Kā atgūt failus, kas šifrēti ar Seto ransomware?

Jautājums

Problēma: Kā atgūt failus, kas šifrēti ar Seto izspiedējvīrusu?

Sveiki, mans dators ir inficēts ar izspiedējprogrammatūru, un visiem maniem failiem ir pievienots faila paplašinājums .seto — es nevaru atvērt nevienu no tiem! Mani fotoattēli, videoklipi un darba dokumenti ir bloķēti... Kas ir šī izspiedējvīrusa programmatūra, un vai ir kāds veids, kā izgūt manus datus? Lūdzu palīdziet, jo esmu izmisusi.

Atrisināta atbilde

Seto vīruss pieder vienai no aktīvākajām ransomware ģimenēm – Djvu/STOP. Ļaunprātīgas programmatūras celms pirmo reizi tika pamanīts 2017. gada decembra beigās, un kopš tā laika hakeri aiz tā ir izlaiduši aptuveni 150 variantus, no kuriem viens no jaunākajiem ir Seto, kas tika pamanīts 2019. gada augustā.

Tomēr dažādas Djvu izspiedējprogrammatūras versijas var inficēt lietotājus neatkarīgi no to izlaišanas datuma — ļaunprātīgas programmatūras autori izmanto dažādas metodes, lai piegādātu ļaunprātīgo slodzi uz resursdatoriem. Piemēram, viņi izmanto robottīklus, lai piegādātu surogātpasta e-pastus ar ļaunprātīgiem pielikumiem, izmanto programmatūras ievainojamības, lai inficētu lietotāji automātiski, kad viņi nonāk iepriekš noteiktā vietnē, augšupielādē viltotus straumjus, kas maskēti kā video vai programmu faili, utt.

Tomēr vecākajām versijām ir tendence mazāk inficēt lietotājus, jo tādi paraugi kā Seto izspiedējvīrusa ir daudz attīstītāki. Laika gaitā ļaunprātīgajā programmā tika veiktas vairākas izmaiņas, jo drošības pētnieki varēja nodrošināt lietotājiem bezmaksas tādi instrumenti kā STOPDšifrētājs failu atkopšanai. Diemžēl, izmantojot šo rīku, tagad nav iespējams atgūt failus, kurus bloķējusi seto izspiedējvīrusa programma.

Tiklīdz seto izspiedējvīrusa iekļūst resursdatorā, tā veic dažādas izmaiņas, piemēram, izmaiņas Windows reģistrā, interneta savienojuma opcijas, sistēmas sertifikātus, atļaujas, kodolu.^[1] funkcijas utt. Turklāt Seto ransomware noņem arī Shadow Volume Copies – automātisku Windows operētājsistēmas izveidoto dublējumu. Šīs izmaiņas jo īpaši padara datu atkopšanu tik sarežģītu.

Atgūt failus, kas šifrēti ar Seto ransomware

Kad šifrēšanas process ir aktivizēts, tas parasti tiek pabeigts tikai dažu sekunžu laikā, tāpēc nav iespējas to apturēt laikā. Tomēr šifrēšana nav tas pats, kas failu sabojāšana, jo, izmantojot atbilstošus rīkus, procesu var atgriezt.

Kriptogrāfijā tiek izmantoti divu veidu šifrēšana – simetriskā un asimetriskā.^[2] Simetriskā šifrēšana izmanto slepeno atslēgu, ko zina tikai hakeri, savukārt asimetriskajai šifrēšanai tiek izmantota publiska (visiem zināma) atslēga, lai bloķētu failus, un, lai to atbloķētu, ir nepieciešama cita atslēga. Ir zināms, ka Seto izpirkuma programmatūra izmanto simetrisko (AES) šifrēšanas metodi, kas nozīmē, ka bez slepenās atslēgas iegūšanas atkopšanas iespējas ir salīdzinoši nelielas.

Hakeri pieprasa USD 980 (vai USD 490 ar atlaidi) par atšifrēšanas rīku, kas atjaunotu šifrēšanu un ļautu upuriem atkal izmantot failus. Tomēr izpirkuma maksas maksāšana ir riskants manevrs, jo krāpnieki pēc naudas saņemšanas var vienkārši nekad nenosūtīt atšifrētāju. Turklāt šī akcija tikai pierāda, ka nelegālais bizness darbojas kā paredzēts, un mudinās viņus inficēt vairāk cilvēku ar setu vai citiem izspiedējvīrusu variantiem.

Tāpēc pirms izpirkuma maksas maksāšanas vajadzētu padomāt divreiz, lai gan tas ir atkarīgs no jums. Daži lietotāji var būt izmisuši un izmantot to kā pēdējo līdzekli. Tomēr labāk vajadzētu izmantot alternatīvas metodes, kas varētu palīdzēt failu atkopšanā bez seto izspiedējvīrusa atšifrētāja no kibernoziedzniekiem.

Pirms failu atkopšanas noņemiet Seto ransomware

Kamēr jūsu datorā ir inficēts ar Seto izspiedējvīrusu, failu atkopšana nebūs lietderīga, jo tie nekavējoties atkal tiks šifrēti. Tāpēc ir ārkārtīgi svarīgi pirms datu izgūšanas atbrīvoties no ļaunprātīgas programmatūras.

Seto vīruss veic dažādas sistēmas izmaiņas, lai varētu palaist sevi ar katru sistēmas palaišanu. Ir zināms, ka Djvu izspiedējprogrammatūras varianti pagātnē nodrošina arī sekundāro lietderīgo slodzi (piemēram, AZORult^[3] banku Trojas zirgs), kā arī modificēt Windows resursdatora failu, lai neļautu lietotājiem apmeklēt ar drošību saistītas vietnes.

Labākais veids, kā izdzēst vīrusu, ir ieiet drošajā režīmā ar tīklu un pēc tam veikt pilnu sistēmas skenēšanu, izmantojot pretļaundabīgo programmu. ReimageMac veļas mašīna X9, lai gan jebkuram citam cienījamam rīkam vajadzētu būt iespējai noteikt^[4] un likvidēt parazītu. Lai pārietu uz drošo režīmu, rīkojieties šādi:

• Ar peles labo pogu noklikšķiniet uz Sākt pogu un atlasiet Iestatījumi
• Iet uz Atjaunināšana un drošība un noklikšķiniet uz Atveseļošanās
• Atrodiet Uzlabota palaišana sadaļu un noklikšķiniet uz Restartēt tagad (Ņemiet vērā, ka tas būs nekavējoties restartējiet datoru) Lai droši noņemtu Seto ransomware un sāktu failu atkopšanu, pārejiet uz drošo režīmu
• Pēc datora restartēšanas jums tiks parādīts Izvēlieties opciju ekrāns
• Iet uz Problēmu novēršana > Papildu opcijas > Startēšanas iestatījumi un noklikšķiniet Restartēt
• Kad dators tiek restartēts, nospiediet F5 vai 5 lai ievadītu Drošais režīms ar tīklu

1. metode. Izmantojiet Data Recovery Pro, lai atgūtu failus, kas šifrēti ar Seto izspiedējvīrusu

Datu atkopšanas programmatūra nedarbojas tāpat kā Seto izspiedējvīrusa atšifrēšanas rīks. Tā vietā, lai atšifrētu esošos failus, tas mēģina izgūt darba kopijas no cietā diska (vai SSD). Tomēr, ja vieta, kurā tika glabāti šie faili, tika pārrakstīta ar citu informāciju, atkopšana nebūs veiksmīga. Tāpēc tas, vai Data Recovery Pro jums palīdzēs, ir atkarīgs no tā, cik daudz datu tika ierakstīts jūsu cietajā diskā pēc failu maiņas.

• Lejupielādēt Data Recovery Pro (tiešā saite) lietojumprogrammas instalētāju un veiciet dubultklikšķi uz tā, lai sāktu instalēšanas procesu
• Lai instalētu programmu, izpildiet ekrānā redzamos norādījumus
• Kad instalēšana ir pabeigta, darbvirsmā veiciet dubultklikšķi uz Data Recovery Pro saīsnes, lai to atvērtu
• Izvēlieties Pilnas skenēšanas opcija un izvēlēties Sākt skenēšanu (alternatīvi varat meklēt atsevišķus failus, pamatojoties uz atslēgvārdiem)
• Kad skenēšana ir pabeigta, izvēlieties, kurus failus vēlaties izgūt, un noklikšķiniet uz Atgūt pogu Izmantojiet programmu Data Recovery Pro

2. metode. Dažos gadījumos ShadowExplorer var atgūt visus datus, ko šifrējusi seto izspiedējvīra

Kā jau minējām iepriekš, Seto ransomware ir ieprogrammēta tā, lai dzēstu automātiskās Windows dublēšanas sistēmas – Shadow Volume Copies – saglabātos failus. Tomēr dažos gadījumos ļaunprogrammatūra var neizdoties novērst šos dublējumus — tieši tad ShaodwExplorer ir lieliska iespēja atgūt visus datus:

• Lejupielādēt ShadowExplorer (tiešā saite) un instalējiet to, izmantojot ekrānā redzamos norādījumus
• Kad esat pabeidzis, atveriet lietojumprogrammu un izvēlieties disku, no kura vēlaties atgūt failus
• Atlasiet mapi, ar peles labo pogu noklikšķiniet uz tās un izvēlieties Eksportēt ShadowExplorer var jums palīdzēt, ja Seto neizdevās izdzēst Shadow Volume Copies

3. metode. Izmēģiniet Windows iepriekšējo versiju funkciju

Tiem lietotājiem, kuriem sistēmas atjaunošana bija iespējota pirms Seto izspiedējvīrusa uzbrukuma viņu datoriem, ir vēl viena iespēja atgūt zaudētos failus. Tomēr ņemiet vērā, ka, izmantojot šo opciju, ir jāatjauno katrs fails atsevišķi, tāpēc process var aizņemt kādu laiku.

• Atrodiet failu, kuru vēlaties atgūt
• Ar peles labo pogu noklikšķiniet uz tā un atlasiet Atjaunot iepriekšējās versijas Ja jums bija iespējota sistēmas atjaunošana, jums vajadzētu būt iespējai pa vienam atgūt failus, kas šifrēti ar Seto izspiedējvīrusu.
• Noklikšķiniet uz iepriekšējās versijas un atlasiet Atjaunot

Jums nevajadzētu maksāt izpirkuma maksu par Seto izspiedējvīrusu atšifrēšanas rīku

Jāteic, ka drošības pētnieki nepārtraukti strādā pie atkopšanas rīkiem, kas varētu palīdzēt lietotājiem izvairīties no maksāšanas kibernoziedzniekiem. STOPDecrypter bija viens no rīkiem, kas dažkārt varēja palīdzēt STOP izspiedējvīrusa upuriem (tā izstrādātājs tagad strādā pie jauna versija), un vecāki izpirkuma programmatūras varianti, piemēram, DATASTOP vai INFOWAIT, bija atšifrējami, pateicoties kiberdrošības uzņēmumam Dr. Web. pētniekiem. Tāpēc pastāv iespēja, ka Seto izpirkuma programmatūra nākotnē būs pilnībā atšifrējama – tāpēc noteikti sagatavojiet dublējumus.

Dažos gadījumos maksāšana hakeriem varētu būt vienīgā iespēja. Tomēr, lūdzu, ņemiet vērā, ka varat zaudēt savu naudu, tāpēc dariet to, uzņemoties risku.

Automātiski atkopjiet failus un citus sistēmas komponentus

Lai atkoptu failus un citus sistēmas komponentus, varat izmantot ugetfix.com ekspertu bezmaksas rokasgrāmatas. Tomēr, ja jūtat, ka neesat pietiekami pieredzējis, lai pats īstenotu visu atkopšanas procesu, iesakām izmantot tālāk norādītos atkopšanas risinājumus. Mēs esam pārbaudījuši katru no šīm programmām un to efektivitāti jūsu vietā, tāpēc viss, kas jums jādara, ir ļaut šiem rīkiem veikt visu darbu.

Reimage - patentēta specializēta Windows labošanas programma. Tas diagnosticēs jūsu bojāto datoru. Tas skenēs visus sistēmas failus, DLL un reģistra atslēgas, kuras ir sabojājušas drošības apdraudējums.Reimage - patentēta specializēta Mac OS X remonta programma. Tas diagnosticēs jūsu bojāto datoru. Tas skenēs visus sistēmas failus un reģistra atslēgas, ko ir sabojājuši drošības apdraudējumi.
Šajā patentētajā labošanas procesā tiek izmantota 25 miljonu komponentu datubāze, kas var aizstāt jebkuru bojātu vai trūkstošu failu lietotāja datorā.
Lai labotu bojātu sistēmu, jums ir jāiegādājas licencēta versija Reimage ļaunprātīgas programmatūras noņemšanas rīks.

nospiediet