuslaitteet (flash-asemat, kannettavat kiintolevyt jne.) Tulisi irrottaa välittömästi. Suosittelemme kuitenkin, että poistat jokaisen laitteen ennen yhteyden katkaisemista tietojen vioittumisen estämiseksi:

Navigoida johonkin ' Tietokoneeni ', napsauta hiiren kakkospainikkeella kutakin liitettyä laitetta ja valitse' Poista ': Tunnista lunnasohjelmatyyppinen infektio (vaihe 4)

Vaihe 3: Kirjaudu ulos pilvitallennustilistä.

Jotkut lunnasohjelmatyypit saattavat pystyä kaappaamaan ohjelmiston, joka käsittelee pilvi '. Siksi tiedot saatetaan vioittaa / salata. Tästä syystä sinun tulee kirjautua ulos kaikista selainten ja muiden niihin liittyvien ohjelmistojen pilvitallennustileistä. Harkitse myös pilvihallintaohjelmiston asennuksen poistamista väliaikaisesti, kunnes infektio on kokonaan poistettu.

Tunnista lunnasohjelmatartunta:

Infektion hoitamiseksi on ensin tunnistettava se. Jotkut ransomware-infektiot käyttävät lunnaita vaativia viestejä johdantona (katso alla oleva WALDO ransomware -tekstitiedosto).

Tunnista lunnasohjelmatyyppinen infektio (vaihe 5)

Tämä on kuitenkin harvinaista. Useimmissa tapauksissa ransomware-infektiot välittävät suorempia viestejä yksinkertaisesti toteamalla, että tiedot on salattu ja että uhrien on maksettava jonkinlainen lunnaita. Huomaa, että lunnasohjelmatyyppiset infektiot luovat tyypillisesti viestejä eri tiedostonimillä (esimerkiksi _readme.txt ',' READ-ME.txt ',' DECRYPTION_INSTRUCTIONS.txt ',' DECRYPT_FILES.html ', jne.). Siksi lunnasviestin nimen käyttäminen saattaa tuntua hyvältä tavalta tunnistaa infektio. Ongelmana on, että suurin osa näistä nimistä on yleisnimi ja joissakin infektioissa käytetään samoja nimiä, vaikka välitetyt viestit olisivat erilaisia ​​ja infektiot itse eivät liity toisiinsa. Siksi pelkkä viestin tiedostonimen käyttö voi olla tehotonta ja johtaa jopa pysyvään tietojen menetykseen (esimerkiksi yrittämällä salauksen purkamista käyttämällä erilaisia ​​ransomware-infektioita varten suunniteltuja laitteita käyttäjät todennäköisesti vahingoittavat tiedostoja pysyvästi, ja salauksen purkaminen ei ole enää mahdollista jopa oikealla työkalulla).

Toinen tapa tunnistaa ransomware-infektio on tarkistaa tiedostotunniste, joka on liitetty jokaiseen salattuun tiedostoon. Ransomware-infektiot nimetään usein niiden lisäämillä laajennuksilla (katso Qewe-lunnasohjelman salaamat tiedostot alla).

Haetaan ransomware-salauksen purkutyökaluja nomoreransom.org-verkkosivustolta

Tämä menetelmä on tehokas kuitenkin vain, kun liitteenä oleva laajennus on ainutlaatuinen - monet ransomware-infektiot liittävät yleisen laajennuksen (esimerkiksi . salattu ',' .enc ',' .salattu ',' .lukittu ', jne.). Näissä tapauksissa lunnasohjelman tunnistaminen liitteenä olevan laajennuksen avulla on mahdotonta.

Yksi helpoimmista ja nopeimmista tavoista tunnistaa ransomware-infektio on käyttää ID Ransomware -sivusto . Tämä palvelu tukee useimpia nykyisiä ransomware-infektioita. Uhrit yksinkertaisesti lataavat lunnasviestin ja / tai yhden salatun tiedoston (suosittelemme, että lataat molemmat, jos mahdollista).

mikrofoni ei toimi Windows 7: ssä

Ohjattu Recuva-tietojen palautustyökalu

Lunnasohjelma tunnistetaan muutamassa sekunnissa ja sinulle annetaan useita yksityiskohtia, kuten haittaohjelmaperheen nimi, johon tartunta kuuluu, onko se purettavissa, ja niin edelleen.

Esimerkki 1 (Qewe [Stop / Djvu] ransomware):

Recuva-tietojen palautustyökalun skannausaika

Esimerkki 2 (.iso [Phobos] lunnasohjelma):

Recuva tietojen palautustyökalu tietojen palauttamiseksi

Jos tietosi satunnaisesti salaa ransomware-ohjelmalla, jota ID Ransomware ei tue, voit aina yrittää etsiä Internetistä käyttämällä tiettyjä avainsanoja (esimerkiksi lunnasviestin otsikko, tiedostopääte, toimitetut yhteyssähköpostit, salauksen lompakon osoitteet jne. ).

Etsi ransomware-salauksen purkutyökaluja:

Salausalgoritmit, joita useimmat ransomware-tyyppiset infektiot käyttävät, ovat erittäin kehittyneitä, ja jos salaus suoritetaan oikein, vain kehittäjä pystyy palauttamaan tietoja. Tämä johtuu siitä, että salauksen purku vaatii erityisen avaimen, joka syntyy salauksen aikana. Tietojen palauttaminen ilman avainta on mahdotonta. Useimmissa tapauksissa verkkorikolliset tallentavat avaimet etäpalvelimeen sen sijaan, että käyttäisivät tartunnan saanutta konetta isäntänä. Dharma (CrySis), Phobos ja muut huippuluokan ransomware-infektioperheet ovat käytännössä virheettömiä, joten salattujen tietojen palauttaminen ilman kehittäjien osallistumista on yksinkertaisesti mahdotonta. Tästä huolimatta on olemassa kymmeniä ransomware-tyyppisiä infektioita, jotka ovat huonosti kehittyneitä ja sisältävät useita puutteita (esimerkiksi samanlaisten salaus- / salauksenpurkuavainten käyttö jokaiselle uhrille, paikallisesti tallennetut avaimet jne.). Siksi tarkista aina, onko tietokoneellesi tunkeutuneita lunnasohjelmia käytettävissä.

Oikean salauksen purkutyökalun löytäminen Internetistä voi olla hyvin turhauttavaa. Tästä syystä suosittelemme käyttämään Ei enää Ransom-projektia ja tässä on ransomware-infektion tunnistaminen on hyödyllinen. No More Ransom Project -sivusto sisältää '' Salauksen purkutyökalut '-osio hakupalkilla. Anna tunnistetun lunnasohjelman nimi, ja kaikki käytettävissä olevat salauksenpurkuohjelmat (jos sellaisia ​​on) luetellaan.

Napsauta tehtäväpalkin OneDrive-kuvaketta

Palauta tiedostot tietojen palautustyökaluilla:

Tilanteesta riippuen (lunnasohjelmatartunnan laatu, käytetty salausalgoritmin tyyppi jne.) Tietojen palauttaminen tietyillä kolmannen osapuolen työkaluilla saattaa olla mahdollista. Siksi suosittelemme käyttämään Recuva-työkalu, jonka on kehittänyt CCleaner . Tämä työkalu tukee yli tuhatta tietotyyppiä (grafiikkaa, videota, ääntä, asiakirjoja jne.), Ja se on hyvin intuitiivinen (tietojen palauttamiseen tarvitaan vähän tietoa). Lisäksi palautusominaisuus on täysin ilmainen.

Vaihe 1: Suorita skannaus.

Suorita Recuva-sovellus ja seuraa ohjattua toimintoa. Sinua pyydetään useilla ikkunoilla, joiden avulla voit valita etsimäsi tiedostotyypit, mitkä sijainnit tulisi skannata jne. Sinun tarvitsee vain valita etsimäsi vaihtoehdot ja aloittaa skannaus. Suosittelemme, että otat Syvä skannaus 'ennen aloittamista, muuten sovelluksen skannausominaisuudet ovat rajoitetut.

Valitse Ohje ja asetukset ja napsauta Asetukset

Odota, että Recuva suorittaa tarkistuksen loppuun. Skannauksen kesto riippuu skannaamiesi tiedostojen määrästä (sekä määrällisesti että koosta) (esimerkiksi useiden satojen gigatavujen skannaus voi kestää yli tunnin). Siksi ole kärsivällinen skannausprosessin aikana. Suosittelemme myös, ettet muokkaa tai poista olemassa olevia tiedostoja, koska se saattaa häiritä skannausta. Jos lisäät tietoja (esimerkiksi lataat tiedostoja / sisältöä) skannauksen aikana, tämä pidentää prosessia:

Valitse Varmuuskopiointi-välilehti ja napsauta Hallitse varmuuskopiota

Vaihe 2: Palauta tiedot.

Kun prosessi on valmis, valitse palautettavat kansiot / tiedostot ja napsauta 'Palauta'. Huomaa, että tallennusasemassa tarvitaan vähän vapaata tilaa tietojen palauttamiseksi:

Valitse varmuuskopioitavat kansiot ja napsauta Aloita varmuuskopiointi

Luo varmuuskopiot:

Oikea tiedostojen hallinta ja varmuuskopioiden luominen on välttämätöntä tietoturvan kannalta. Siksi ole aina erittäin varovainen ja ajattele eteenpäin.

Osioiden hallinta: Suosittelemme, että tallennat tietosi useaan osioon ja vältä tärkeiden tiedostojen tallentamista osioon, joka sisältää koko käyttöjärjestelmän. Jos joutut tilanteeseen, jossa et voi käynnistää järjestelmää ja pakotetaan alustamaan levy, jolle käyttöjärjestelmä on asennettu (useimmissa tapauksissa haittaohjelmatartunnat piiloutuvat), menetät kaikki kyseiseen asemaan tallennetut tiedot. Tämä on etu siitä, että sinulla on useita osioita: jos koko tallennuslaite on määritetty yhdelle osiolle, sinun on pakko poistaa kaikki, mutta useiden osioiden luominen ja tietojen jakaminen oikeuttavat mahdollisuuden estää tällaiset ongelmat. Voit helposti muotoilla yhden osion vaikuttamatta muihin - näin ollen yksi puhdistetaan ja muut pysyvät koskemattomina, ja tietosi tallennetaan. Osioiden hallinta on melko yksinkertaista ja löydät kaikki tarvittavat tiedot Microsoftin dokumentaation verkkosivu .

Tietojen varmuuskopiot: Yksi luotettavimmista varmuuskopiointimenetelmistä on käyttää ulkoista tallennuslaitetta ja pitää se irti verkkovirrasta. Kopioi tiedot ulkoiselle kiintolevylle, flash-asemaan (SSD), SSD: lle, kiintolevylle tai muulle tallennuslaitteelle, irrota se pistorasiasta ja säilytä kuivassa paikassa poissa auringosta ja äärimmäisistä lämpötiloista. Tämä menetelmä on kuitenkin melko tehoton, koska tietojen varmuuskopiot ja päivitykset on tehtävä säännöllisesti. Voit käyttää myös pilvipalvelua tai etäpalvelinta. Täällä vaaditaan Internet-yhteys ja aina on mahdollisuus tietoturvaloukkauksiin, vaikka se on todella harvinainen tilanne.

Suosittelemme käyttöä Microsoft OneDrive tiedostojen varmuuskopiointia varten. OneDrive antaa sinun tallentaa henkilökohtaiset tiedostosi ja tietosi pilveen, synkronoida tiedostoja tietokoneiden ja mobiililaitteiden välillä, jolloin voit käyttää ja muokata tiedostojasi kaikista Windows-laitteista. OneDrive antaa sinun tallentaa, jakaa ja esikatsella tiedostoja, käyttää lataushistoriaa, siirtää, poistaa ja nimetä tiedostoja sekä luoda uusia kansioita ja paljon muuta.

Voit varmuuskopioida tärkeimmät kansiot ja tiedostot tietokoneellesi (työpöytä-, asiakirja- ja kuvat-kansiot). Joitakin OneDriven merkittävimpiä ominaisuuksia ovat tiedostoversio, joka pitää tiedostojen vanhemmat versiot jopa 30 päivän ajan. OneDrive sisältää kierrätysastian, johon kaikki poistetut tiedostot tallennetaan rajoitetun ajan. Poistettuja tiedostoja ei lasketa osaksi käyttäjän varausta.

Palvelu on rakennettu HTML5-tekniikoiden avulla, ja sen avulla voit ladata enintään 300 Mt: n tiedostoja vetämällä ja pudottamalla verkkoselaimeen tai jopa 10 Gt tiedostoja OneDrive-työpöytäsovellus . OneDrive-ohjelmalla voit ladata kokonaisia ​​kansioita yhtenä ZIP-tiedostona, johon mahtuu jopa 10000 tiedostoa, vaikka se ei saisi ylittää 15 Gt yhtä latausta kohti.

OneDrive sisältää 5 Gt ilmaista tallennustilaa laatikosta, lisäksi 100 Gt, 1 Tt ja 6 Tt tallennustilavaihtoehtoja tilauspohjaista maksua vastaan. Voit hankkia yhden näistä tallennustilapaketeista joko ostamalla lisätallennustilaa erikseen tai Office 365 -tilauksella.

Varmuuskopion luominen:

Varmuuskopiointi on sama kaikille tiedostotyypeille ja kansioille. Näin voit varmuuskopioida tiedostosi Microsoft OneDriven avulla

Vaihe 1: Valitse tiedostot / kansiot, jotka haluat varmuuskopioida.

Valitse tiedosto manuaalisesti ja kopioi se

Klikkaa OneDrive-pilvikuvake avata OneDrive-valikko . Tässä valikossa voit mukauttaa tiedostojen varmuuskopiointiasetuksia.

Luo varmuuskopio liittämällä kopioitu tiedosto OneDrive-kansioon

Klikkaus Ohje ja asetukset ja valitse sitten asetukset avattavasta valikosta.

Tiedostojen tilat OneDrive-kansiossa

Mene Varmuuskopiointi-välilehti ja napsauta Hallitse varmuuskopiota .

Napsauta Ohje ja asetukset ja valitse Näytä verkossa

Tässä valikossa voit valita varmuuskopion Työpöytä ja kaikki sen tiedostot, ja Asiakirjat ja Kuvia kansiot, joissa taas kaikki tiedostot. Klikkaus Aloita varmuuskopiointi .

Nyt kun lisäät tiedoston tai kansion Työpöytä- ja Asiakirjat- ja Kuvat-kansioihin, ne varmuuskopioidaan automaattisesti OneDriveen.

Jos haluat lisätä kansioita ja tiedostoja, ei yllä oleviin paikkoihin, sinun on lisättävä ne manuaalisesti.

Napsauta Asetukset-hammaspyörää ja valitse Asetukset

Avaa File Explorer ja siirry varmuuskopioitavan kansion / tiedoston sijaintiin. Valitse kohde ja napsauta sitä hiiren kakkospainikkeella ja napsauta Kopio .

palauta-onedrive

Sitten, siirry OneDriveen, napsauta hiiren kakkospainikkeella missä tahansa ikkunassa ja napsauta Liitä . Vaihtoehtoisesti voit vain vetää ja pudottaa tiedoston OneDriveen. OneDrive luo automaattisesti varmuuskopion kansiosta / tiedostosta.

Kaikki OneDrive-kansioon lisätyt tiedostot varmuuskopioidaan pilvessä automaattisesti. Vihreä ympyrä, jossa on valintamerkki, osoittaa, että tiedosto on saatavilla sekä paikallisesti että OneDrivessa ja että tiedostoversio on sama molemmissa. Sininen pilvikuvake osoittaa, että tiedostoa ei ole synkronoitu ja se on käytettävissä vain OneDrive-sovelluksessa. Synkronointikuvake osoittaa, että tiedostoa synkronoidaan parhaillaan.

Voit käyttää vain OneDrive-verkossa olevia tiedostoja siirtymällä kohtaan Ohje ja asetukset avattavasta valikosta ja valitse Näytä verkossa .

Vaihe 2: Palauta vioittuneet tiedostot.

OneDrive varmistaa, että tiedostot pysyvät synkronoituna, joten tietokoneen tiedoston versio on sama versio pilvessä. Jos lunnasohjelma on kuitenkin salannut tiedostosi, voit hyödyntää sitä OneDriven versiohistoria ominaisuus, jonka avulla voit palauta tiedostoversiot ennen salausta .

Microsoft 365: ssä on lunnasohjelman tunnistusominaisuus, joka ilmoittaa sinulle, kun OneDrive-tiedostoihisi on hyökätty, ja opastaa tiedostojen palauttamisprosessissa. On kuitenkin huomattava, että jos sinulla ei ole maksettua Microsoft 365 -tilausta, saat vain yhden tunnistuksen ja tiedostojen palautuksen ilmaiseksi.

Jos OneDrive-tiedostosi poistetaan, vioittuvat tai haittaohjelmien tartuttamat, voit palauttaa koko OneDrive-tiedostosi edelliseen tilaan. Näin voit palauttaa koko OneDriven:

1. Jos olet kirjautunut sisään henkilökohtaisella tilillä, napsauta Asetusten hammaspyörä sivun yläosassa. Napsauta sitten Vaihtoehdot ja valitse Palauta OneDrive .

Jos olet kirjautunut sisään työpaikan tai koulun tilillä, napsauta Asetusten hammaspyörä sivun yläosassa. Napsauta sitten Palauta OneDrive .

2. Palauta OneDrive-sivulla valitse päivämäärä avattavasta luettelosta . Huomaa, että jos palautat tiedostosi automaattisen lunnasohjelman havaitsemisen jälkeen, sinulle valitaan palautuspäivä.

3. Kun olet määrittänyt kaikki tiedostojen palautusvaihtoehdot, napsauta Palauttaa kumoa kaikki valitsemasi toiminnot.

Paras tapa välttää kiristyshaittaohjelmien aiheuttamat vahingot on ylläpitää säännöllisiä ja ajan tasalla olevia varmuuskopioita.