Virus zašifroval soubory na flash disku, jak jej obnovit. Jak snadno obnovit skryté informace na flash disku po napadení virem? Video o dešifrování a obnově souborů

Specialista francouzské společnosti Quarkslab Adrien Guinet hlásí, že našel způsob, jak dešifrovat data poškozená ransomwarovým útokem. Bohužel, tato metoda Funguje pouze pro operační systém Windows XP a ne ve všech případech, ale je to lepší než nic.

Musím dokončit celý proces dešifrování, ale potvrzuji, že v tomto případě lze soukromý klíč obnovit na systému XP #chtít pláč!! pic.twitter.com/QiB3Q1NYpS

Guinier zveřejněný na GitHubu zdrojové kódy nástroj, který nazval WannaKey. Technika výzkumníka je ve skutečnosti založena na využití poněkud podivné a málo známé chyby ve Windows XP, o které, jak se zdá, nevěděli ani autoři senzačního ransomwarového malwaru. Faktem je, že za určitých okolností je možné extrahovat klíč potřebný k „záchraně“ souborů z paměti počítače se systémem XP.

Výzkumník vysvětluje, že během provozu ransomware využívá Windows Crypto API a generuje dvojici klíčů – veřejný, který se používá k šifrování souborů, a soukromý, který lze použít k dešifrování souborů po zaplacení výkupného. Aby se oběti nedostaly k soukromému klíči a dešifrovaly data předem, zašifrují autoři WannaCry samotný klíč, aby byl k dispozici až po zaplacení.

Jakmile je klíč zašifrován, nešifrovaná verze se vymaže pomocí standardní funkce CryptReleaseContext, který by jej měl teoreticky odstranit z paměti infikovaného počítače. Guinier však poznamenal, že se tak nestane, pouze je odstraněna „značka“ ukazující na klíč.

Specialista píše, že je možné extrahovat soukromý klíč z paměti. Sám Guinier provedl řadu testů a úspěšně dešifroval soubory na několika infikovaných počítačích pod Ovládání Windows XP. Výzkumník však píše, že pro úspěšný výsledek operace musí být splněna řada podmínek. Vzhledem k tomu, že klíč je uložen pouze v nestálé paměti, musíte si dávat pozor nejen na skutečnost, že jakýkoli proces by mohl náhodně přepsat data na klíč a paměť bude přerozdělena, ale také byste neměli vypínat a restartovat počítač. po infekci.

"Pokud budete mít štěstí, budete mít přístup k těmto oblastem paměti a obnovit klíč." Může tam být stále a můžete jej použít k dešifrování souborů. To ale nefunguje ve všech případech,“ píše výzkumník.

Není známo, kolik počítačů se systémem Windows XP bylo infikováno WannaCry a jaké procento uživatelů po infekci nikdy nerestartovalo nebo nevypnulo svůj počítač. Dovolte mi připomenout, že celkem byly útoky ransomwaru zasaženy statisíce strojů ve více než stovce zemí po celém světě. Guinier přesto doufá, že jeho technika by mohla být užitečná alespoň některým uživatelům.

Jiní odborníci již potvrdili, že teoreticky by Guinierův nástroj měl fungovat. Slavný kryptograf a profesor Univerzity Johnse Hopkinse Matthew Green tedy píše, že metoda by měla fungovat, i když za současných okolností to všechno vypadá spíše jako loterie. Další známý specialista, zaměstnanec společnosti F-Secure, Mikko Hypponen, si klade otázku „proč používat ke zničení klíčů funkci, která neničí klíče?“, ale souhlasí s tím, že chybu lze využít k obnově zašifrovaných souborů.

Při cestách do různých měst a obcí se člověk chtě nechtě setkává s překvapeními, která mohou být jak příjemná, tak vyvolat zvýšené nepohodlí a těžký smutek.

Stejné emoce mohou čekat na uživatele, který má zájem „cestovat“ po internetu. I když někdy nepříjemná překvapení přiletí sama e-mailem ve formě výhružných dopisů, dokumentů, které se uživatelé snaží co nejdříve přečíst, čímž se dostanou do sítí podvodníků.

Na internetu se můžete setkat s neuvěřitelným množstvím virů naprogramovaných k provádění více negativních úkolů na vašem počítači, proto je důležité naučit se rozlišovat bezpečné odkazy pro stahování souborů a dokumentů a vyhýbat se těm, které pro váš počítač představují jasné nebezpečí.

Pokud jste se stali jedním z těch nešťastníků, kteří museli zažít negativní důsledky virového zásahu, nebudete pochybovat o tom, že je užitečné shromažďovat a následně systematizovat informace, jak předcházet infekci vašeho počítače.

Viry se objevily, jakmile se objevily počítačová technologie. Každý rok existuje stále více odrůd virů, takže pro uživatele je snadné zničit pouze nosiče viru, který je již dlouho znám, a byl nalezen 100% způsob jeho zničení.

Pro uživatele je mnohem obtížnější „bojovat“ proti virovým nosičům, které se právě objevují v síti nebo jsou doprovázeny destruktivními akcemi v plném rozsahu.

Metody obnovy souborů

V situaci, kdy virus zašifroval soubory v počítači, je pro mnohé klíčovou otázkou, co dělat. Pokud se jedná o amatérské fotografie, jejichž ztrátu se také nechcete smířit, můžete hledat způsoby, jak problém vyřešit po dlouhou dobu. Pokud však virus zašifroval soubory, které jsou extrémně důležité pro obchodní aktivity, touha zjistit, co dělat, je neuvěřitelně velká a také chcete dostatečně rychle podniknout účinné kroky.

Obnovení předchozí verze

Pokud byla ochrana systému na vašem počítači zapnuta předem, pak i v případech, kdy se vás již podařilo převzít „nezvaný hostující šifrátor“, budete stále moci obnovit dokumenty a vědět, co v tomto případě dělat.

Systém vám pomůže obnovit dokumenty pomocí nich stínové kopie. Trojan samozřejmě také zaměřuje své úsilí na odstranění takových kopií, ale viry nejsou vždy schopny takové manipulace provádět, protože nemají práva správce.

Krok 1

Je tedy snadné obnovit dokument pomocí jeho předchozí kopie. Chcete-li to provést, klikněte klikněte pravým tlačítkem myši najeďte myší na soubor, který se ukázal jako poškozený. V zobrazené nabídce vyberte „Vlastnosti“. Na obrazovce počítače se objeví okno se čtyřmi kartami, na které musíte přejít poslední záložka"Předchozí verze"

Krok 2

Všechny dostupné stínové kopie dokumentu budou uvedeny v okně níže; stačí vybrat možnost, která je pro vás nejvhodnější, a kliknout na tlačítko „Obnovit“.

Bohužel takové" záchranná služba" nelze použít na počítači, kde nebyla předem povolena ochrana systému. Z tohoto důvodu doporučujeme, abyste si jej zapnuli předem, abyste si později „nekousli lokty“ a vyčítali si zjevnou neposlušnost.

Krok 3

Je také snadné povolit ochranu systému na vašem počítači, nezabere to mnoho času. Zahoďte proto svou lenost a tvrdohlavost a pomozte svému počítači stát se méně zranitelným vůči trojským koním.

Klepněte pravým tlačítkem myši na ikonu „Počítač“ a vyberte „Vlastnosti“. Na levé straně okna, které se otevře, bude seznam, ve kterém najděte řádek „Ochrana systému“, klikněte na něj.

Nyní se znovu otevře okno, ve kterém budete požádáni o výběr disku. S vybraným místním diskem „C“ klikněte na tlačítko „Konfigurovat“.

Krok 4

Nyní se otevře okno s možnostmi obnovení. Musíte souhlasit s první možností, která zahrnuje obnovení parametrů systému a předchozí verze dokumenty. Nakonec klikněte na tradiční tlačítko „OK“.

Pokud jste všechny tyto manipulace provedli předem, pak i když trojský kůň navštíví váš počítač a zašifruje vaše soubory, budete mít vynikající prognózy obnovy důležitá informace.

Alespoň nebudete panikařit, když zjistíte, že všechny soubory ve vašem počítači jsou zašifrované, v tomto případě už budete přesně vědět, co dělat.

Používání utilit

Mnoho antivirových společností nenechává uživatele v klidu s problémem virů šifrujících dokumenty. Společnosti Kaspersky Lab a Doctor Web vyvinuly speciální nástroje, které pomohou vyřešit takové problematické situace.

Pokud tedy najdete hrozné stopy návštěvy ransomwaru, zkuste použít nástroj Kaspersky RectorDecryptor.

Spusťte obslužný program v počítači a zadejte cestu k souboru, který byl zašifrován. Není těžké pochopit, co by měl nástroj přímo dělat. Pomocí více možností se pokusí najít klíč k dešifrování souboru. Bohužel taková operace může být značně zdlouhavá a pro mnoho uživatelů není v časovém rámci.

Zejména se může stát, že výběr správného klíče trvá přibližně 120 dní. Zároveň musíte pochopit, že se nedoporučuje přerušovat proces dešifrování, takže byste také neměli vypínat počítač.

Společnost Kaspersky Lab také nabízí další nástroje:

• XoristDecryptor;
• RakhniDecryptor;
• Ransomware Decryptor.

Tyto nástroje jsou zaměřeny na výsledky škodlivých aktivit jiných ransomwarových trojských koní. Zejména nástroj Ransomware Decryptor je pro mnohé stále neznámý, protože je zaměřen na boj proti CoinVault, který teprve nyní začíná útočit na internet a pronikat do počítačů uživatelů.

Vývojáři Doctor Web také nezahálejí, a tak uživatelům předkládají své utility, pomocí kterých se můžete také pokusit obnovit zašifrované dokumenty ve svém počítači.

Vytvořte libovolnou složku na jednotce C a dejte jí jednoduchý název. Do této složky rozbalte nástroj stažený z oficiálních stránek společnosti.

Nyní to můžete použít praktické řešení Problémy. Chcete-li to provést, spusťte příkazový řádek, zadejte do něj „cd c:\XXX“, kde místo XXX zadejte název složky, do které jste nástroj umístili.

Místo „myfiles“ by měl být zapsán název složky, ve které se nachází poškozené dokumenty.

Nyní se obslužný program spustí a po úspěšném dokončení bude zahájen proces léčby, zobrazí se zpráva, která uvádí, co bylo obnoveno. Mimochodem, program neodstraní zašifrované soubory, ale jednoduše uloží obnovenou verzi vedle nich.

Bohužel ani tuto utilitu Doctor Web nelze považovat za kouzelnou hůlku, ale také neumí vše.

Mnozí již možná přišli na to, co dělat v případě infekce, ale zkušení uživatelé doporučují získat informace o tom, co se striktně nedoporučuje, aby si nevyvolali vážnější následky, když je šance na obnovu dokumentu nulová.

Operační systém do počítače nelze přeinstalovat. V takovém případě se vám možná podaří škůdce zlikvidovat, ale rozhodně se vám nepodaří vrátit dokumenty do funkčního stavu.

Nemůžete spouštět programy, které jsou zodpovědné za čištění registru nebo odstranění dočasných souborů v počítači.

Nedoporučuje se provádět antivirovou kontrolu, během níž lze infikované dokumenty jednoduše smazat. Pokud jste byli trochu hloupí a spustili jste antivirus a podlehli panice, pak se alespoň ujistěte, že všechny infikované soubory nejsou smazány, ale jednoduše umístěny do karantény.

Pokud jste pokročilý uživatel, můžete přerušit proces šifrování v počítači, než se rozšíří na všechny soubory a dokumenty. Chcete-li to provést, musíte spustit „Správce úloh“ a zastavit proces. Nezkušený uživatel pravděpodobně nebude schopen zjistit, který proces souvisí s virem.

Je užitečné odpojit počítač od internetu. Přerušením takového spojení se ve většině případů přeruší i proces šifrování souborů a dokumentů v počítači.

Takže s úplným pochopením toho, co dělat, když je detekován trojský kůň ransomware, můžete podniknout kroky k zajištění úspěchu. Po obdržení informací o tom, jak dešifrovat soubory zašifrované virem, se můžete pokusit problém odstranit sami a zabránit jeho opětovnému výskytu.

Virus na flash disku není pro nikoho překvapením. Ale zůstat bez důležitých informací, které jsou uloženy právě na tomto flash disku, je další incident. Moji přátelé naformátovali flash disky více než jednou po virech, aniž by tam našli jediný soubor. A mohou být jednoduše skryti virem... Jak se v našem podnikání říká, je lepší být v bezpečí, než litovat. A tak... Virus na flash disku byl vyléčen nebo smazán. Vstupujeme do kořenového adresáře a ten je prázdný. Co bych měl dělat? Nesetkal jsem se s viry, které by drze vymazávaly informace z úložných zařízení. Takže s největší pravděpodobností jsou vaše soubory skryté. Což znamená, že jim to musíme ukázat.

Zobrazit skryté soubory a složky.
Chcete-li zobrazit skryté soubory. V libovolném okně stiskněte tlačítko Servis

Poté vyberte Vlastnosti složky...

Tab Pohled

A stiskněte OK

Poté se zobrazí všechny skryté soubory a složky. A pokud budete mít štěstí, můžete jednoduše zrušit zaškrtnutí skrytého atributu ve vlastnostech složky nebo dokumentu. Chcete-li to provést, klepněte pravým tlačítkem myši na požadovaný dokument nebo složku a vyberte Vlastnosti. Poté zrušte zaškrtnutí atributu Skrytý.

Může se však stát, že tento atribut souboru nebude možné odstranit nebo, což je ještě horší, soubory a složky na jednotce flash nebudou zobrazeny vůbec. Pak se pojďme uchýlit k příkazovému řádku.

Otevřete příkazový řádek.

Chcete-li to provést, stiskněte kombinaci kláves Win+R. Dostaneme okno se jménem Vykonat.

Do vstupního pole napíšeme cmd

a stiskněte OK

V příkazový řádek pojďme na náš flash disk.

Vstupte X:(kde X je písmeno vašeho flash disku nebo disku) a stiskněte Vstupte
Poté vstupujeme attrib -s -h -r -a /s /d, stiskněte znovu Vstupte

To je vše. Nyní atribut Skrytý bude odstraněn ze všech souborů a složek na vašem flash disku. V souladu s tím se všechna data zobrazí podle očekávání. Pokud tam samozřejmě nejsou.

Nedávno se objevil na internetu nový virus(a mnoho jeho modifikací), který zašifruje soubory ve vašem počítači a za peníze nabídne k objednání program na jejich dešifrování. V tomto případě jsou šifrované soubory přejmenovány a pojmenovány takto

DSC00122.JPG. [e-mail chráněný] _XO101

Vybraná část se skládá z e-mailu autora viru (na který „oběť“ viru zašle požadavek na dešifrování) a identifikátoru modifikace viru. Každá modifikace viru má svůj vlastní šifrovací algoritmus, a proto vyžaduje svůj vlastní dešifrovací nástroj.

Naštěstí vývojáři z Dr.Web vzali tento problém do pozoru a jsou připraveni poskytnout speciální utilita, který dešifruje soubory poškozené virem. Pro větší pohodlí níže zveřejňuji samotný nástroj a stručné pokyny na jeho použití.

(heslo je název mého webu bez „http://“)

Níže jsou uvedeny stručné pokyny.

Stáhněte si nástroj pro obnovu, rozbalte archiv do prázdné složky s jednoduchým názvem (například „ C:\_dec"). Poté otevřete příkazový řádek (Start - Spustit - cmd) a zadejte následující:

Tady " [e-mail chráněný] _XO101“ je předpona, kterou virus přejmenovává vaše soubory, věnujte pozornost tečce na začátku. A c:\mojesoubory\- toto je složka, ve které jsou umístěny vaše kódované soubory. Po spuštění programu se otevře potvrzovací okno

A po kliknutí na tlačítko „Pokračovat“ se spustí automatické ošetření. Po dokončení programu obdržíte zprávu a všechny dekódované soubory budou umístěny vedle zakódovaných ve vámi určené složce (program neodstraní zakódované verze souborů).

Autoři programu nezaručují 100% ošetření všech souborů a já nemám možnost jeho fungování vyzkoušet na velké množství soubory, tak prosím: komu se podařilo vyléčit soubory pomocí této utility (nebo neuspěl) - napište do komentářů.

To je vše! Být zdravý!

P.S. Chcete-li zabránit opětovnému nakažení počítače, zakupte si jej již nyní normální antivirus. Používám Kaspersky Internet Security, ale zdá se, že Dr.Web je také docela dobrý. Věřte mi, jeden a půl tisíce rublů ročně za klid a důvěru v budoucnost je směšná cena.

Zotavení skryté soubory po viru je častým problémem, kterému musí čelit uživatelé PC. V poslední době mnoho lidí trpí malwarem, kvůli kterému jsou ztraceny všechny soubory a složky na pevném disku, včetně osobního obsahu, jako jsou dokumenty, obrázky atd. Malware může také skrýt všechny zástupce v nabídce Start. Virus neodstraní data, ale přidá skrytý atribut všem souborům a složkám ve vašem systému a v důsledku toho to vypadá, jako by všechna data byla smazána z pevný disk.

Pokud potřebujete provést obnovu souboru po viru, můžete pomocí níže uvedených pokynů znovu zobrazit všechna chybějící data a znovu získat kontrolu nad svým počítačem. V případě operační systém stále infikovaný malware, musíte použít antivirový software. Jakmile jsou viry odstraněny, můžete začít podnikat kroky k zobrazení souborů a složek, které zmizely. Chcete-li zobrazit chybějící soubory, musíte změnit nastavení systému Windows.

Jak zobrazit skryté soubory

Pokud máte nainstalovaný operační systém systém Windows XP můžete chybějící data obnovit takto:

• otevřete Můj počítač;
• vyberte Nástroje;
• klikněte na Možnosti složky;
• vyberte kartu Zobrazit;
• zaškrtněte políčko vedle možnosti Zobrazit skryté soubory a složky;
• Klepnutím na tlačítko OK vrátíte chybějící data z pevného disku nebo jednotek flash.

Chcete-li obnovit data, která byla ztracena na Windows Vista, musíte postupovat podle těchto kroků:

• stiskněte tlačítko Start;
• vyberte Počítač;
• klikněte na Nástroje;
• vyberte Možnosti složky;
• použijte tlačítko Zobrazit;
• vyberte možnost Zobrazit skryté soubory a složky;
• klepněte na OK.

Pokud vás zajímá, jak obnovit skryté soubory v systému Windows 7, musíte provést následující kroky:

• stiskněte tlačítko Start;
• vyberte Počítač;
• klikněte na Uspořádat;
• použijte tlačítko Možnosti složky a hledání;
• vyberte Zobrazit;
• aktivujte možnost Zobrazit skryté soubory a složky;
• klepněte na OK.

Po dokončení výše uvedených kroků budete moci zobrazit všechny soubory a složky pro kancelářské programy a další aplikace, ale stále budou obsahovat skrytou sadu atributů. Pokud vymažete nepotřebné parametry souborů na flash disku nebo pevném disku, zobrazí se všechny v normálním režimu.

Jak odstranit skryté atributy

Pokud používáte operační systém Windows XP, musíte provést následující kroky:

1. Klikněte na Start a Spustit.
2. Zadejte cmd a stiskněte Enter.
3. Do příkazového řádku napište CD\ a potvrďte klávesou Enter.
4. Zadejte ATTRIB -H *.* /S /D a stiskněte Enter. Tento příkaz zobrazí soubory, které se staly neviditelnými. Protože důležité systémové soubory mají připojený odpovídající atribut, výše uvedený příkaz je neovlivní. Nastavení systému protáhněte je a skryjte před zvědavými pohledy, aby se neztratil ten nejdůležitější obsah. Dokončení příkazu bude nějakou dobu trvat, takže se nebojte, pokud proces trvá několik minut nebo dokonce půl hodiny. Příkaz se provede jednoduché kroky— po viru odstraní skryté atributy ze všech adresářů na pevném disku a složek na flash disku. Parametr /S znamená, že bude prohledána aktuální složka a všechny její podadresáře. Možnost /D zpracuje všechny ostatní složky.

Pro Windows Vista nebo 7 musíte provést následující:

1. Klikněte na Start a Všechny programy.
2. Vyberte Příslušenství a vyhledejte příkazový řádek.
3. Klepněte pravým tlačítkem myši na možnost Příkazový řádek a vyberte Spustit jako správce.
4. Do příkazového řádku napište CD\ a stiskněte Enter.
5. Příkazový řádek by nyní měl obsahovat Kořenová složka pevný disk (pravděpodobně C:\).
6. Zadejte ATTRIB -H *.* /S /D a stiskněte Enter.
7. Napište Exit a po dokončení postupu stiskněte Enter. Chcete-li restartovat počítač.

Alternativou je použití aplikace Unhide vytvořené Bleeping Computer. Jedná se o program pro obnovu skrytých souborů z flash disků a pevných disků. Na oficiálních stránkách tohoto vývojáře je celý tutoriál o použití unhide.exe k odstranění smazaných dat po invazi viru. S jeho pomocí uživatelé obdrželi nezbytné informace a úspěšně obnovili své počítače. Tuto aplikaci si můžete stáhnout pro skryté složky a soubory na plochu a spusťte ji tak, aby výše uvedené kroky k odstranění atributů z flash disku po viru byly automaticky provedeny systémem.

Opravte problémy se zástupci na hlavním panelu a v nabídce Start

Chcete-li zobrazit zástupce na hlavním panelu a v nabídce Start poté virový útok musíte udělat následující:

1. Otevřete Počítač.
2. Přejděte na Disk C, Uživatelé, Vaše uživatelské jméno, AppData, Místní, Temp, SNTMP nebo SMTMP.
3. Otevřete adresář s číslem 1.
4. Vyberte Upravit, Vybrat vše a Kopírovat.
5. Ponechte adresář otevřený a přejděte znovu do složky Tento počítač.
6. Vyberte Disk C, Data programu, Microsoft, Windows, Nabídka Start.
7. Klepnutím na Upravit a vložit zkopírujte složku Programy a další zástupce do příslušného umístění.
8. Otevřete adresář s číslem 3.
9. Vyberte všechny soubory a zkopírujte je.
10. Přejděte na Disk C, Uživatelé, Uživatelské jméno, AppData, Roaming, Microsoft, internet Explorer, Rychlé spuštění, Připnuto uživatelem, Hlavní panel a vkládání souborů.

Po dokončení výše uvedených kroků by se měli všichni zástupci vrátit na svá místa.