Natura nie lubi próżni. Jeśli powstaje złośliwe oprogramowanie to natychmiast sztab ludzi zaczyna pracować nad czymś, co je zwalczy czy zacznie przeciwdziałać. Nie inaczej jest w przypadku ransomware (programów szyfrujących dysk i żądający pieniędzy za przywrócenie danych). Do kilku popularnych zostały stworzone specjalne narzędzia zwalczające i odszyfrowujące zainfekowane pliki. Poniżej przedstawiamy programy ransomware wraz z mini instrukcjami, jak się ich pozbyć.
Trojan-Ransom.Win32.*
Wszystkie pliki szyfrowane są w określony sposób, który polega na zmianie ich typu rozszerzenia oraz czasem nazwy. Jeśli któryś z szablonów pasuje do waszych plików to znaczy, że padliście jego ofiarą.
- locked-„pierwotna_nazwa”.”cztery_przypadkowe_znaki”
- na końcu nazwy pliku zostanie dodana etykietka: {CRYPTENDBLACKDC}
- „pierwotna_nazwa”@”serwer pocztowy”_.”zmienna_ilość_przypadkowych_znaków”
- „pierwotna_nazwa”.crypt
Aby poradzić sobie z takim przypadkiem należy ściągnąć oprogramowanie RannohDecryptor. Uruchomcie je i postępujcie zgodnie z instrukcjami. Możecie w nim zadecydować czy usunąć od razu zaszyfrowane pliki po ich pomyślnym odszyfrowaniu. Na koniec pracy dostaniecie także raport podsumowujący zakres działań. Jeśli to nie pomogło, spróbujcie także kolejnych dwóch programów: XoristDecryptor oraz RectorDecryptor.
CoinVault, Bitcryptor, CryptXXX
Wszystkie trzy programy szyfrują dysk i zostawiają po sobie dodatkowe rozszerzenie na końcu pliku .crypt. Dodatkowo, okno żądające okupu będzie podpisane nazwą któregoś z wymienionych. Do ich zwalczania stworzono dwa programy, które znajdziecie tutaj. Po ściągnięciu należy je zainstalować (zacznijcie od jednego i jak nie pomoże, ściągnijcie drugi) i uruchomić skanowanie, które powinno odnaleźć zainfekowane pliki i poradzić sobie z nimi.
TeslaCrypt
Program ten był bardzo poważnym zagrożeniem dla wielu użytkowników. Na nasze szczęście jego twórcy zawiesili rozwój programiku. Co więcej, specjalistom z firmy ESET udostępnili uniwersalny klucz do wszystkich instancji oprogramowania. Ci stworzyli narzędzie, które umożliwia odszyfrowanie zainfekowanych danych. Co ciekawe TeslaCrypt atakował głównie pliki danych popularnych gier takich jak: seria Call of Duty , World of Warcraft, Minecraft czy World of Tanks. Celami były zapisy stanu gry, konta graczy albo mody. Darmowy program do pozbycia się TeslaCrypt znajdziecie tutaj.
Locker v.*
To kolejny z ransomware, którego twórcy zawiesili działalność i udostępnili informacje niezbędne do stworzenia dekryptora. Zadania tego podjął się Nathan Scott, deweloper odpowiedzialny za usługę CryptoMonitor. Jak poznać, że to właśnie któraś z wersji Lockera was zaatakowała? Pojawi się okno, w którym będzie obrazek kłódki z logiem BitCoinów na niej. Wiąże się to z tym, że to właśnie w tej walucie należy dokonać płatności okupu. Program do ściągnięcia jest tutaj. Nie jest on doskonały. Na przykład jeśli zacznie działać na niezainfekowanych plikach, jest duża szansa na to, że je uszkodzi. Dlatego skopiujcie zainfekowane pliki do osobnego folderu przed całą operacją. Po zakończonej pracy może on automatycznie usunąć zaszyfrowane pliki, ale jako, że program wciąż jest w wersji rozwojowej, lepiej nie aktywować tej opcji. Możecie także otrzymać raport o przeprowadzonych działaniach.
Jeśli przydarzyła się wam taka sytuacja z zaszyfrowaniem plików i późniejszym żądaniem okupu za nie, a żadna z powyższych metod nie pomaga, opiszcie swój problem w komentarzu. Możliwe, że będziemy w stanie pomóc wam znaleźć rozwiązanie.
Z doświadczenia wiemy, że ramsonware to bardzo ciężki temat. Trudno się go pozbyć, a naprawdę skutecznie jest w stanie uprzykrzyć życie. Znasz może jeszcze inne odmiany tego malware? Daj znać w komentarzu!
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Internet Security Unlimited to idealny antywirus dla androida. Jeżeli wysyłasz maile, korzystasz z banku z poziomu smartfona to ten program jest właśnie dla Ciebie.
Pamiętam, że jakiś czas temu dość powszechny był podobny wirus, który blokował komputer pod pozorem zablokowania go przez policję. Też była to próba wyłudzenia pieniędzy, bo należało gdzieś tam jakąś kwotę wpłacić. Ale był on na szczęście chyba dość łatwy do usunięcia. Coś wiadomo, czy zagrożenie tym wirusem, trojanem już minęło, czy nadal można się nim przez nieuwagę 'zarazić’?
Z tego co mi wiadomo ten konkretny bazował na luce w jednej z poprawek w systemie Windows. Wystarczyło ją odinstalować. Obecnie Windowsy same się aktualizują i Microsoft nie dopuszcza by długo takie rzeczy się przydarzały. Osobiście nie mam informacji aby ten konkretny ransomware był w użyciu.
Pamiętam, że jakiś czas temu dość powszechny był podobny wirus, który blokował komputer pod pozorem zablokowania go przez policję. Też była to próba wyłudzenia pieniędzy, bo należało gdzieś tam jakąś kwotę wpłacić. Ale był on na szczęście chyba dość łatwy do usunięcia. Coś wiadomo, czy zagrożenie tym wirusem, trojanem już minęło, czy nadal można się nim przez nieuwagę 'zarazić’?
Z tego co mi wiadomo ten konkretny bazował na luce w jednej z poprawek w systemie Windows. Wystarczyło ją odinstalować. Obecnie Windowsy same się aktualizują i Microsoft nie dopuszcza by długo takie rzeczy się przydarzały. Osobiście nie mam informacji aby ten konkretny ransomware był w użyciu.
W moim przypadku zaatakował filecryptor sage mam zaszyfrowane pliki w postaci pierwotna_nazwa.rozszerzenie.sage. Macie pomysł co z tym zrobić?
Mi przydarzyło się tydzień temu do plików dodano rozszerzenie kasp może ktoś z tym pomóc?
Znalazłem taki artykuł. Co ważne, ten wirus instaluje również oprogramowanie do kradzieży wprowadzanych danych logowania. Także należy zwrócić na to uwagę.
https://howtofix.guide/kasp-virus-file/