Musta sulgede lunavara

Black Feather Ransomware eemaldamine - viiruse eemaldamise sammud (värskendatud)



Black Feather lunavara eemaldamise juhised

Mis on must sulg?

Black Feather on lunavara, mis väidab end olevat Adobe PDF-dokument. Kui fail on avatud, esitatakse ohvritele veateade, mis kinnitab, et fail on rikutud ja seda ei saa avada. Tegelikult krüpteerib Black Feather faile kasutades AES-i krüptograafia . Krüptimise ajal lisab Black Feather .mustsulg 'iga krüpteeritud faili nime laiendus. Näiteks krüptitud proov.jpg 'nimetatakse ümber' sample.jpg.blackfeather '. Pärast edukat krüptimist kuvab Black Feather hüpikakna ja loob tekstifaili (' BLACK_FEATHER.txt ', mis asub töölaual), mis sisaldab lunaraha nõudmise teadet. Selle lunavara uuendatud variant .krüptolukk krüptitud failide laiendus ja salvestab lunaraha nõudva kirja CRYPTOLOCKER.txt faili.

Lunaraha nõudmise teade teavitab ohvreid krüptimisest ja ütleb, et faile saab taastada ainult dekrüpteerimisvõtit kasutades. Selle võtme saamiseks peavad ohvrid maksma lunaraha 0,3 Bitcoini (praegu võrdne ~ 180 dollariga). Sõnum annab ka aadressi, kuhu tuleb saata Bitcoins, kuid uuringud näitavad, et dekrüpteerimisvõtit pole olemas (ei ohvri arvutis ega üheski kaugserveris). Seetõttu soovitame tungivalt kõiki maksetaotlusi eirata - teid lihtsalt petetakse. Tegelikult eiravad küberkurjategijad ohvreid hoolimata tehtud maksetest. Ärge kunagi proovige nende inimestega ühendust võtta ega lunaraha maksta. Sageli on lunavara tüüpi viirustega krüpteeritud failide taastamine võimatu. Seetõttu on ainus lahendus failide / süsteemi taastamine varukoopiast. Sel juhul võiksite siiski proovida peidetud pisarate dekrüpteerijat ( Lae alla link ) arendatud Michael Gillespie . On tõenäoline, et see tööriist suudab teie faile taastada.

Ekraanipilt sõnumist, mis julgustab kasutajaid oma rikutud andmete dekrüpteerimiseks ühendust võtma Black Featheri lunavara arendajatega:

Black Feather dekrüpteerib juhised

Seal on kümneid lunavara tüüpi viirusi, millel on sarnasusi Black Featheriga Keraamik3 , FenixLocker , Krüpt0 , Aatom ja Nutma - need on vaid mõned näited paljudest. Kõigil on identne käitumine - nad krüpteerivad ohvritoimikud ja esitavad lunaraha. Lunavara tüüpi viirused kasutavad enamasti asümmeetrilist krüptograafiat ja seetõttu on ainus oluline erinevus lunaraha suurus. Uuringud näitavad ka, et sellist pahavara nagu Black Feather levitatakse sageli rämpsposti (pahatahtlikud manused), P2P (peer-to-peer) võrkude (näiteks Torrent), troojalaste ja võltsitud tarkvarauuenduste tööriistade abil. Olge ettevaatlik tundmatutelt / kahtlastelt e-posti aadressidelt saadud failide avamisel ja failide allalaadimisel kolmandatest osapooltest. Lisaks kasutage seaduslikku viirusetõrje / nuhkvaratõrje paketti. Installitud tarkvara ajakohasena hoidmine on samuti väga oluline, kuna küberkurjategijad saavad süsteemi sissetungimiseks ära kasutada tarkvara vigu. Arvutiohutuse võti on ettevaatus.

Pärast edukat krüptimist kuvatavas hüpikaknas kuvatav tekst:

Tere tulemast Black Featheri.

Täname meie tarkvara allalaadimise eest.
Kõik teie failid on krüptitud turvalise 256-bitise HASH-iga.
See tähendab, et te ei pääse oma failidele enam juurde ilma dekrüpteerimisvõtmeta.

Saate oma failid dekrüpteerida, makstes meile 0,3 BTC, see eemaldab krüptimise
ja annab teile uuesti täieliku juurdepääsu oma failidele.

Black Featheri lunavara tekstifaili ekraanipilt BLACK_FEATHER.txt '):

Black Featheri lunavara tekstifail

Lunaraha nõudmise teade (esitatud BLACK_FEATHER.txt 'fail):

See on sissemakse aadressi varukoopia.
Failide dekrüpteerimiseks saatke 0,3 BTC
Kinnitage programmis makse.
1C25YQEAMFJAj2TaUkxGhgvwicKzWhXDQy

miks ma ei saa Microsoft Edge'i avada?

Värskendage 1. veebruari 2017 - Avasti turvauurijad on välja andnud dekrüpteri, mis töötab enamiku HiddenTear lunavara variantide puhul. Saate selle alla laadida SIIN .

hiddentear lunavara dekrüpteerija avast

Ekraanipilt failidest, mille on krüptinud Black Featheri lunavara (' .mustsulg laiendus):

Black Featheri lunavara krüptib ohvri

Black Feather lunavara eemaldamine:

Kohene automaatne pahavara eemaldamine: Ohude käsitsi eemaldamine võib olla pikk ja keeruline protsess, mis nõuab arenenud arvutioskusi. Malwarebytes on professionaalne automaatne pahavara eemaldamise tööriist, mida soovitatakse pahavarast lahti saada. Laadige see alla, klõpsates allolevat nuppu:
▼ LAADI Malwarebytes Sellel veebisaidil loetletud tarkvara allalaadimisega nõustute meie tingimustega Privaatsuspoliitika ja Kasutustingimused . Täisfunktsionaalse toote kasutamiseks peate ostma Malwarebytes'i litsentsi. Saadaval on 14-päevane tasuta prooviversioon.

Kiire menüü:

Lunavarast teatamine ametiasutustele:

Kui olete lunavara rünnaku ohver, soovitame sellest juhtumist ametivõimudele teatada. Korrakaitseorganitele teabe edastamine aitab teil jälgida küberkuritegevust ja aidata ründajate kohtu alla andmisel. Siin on loetelu asutustest, kus peaksite teatama lunavara rünnakust. Kohalike küberturvalisuskeskuste täieliku loendi ja teabe selle kohta, miks peaksite teatama lunavara rünnakutest, leiate lugege seda artiklit .

Nimekiri kohalikest ametiasutustest, kus tuleks teatada lunavara rünnakutest (valige üks sõltuvalt teie elukoha aadressist):

Nakatunud seadme eraldamine:

Mõned lunavara tüüpi nakkused on mõeldud väliste salvestusseadmete failide krüptimiseks, nakatamiseks ja isegi kogu kohalikus võrgus levimiseks. Sel põhjusel on nakatunud seade (arvuti) võimalikult kiiresti isoleerida.

Samm 1: Katkestage Interneti-ühendus.

Lihtsaim viis arvuti Internetist lahti ühendamiseks on Etherneti kaabli eemaldamine emaplaadist, kuid mõned seadmed on ühendatud traadita võrgu kaudu ja mõnede kasutajate (eriti nende jaoks, kes pole eriti tehnikatehased) võib kaablite lahtiühendamine tunduda tülikas. Seetõttu saate süsteemi juhtpaneeli kaudu ka käsitsi lahti ühendada:

Navigeerige jaotisse Kontrollpaneel ', klõpsake ekraani paremas ülanurgas otsinguribal, sisestage' Võrgu-ja ühiskasutuskeskus 'ja valige otsingutulemus: Lunavara tüüpi nakkuse tuvastamine (1. samm)

Klõpsake nuppu ' Adapteri seadete muutmine 'akna vasakus ülanurgas: Lunavara tüüpi nakkuse tuvastamine (2. samm)

Paremklõpsake igal ühenduse punktil ja valige ' Keela '. Keelamise järel ei ole süsteem enam Internetiga ühendatud. Ühenduspunktide uuesti lubamiseks lihtsalt paremklõpsake uuesti ja valige ' Luba '. Lunavara tüüpi nakkuse tuvastamine (3. samm)

2. samm: Ühendage kõik mäluseadmed vooluvõrgust.

Nagu eespool mainitud, võib lunavara krüpteerida andmed ja tungida sisse kõigi arvutiga ühendatud mäluseadmetesse. Sel põhjusel tuleks kõik välised mäluseadmed (välkmäluseadmed, kaasaskantavad kõvakettad jms) viivitamatult lahti ühendada, kuid andmete rikkumise vältimiseks soovitame tungivalt kõik seadmed enne ühenduse katkestamist lahti võtta:

Navigeeri asukohta Minu arvuti ', paremklõpsake igal ühendatud seadmel ja valige' Välja visata ': Lunavara tüüpi nakkuse tuvastamine (4. samm)

3. samm: Pilvemälu kontodelt väljalogimine.

Mõni lunavaratüüp võib olla võimeline kaaperdama tarkvara, mis haldab Pilv '. Seetõttu võivad andmed olla rikutud / krüptitud. Sel põhjusel peaksite välja logima kõikidest brauserites ja muust seotud tarkvaras olevatest pilvemälu kontodest. Samuti peaksite kaaluma pilvehaldustarkvara ajutist desinstallimist, kuni nakkus on täielikult eemaldatud.

Tuvastage lunavara nakkus:

Infektsiooni korralikuks käsitlemiseks tuleb see kõigepealt tuvastada. Mõni lunavara nakkus kasutab sissejuhatuseks lunaraha nõudmise teateid (vt allpool WALDO lunavara tekstifaili).

Lunavara tüüpi nakkuse tuvastamine (5. samm)

Seda juhtub aga harva. Enamikul juhtudel edastavad lunavara nakkused otsesemaid teateid, märkides lihtsalt, et andmed on krüptitud ja ohvrid peavad maksma mingisuguse lunaraha. Pange tähele, et lunavara tüüpi nakkused tekitavad tavaliselt erineva failinimega sõnumeid (näiteks ' _readme.txt ',' LUGEGE-ME.txt ',' DECRYPTION_INSTRUCTIONS.txt ',' DECRYPT_FILES.html ', jne.). Seetõttu võib lunaraha sõnumi nime kasutamine tunduda hea viis nakkuse tuvastamiseks. Probleem on selles, et enamik neist nimedest on üldnimetused ja mõned nakkused kasutavad samu nimesid, kuigi edastatud sõnumid on erinevad ja nakkused ise pole omavahel seotud. Seetõttu võib üksi sõnumi failinime kasutamine olla ebaefektiivne ja viia isegi andmete püsiva kadumiseni (näiteks proovides andmeid dekrüpteerida erinevate lunavara nakkuste jaoks mõeldud tööriistade abil, võivad kasutajad tõenäoliselt faile jäädavalt kahjustada ja dekrüpteerimine pole enam võimalik isegi õige tööriistaga).

Teine võimalus lunavara nakatumise tuvastamiseks on faililaiendi kontrollimine, mis on lisatud igale krüptitud failile. Lunavara nakkusi nimetatakse sageli nende lisatud laienduste järgi (vt allpool Qewe lunavara poolt krüptitud faile).

Lunavara dekrüpteerimistööriistade otsimine nomoreransom.org veebisaidilt

See meetod on efektiivne ainult siis, kui lisatud laiend on ainulaadne - paljud lunavara nakkused lisavad üldise laiendi (näiteks ' .krüptitud ',' .enc ',' .krüptitud ',' .lukustatud ', jne.). Nendel juhtudel muutub lunavara tuvastamine selle lisatud laienduse abil võimatuks.

Üks lihtsamaid ja kiiremaid viise lunavara nakkuse tuvastamiseks on ID Ransomware veebisait . See teenus toetab enamikku olemasolevaid lunavara nakatumisi. Ohvrid laadivad lihtsalt üles lunastusteate ja / või ühe krüpteeritud faili (soovitame teil mõlemad võimalusel üles laadida).

Recuva andmete taastamise tööriista viisard

Lunavara tuvastatakse mõne sekundi jooksul ja teile edastatakse mitmesugused üksikasjad, näiteks selle pahavara perekonna nimi, kuhu nakkus kuulub, kas see on dešifreeritav jne.

Näide 1 (Qewe [Stop / Djvu] lunavara):

Recuva andmete taastamise tööriista skannimise aeg

Näide 2 (.iso [Phobos] lunavara):

Recuva andmete taastamise tööriist andmete taastamiseks

Kui juhtub, et teie andmed on krüpteeritud lunavara abil, mida ID lunavara ei toeta, võite alati proovida Internetist teatud märksõnade abil otsida (näiteks lunaraha pealkiri, faililaiend, edastatud kontaktimeilid, krüpto-rahakoti aadressid jne). ).

Lunavara dekrüpteerimistööriistade otsimine:

Enamiku lunavara tüüpi nakkuste kasutatavad krüpteerimisalgoritmid on äärmiselt keerukad ja kui krüpteerimine toimub nõuetekohaselt, on andmete taastamiseks võimeline ainult arendaja. Seda seetõttu, et dekrüpteerimine nõuab spetsiifilist võtit, mis genereeritakse krüptimise käigus. Andmete taastamine ilma võtmeta on võimatu. Enamasti salvestavad küberkurjategijad võtmeid kaugserverisse, selle asemel et nakatunud masinat hostina kasutada. Dharma (CrySis), Phobos ja teised kõrgekvaliteediliste lunavara nakatumisega perekonnad on praktiliselt laitmatud ja seega on krüpteeritud andmete taastamine ilma arendajate osaluseta lihtsalt võimatu. Vaatamata sellele on kümneid lunavara tüüpi nakkusi, mis on halvasti arenenud ja sisaldavad mitmeid vigu (näiteks identsete krüptimis- / dekrüpteerimisvõtmete kasutamine iga ohvri jaoks, kohalikult salvestatud võtmed jne). Seetõttu kontrollige alati, kas teie arvutisse tunginud lunavara jaoks on olemas dekrüptimisriistad.

Õige dešifreerimisvahendi leidmine Internetist võib olla väga pettumusttekitav. Sel põhjusel soovitame teil kasutada Enam ei ole lunaraha projekti ja see on koht lunavara nakatumise tuvastamine on kasulik. No More Ransom Projecti veebisait sisaldab ' Dekrüpteerimise tööriistad 'jaotis otsinguribaga. Sisestage tuvastatud lunavara nimi ja loendis on kõik saadaolevad dekrüpteerijad (kui neid on).

Klõpsake tegumiribal ikooni OneDrive

Failide taastamine andmete taastamise tööriistadega:

Sõltuvalt olukorrast (lunavara nakatumise kvaliteet, kasutatud krüpteerimisalgoritmi tüüp jne) võib andmete taastamine olla võimalik teatud kolmandate osapoolte tööriistadega. Seetõttu soovitame teil kasutada Recuva tööriist, mille on välja töötanud CCleaner . See tööriist toetab üle tuhande andmetüübi (graafika, video, heli, dokumendid jne) ja on väga intuitiivne (andmete taastamiseks on vaja vähe teadmisi). Lisaks on taastefunktsioon täiesti tasuta.

Samm 1: Tehke skannimine.

Käivitage rakendus Recuva ja järgige viisardit. Teil palutakse valida mitu akent, mis võimaldavad teil valida, milliseid failitüüpe otsida, milliseid asukohti tuleks skannida jne. Peate vaid valima soovitud suvandid ja alustama skannimist. Soovitame teil lubada Sügav skaneerimine 'enne käivitamist, vastasel juhul piiratakse rakenduse skannimisvõimalusi.

Valige Abi ja sätted ja klõpsake nuppu Seaded

Oodake, kuni Recuva skannimise lõpule viib. Skannimise kestus sõltub skannitavate failide mahust (nii koguses kui ka suuruses) (näiteks võib mitusada gigabaiti skannimiseks kuluda üle tunni). Seetõttu olge skaneerimisprotsessi ajal kannatlik. Samuti ei soovitata olemasolevaid faile muuta ega kustutada, kuna see võib skannimist häirida. Kui lisate skannimise ajal täiendavaid andmeid (näiteks failide / sisu allalaadimine), pikendab see protsessi:

Valige vahekaart Varundamine ja klõpsake nuppu Halda varundust

2. samm: Andmete taastamine.

Kui protsess on lõpule jõudnud, valige kaustad / failid, mida soovite taastada, ja klõpsake lihtsalt käsku „Taasta”. Pange tähele, et andmete taastamiseks on vaja mäluruumil vaba ruumi:

Valige varundamiseks kaustad ja klõpsake nuppu Alusta varundamist

Andmete varukoopiate loomine:

Õige failihaldus ja varukoopiate loomine on andmete turvalisuse tagamiseks hädavajalik. Seetõttu olge alati väga ettevaatlik ja mõelge ette.

Partitsioonide haldamine: Soovitame salvestada andmed mitmesse sektsiooni ja vältida oluliste failide salvestamist kogu operatsioonisüsteemi sisaldavas sektsioonis. Kui satute olukorda, kus te ei saa süsteemi käivitada ja olete sunnitud vormindama ketta, millele opsüsteem on installitud (enamikul juhtudel peidavad seda pahavara nakkused), kaotate kõik sellesse draivi salvestatud andmed. See on mitme sektsiooni eelis: kui kogu sektsioon on määratud ühele sektsioonile, olete sunnitud kõik kustutama, kuid mitme sektsiooni loomine ja andmete nõuetekohane eraldamine võimaldab teil selliseid probleeme vältida. Ühte sektsiooni saate hõlpsasti vormindada, mõjutamata teisi - seepärast puhastatakse üks ja teised jäävad puutumata ning teie andmed salvestatakse. Partitsioonide haldamine on üsna lihtne ja leiate kogu vajaliku teabe Microsofti dokumentatsiooniveeb .

Andmete varundamine: Üks usaldusväärsemaid varundusmeetodeid on kasutada välist mäluseadet ja hoida seda vooluvõrgust lahti. Kopeerige oma andmed välisele kõvakettale, välkmäluseadmele, SSD-draivile, kõvakettale või mõnele muule salvestusseadmele, eemaldage see pistikupesast ja hoidke neid kuivas kohas, päikese ja äärmuslike temperatuuride eest. See meetod on siiski üsna ebaefektiivne, kuna andmete varundamist ja värskendamist tuleb teha regulaarselt. Võite kasutada ka pilveteenust või kaugserverit. Siin on vaja Interneti-ühendust ja alati on turvarikkumise võimalus, kuigi see on tõesti haruldane juhtum.

Soovitame kasutada Microsofti OneDrive failide varundamiseks. OneDrive võimaldab teil salvestada oma isiklikke faile ja andmeid pilves, sünkroonida faile arvutites ja mobiilseadmetes, võimaldades teil oma failidele juurde pääseda ja neid muuta kõigis Windowsi seadmetes. OneDrive võimaldab teil faile salvestada, jagada ja eelvaadata, pääseda juurde allalaadimisajaloole, faile teisaldada, kustutada ja ümber nimetada, samuti luua uusi kaustu ja palju muud.

Tähtsamatest kaustadest ja failidest saate oma arvutis varundada (kaustad Töölaud, Dokumendid ja Pildid). Mõned OneDrive'i tähelepanuväärsemad funktsioonid hõlmavad failide versiooni, mis hoiab failide vanemaid versioone kuni 30 päeva. OneDrive sisaldab taaskasutusalust, kuhu kõik teie kustutatud failid on piiratud aja jooksul salvestatud. Kustutatud faile ei arvestata kasutaja jaotuse osana.

Teenus on loodud HTML5-tehnoloogiate abil ja võimaldab teil üles laadida kuni 300 MB faile veebibrauserisse lohistamise kaudu või kuni 10 GB suuruse faili OneDrive'i töölauarakendus . OneDrive'i abil saate alla laadida terveid kaustu ühe ZIP-failina, milles on kuni 10 000 faili, kuigi see ei tohi ühe allalaadimise kohta ületada 15 GB.

OneDrive'iga on karbis 5 GB tasuta salvestusruumi, lisaks on saadaval 100 GB, 1 TB ja 6 TB salvestusmahud liitumispõhise tasu eest. Saate ühe nendest salvestusmahupakettidest, ostes eraldi täiendava salvestusruumi või Office 365 tellimusega.

Andmete varukoopia loomine:

Varundamisprotsess on kõigi failitüüpide ja kaustade jaoks sama. Microsoft OneDrive'i abil saate oma faile varundada järgmiselt

Samm 1: Valige failid / kaustad, mida soovite varundada.

Valige fail käsitsi ja kopeerige see

Klõpsake nuppu OneDrive'i pilveikoon avamiseks OneDrive'i menüü . Selles menüüs saate oma failide varundamise seadeid kohandada.

Varunduse loomiseks kleepige kopeeritud fail OneDrive

Klõpsake nuppu Abi ja seaded ja seejärel valige Seaded rippmenüüst.

Faili olekud kaustas OneDrive

Mine Vahekaart Varundamine ja klõpsake nuppu Halda varundamist .

Klõpsake nuppu Spikker ja sätted ning klõpsake nuppu Kuva võrgus

Selles menüüs saate valida varukoopia Töölaud ja kõik sellel olevad failid ja Dokumendid ja Pildid kaustad koos kõigi failidega. Klõpsake nuppu Alusta varundamist .

Nüüd, kui lisate kausta Töölaud ning Dokumendid ja Pildid faili või kausta, varundatakse need automaatselt OneDrive'i.

Kaustade ja failide lisamiseks, mitte ülaltoodud kohtades, peate need käsitsi lisama.

Klõpsake hammasratta Seaded ja klõpsake nuppu Valikud

Avage File Explorer ja navigeerige selle kausta / faili asukohta, mille soovite varundada. Valige üksus, paremklõpsake seda ja klõpsake nuppu Kopeeri .

taastage oma-onedrive

Siis, navigeerige OneDrive'i, paremklõpsake suvalises aknas ja klõpsake nuppu Kleepige . Teise võimalusena saate faili lihtsalt OneDrive'i lohistada. OneDrive loob kaustast / failist automaatselt varukoopia.

Kõik OneDrive kausta lisatud failid varundatakse pilves automaatselt. Roheline ring koos linnukesega näitab, et fail on saadaval nii kohapeal kui ka OneDrive'is ning failiversioon on mõlemal sama. Sinine pilveikoon näitab, et faili pole sünkroonitud ja see on saadaval ainult OneDrive'is. Sünkroonimisikoon näitab, et faili praegu sünkroonitakse.

Ainult OneDrive'i võrgus asuvatele failidele juurde pääsemiseks minge saidile Abi ja seaded rippmenüü ja valige Vaadake võrgus .

2. samm: Taastage rikutud failid.

OneDrive tagab failide sünkroonimise, nii et arvutis oleva faili versioon on pilves sama versioon. Kui aga lunavara on teie failid krüptinud, saate seda ära kasutada OneDrive'i versioonide ajalugu funktsioon, mis võimaldab teil seda teha enne krüpteerimist failiversioonid taastada .

Microsoft 365-l on lunavara tuvastamise funktsioon, mis teavitab teid, kui teie OneDrive-faile on rünnatud, ja juhendab teid failide taastamise protsessis. Tuleb siiski märkida, et kui teil pole tasulist Microsoft 365 tellimust, saate tasuta ainult ühe tuvastamise ja failide taastamise.

Kui teie OneDrive'i failid kustutatakse, rikutakse või nakatatakse pahavaras, saate taastada kogu oma OneDrive'i eelmise oleku. Kogu OneDrive'i taastamiseks toimige järgmiselt.

1. Kui olete sisse logitud isikliku kontoga, klõpsake nuppu Seadete hammasratas lehe ülaosas. Seejärel klõpsake nuppu Valikud ja valige Taastage oma OneDrive .

Kui olete sisse logitud töökoha või kooli kontoga, klõpsake nuppu Seadete hammasratas lehe ülaosas. Seejärel klõpsake nuppu Taastage oma OneDrive .

2. Lehel OneDrive'i taastamine valige rippmenüüst kuupäev . Pange tähele, et kui taastate faile pärast lunavara automaatset tuvastamist, valitakse teile taastekuupäev.

3. Pärast kõigi failide taastamise suvandite konfigureerimist klõpsake nuppu Taastama kõigi valitud tegevuste tagasivõtmiseks.

Parim viis vältida lunavara nakatumist on korrapäraste ajakohaste varukoopiate säilitamine.