Как да възстановим файлове, криптирани от Seto ransomware?

Въпрос

Проблем: Как да възстановим файлове, криптирани от Seto ransomware?

Здравейте, компютърът ми се зарази с ransomware и всичките ми файлове са добавени с разширение .seto – не мога да отворя нито един от тях! Моите снимки, видеоклипове и работни документи са заключени... Какъв е този ransomware и има ли начин да извлека данните си? Моля, помогнете, тъй като съм отчаян.

Решен отговор

Сето вирус принадлежи към едно от най-активните семейства рансъмуер – Djvu/СПРИ СЕ. Щамът на зловреден софтуер беше забелязан за първи път в края на декември 2017 г. и хакерите зад него пуснаха приблизително 150 варианта оттогава, като Seto е един от най-новите, забелязан през август 2019 г.

Въпреки това, различни версии на Djvu ransomware могат да заразят потребителите, независимо от датата им на пускане – авторите на злонамерен софтуер използват различни методи, за да доставят злонамерения полезен товар на хост машините. Например, те използват ботнети, за да доставят спам имейли със злонамерени прикачени файлове, използват софтуерни уязвимости, за да заразят потребителите автоматично, след като попаднат на предварително определен сайт, качват фалшиви торенти, маскирани като видео или програмни файлове, и т.н.

Въпреки това, по-старите версии са склонни да заразяват потребителите по-малко, тъй като пробите като Seto ransomware са по-напреднали – с течение на времето бяха направени множество промени в зловредния софтуер, тъй като изследователите по сигурността успяха да предоставят на потребителите безплатно инструменти като STPDDecrypter за възстановяване на файлове. За съжаление, сега е невъзможно да се възстановят файлове, заключени от Seto ransomware, с помощта на този инструмент.

Веднага щом Seto ransomware влезе в хост компютъра, той извършва различни промени, като модификации на системния регистър на Windows, опции за интернет връзка, системни сертификати, разрешения, ядро^[1] функции и др. Освен това Seto ransomware премахва и Shadow Volume Copies – автоматично архивиране, създадено от операционната система Windows. Тази промяна по-специално прави възстановяването на данни толкова трудно.

Възстановяване на файлове, криптирани от Seto ransomware

След като процесът на криптиране се задейства, той обикновено завършва само за няколко секунди – така че няма начин да го спрете навреме. Шифроването обаче не е същото като повреда на файлове, тъй като с подходящи инструменти процесът може да бъде върнат.

Има два вида криптиране, които се използват в криптографията – симетрично и асиметрично.^[2] Симетричното криптиране използва таен ключ, който е известен само на хакерите, докато асиметричното използва публичен ключ (познат на всички) за заключване на файлове и изисква различен ключ, за да го отключите. Известно е, че Seto ransomware използва метод за симетрично (AES) криптиране, което означава, че без придобиване на секретния ключ шансовете за възстановяване са сравнително малки.

Хакерите искат $980 (или $490 с отстъпка) за инструмента за декриптиране, който ще върне криптирането и ще позволи на жертвите да използват отново файловете. Плащането на откупа обаче е рискована маневра, тъй като мошениците може просто никога да не изпратят декриптора, след като са получили пари. Освен това действието само доказва на участниците в заплахата, че незаконният бизнес работи по предназначение и ще ги насърчи да заразят повече хора със Seto или други варианти на ransomware.

Затова трябва да помислите два пъти, преди да платите откупа, въпреки че зависи от вас. Някои потребители може да са отчаяни и да го използват като последна мярка. Въпреки това, по-скоро трябва да използвате алтернативни методи, които биха могли да помогнат при възстановяване на файлове без Seto ransomware decryptor от киберпрестъпници.

Премахнете Seto ransomware, преди да продължите с възстановяването на файлове

Докато Seto ransomware инфекция присъства на вашия компютър, възстановяването на файлове няма да донесе никаква полза, тъй като те ще бъдат криптирани веднага отново. Ето защо е изключително важно да се отървете от зловреден софтуер, преди да извлечете данните си.

Seto virus извършва различни системни промени, за да може да се стартира при всяко стартиране на системата. Известно е също, че вариантите на Djvu ransomware доставят вторични полезни товари в миналото (като AZORult^[3] банков троянски кон), както и да модифицира хост файла на Windows, за да попречи на потребителите да посещават сайтове, свързани със сигурността.

Най-добрият начин да изтриете вируса е като влезете в безопасен режим с работа в мрежа и след това извършите пълно сканиране на системата с помощта на анти-зловреден софтуер ReimageMac пералня X9, въпреки че всеки друг реномиран инструмент трябва да може да открие^[4] и премахване на паразита. За да влезете в безопасен режим, продължете със следните стъпки:

• Щракнете с десния бутон върху Започнете бутон и изберете Настройки
• Отидете на Актуализация и сигурност и щракнете върху Възстановяване
• Намерете Разширено стартиране раздел и щракнете върху Рестартирай сега (обърнете внимание, че това ще незабавно рестартирайте компютъра си) За да премахнете безопасно Seto ransomware и да започнете възстановяване на файлове, влезте в безопасен режим
• След като компютърът ви се рестартира, ще ви бъде представено Избери опция екран
• Отидете на Отстраняване на неизправности > Разширени опции > Настройки за стартиране и щракнете Рестартирам
• След като компютърът се рестартира, натиснете F5 или 5 за да влезе Безопасен режим в мрежата

Метод 1. Използвайте Data Recovery Pro, за да възстановите файлове, криптирани от Seto ransomware

Софтуерът за възстановяване на данни не работи по същия начин, както инструментът за декриптиране на Seto ransomware. Вместо да дешифрира съществуващите файлове, той се опитва да извлече работните копия от твърдия диск (или SSD). Въпреки това, ако пространството, използвано за съхраняване на тези файлове, е било презаписано с друга информация, възстановяването няма да бъде успешно. Следователно, дали Data Recovery Pro ще ви помогне или не, зависи от това колко данни са били записани на вашия твърд диск след редуване на файлове.

• Изтегли Професионално възстановяване на данни (директна връзка) инсталатора на приложение и щракнете двукратно върху него, за да стартирате инсталационния процес
• Следвайте инструкциите на екрана, за да инсталирате програмата
• След като инсталацията приключи, щракнете двукратно върху прекия път на Data Recovery Pro на работния плот, за да го отворите
• Изберете Опция за пълно сканиране и изберете Започни сканиране (алтернативно можете да търсите отделни файлове въз основа на ключови думи)
• След като сканирането приключи, изберете кои файлове искате да извлечете и щракнете върху Възстановете се бутон Използвайте Data Recovery Pro

Метод 2. ShadowExplorer може да успее да възстанови всички данни, криптирани от Seto ransomware в някои случаи

Както споменахме по-рано, Seto ransomware е програмиран да изтрива файловете, съхранявани от автоматичната система за архивиране на Windows – Shadow Volume Copies. Въпреки това, в някои случаи злонамереният софтуер може да не успее да елиминира тези резервни копия - тогава ShaodwExplorer е чудесен вариант за възстановяване на всичките ви данни:

• Изтегли ShadowExplorer (директна връзка) и го инсталирайте, като използвате инструкциите на екрана
• След като приключите, отворете приложението и изберете устройството, от което искате да възстановите файлове
• Изберете папката, щракнете с десния бутон върху нея и изберете Експортиране ShadowExplorer може да ви помогне, ако Seto не успее да изтрие копия на Shadow Volume

Метод 3. Изпробвайте функцията за предишни версии на Windows

Тези потребители, които са имали активирано възстановяване на системата, преди Seto ransomware атакува компютрите им, имат още един шанс да възстановят изгубените файлове. Имайте предвид обаче, че тази опция изисква да възстановите всеки от файловете поотделно, така че процесът може да отнеме известно време.

• Намерете файла, който искате да възстановите
• Щракнете с десния бутон върху него и изберете Възстановете предишни версии Ако имате активирано възстановяване на системата, трябва да можете да възстановявате файлове, криптирани от Seto ransomware, един по един
• Кликнете върху предишната версия и изберете Възстанови

Трябва да избягвате да плащате откуп за инструмента за декриптиране на ransomware Seto

Струва си да се каже, че изследователите по сигурността непрекъснато работят върху инструменти за възстановяване, които биха могли да помогнат на потребителите да избегнат плащанията на киберпрестъпниците. STOPDecrypter беше един от инструментите, които понякога можеха да помогнат на СПРАНЕ на жертвите на ransomware (разработчикът му сега работи върху нов версия), а по-старите варианти на ransomware като DATASTOP или INFOWAIT бяха декриптирани благодарение на фирмата за киберсигурност Dr. Web изследователи. Следователно има шанс Seto ransomware да бъде напълно декриптируем в бъдеще – така че не забравяйте да подготвите резервните копия.

В някои случаи плащането на хакери може да е единствената възможност. Моля, имайте предвид обаче, че може да загубите парите си, така че направете това на свой собствен риск.

Възстановява автоматично файлове и други системни компоненти

За да възстановите вашите файлове и други системни компоненти, можете да използвате безплатни ръководства от експертите на ugetfix.com. Въпреки това, ако смятате, че нямате достатъчно опит, за да приложите сами целия процес на възстановяване, препоръчваме да използвате решенията за възстановяване, изброени по-долу. Тествахме всяка от тези програми и тяхната ефективност за вас, така че всичко, което трябва да направите, е да оставите тези инструменти да свършат цялата работа.

Reimage - патентована специализирана програма за ремонт на Windows. Той ще диагностицира вашия повреден компютър. Той ще сканира всички системни файлове, DLL файлове и ключове на системния регистър, които са били повредени от заплахи за сигурността.Reimage - патентована специализирана програма за ремонт на Mac OS X. Той ще диагностицира повредения ви компютър. Той ще сканира всички системни файлове и ключове на системния регистър, които са били повредени от заплахи за сигурността.
Този патентован процес на поправка използва база данни от 25 милиона компоненти, които могат да заменят всеки повреден или липсващ файл на компютъра на потребителя.
За да поправите повредена система, трябва да закупите лицензираната версия на Reimage инструмент за премахване на зловреден софтуер.

Натиснете