Obično je rad zlonamjernih programa usmjeren na stjecanje kontrole nad računalom, njegovo uključivanje u zombi mrežu ili krađu ličnih podataka. Nepažljiv korisnik možda neće dugo primijetiti da je sistem zaražen. Ali ransomware virusi, posebno xtbl, rade na potpuno drugačiji način. Oni čine korisničke datoteke neupotrebljivim tako što ih šifriraju najsloženijim algoritmom i zahtijevaju veliku svotu od vlasnika za mogućnost povratka informacija.

Uzrok problema: xtbl virus

Xtbl ransomware virus je dobio ime po činjenici da korisnički dokumenti šifrirani njime dobijaju ekstenziju .xtbl. Koderi obično ostavljaju ključ u tijelu datoteke tako da univerzalni program dekodera može vratiti informacije u njihov izvorni oblik. Međutim, virus je namijenjen za druge svrhe, pa se umjesto ključa na ekranu pojavljuje ponuda za plaćanje određenog iznosa korištenjem anonimnih podataka računa.

Kako radi xtbl virus

Virus ulazi u računar putem e-mail poruka sa zaraženim prilozima, a to su fajlovi kancelarijskih aplikacija. Nakon što korisnik otvori sadržaj poruke, zlonamjerni softver počinje tražiti fotografije, ključeve, video zapise, dokumente i tako dalje, a zatim ih, koristeći originalni složeni algoritam (hibridna enkripcija), pretvara u xtbl skladište.

Virus koristi sistemske fascikle za skladištenje svojih datoteka.

Virus se dodaje na startup listu. Da bi to učinio, dodaje unose u Windows registar u sljedećim odjeljcima:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Zaraženi računar radi stabilno, sistem se ne „ruši“, ali uvijek postoji mala aplikacija (ili dvije) s nerazumljivim imenom u RAM-u. A fascikle sa radnim fajlovima korisnika poprimaju čudan izgled.

Umjesto uvodnog ekrana, na radnoj površini se pojavljuje poruka:

Vaši fajlovi su šifrirani. Da ih dešifrujete, morate poslati kod na e-mail adresu: [email protected](šifra slijedi). Tada ćete dobiti daljnje upute. Samostalni pokušaji dešifriranja datoteka dovest će do njihovog potpunog uništenja.

Isti tekst je sadržan u generiranoj datoteci Kako dešifrirati vaše files.txt. Adresa e-pošte, kod, traženi iznos mogu varirati.

Vrlo često, neki prevaranti zarađuju na drugima - broj e-novčanika ransomware-a se ubacuje u tijelo virusa, bez načina za dešifriranje datoteka. Dakle, lakovjerni korisnik, nakon što pošalje novac, ne dobija ništa zauzvrat.

Zašto ne biste trebali platiti ransomware

Nemoguće je pristati na saradnju sa iznuđivačima ne samo zbog moralnih principa. Ovo je nerazumno sa praktične tačke gledišta.

Kako zaštititi svoj sistem od virusa

Univerzalna pravila za zaštitu od zlonamjernog softvera i minimiziranje štete pomoći će i u ovom slučaju.

Da li je moguće povratiti šifrirane informacije

Dobre vijesti: oporavak podataka je moguć. Loše: ovo ne možete učiniti sami. Razlog tome je posebnost algoritma šifriranja, za odabir ključa za koji je potrebno mnogo više resursa i akumuliranog znanja nego što to ima običan korisnik. Srećom, antivirusni programeri smatraju da je stvar časti pozabaviti se svakim zlonamjernim programom, pa čak i ako trenutno nisu u mogućnosti da se izbore sa vašim ransomwareom, sigurno će pronaći rješenje za mjesec ili dva. Morat ćemo biti strpljivi.

Zbog potrebe kontaktiranja stručnjaka, algoritam za rad sa zaraženim računarom se mijenja. Kao opšte pravilo, što manje promena to bolje. Antivirusi određuju način liječenja na osnovu generičkih karakteristika zlonamjernog programa, stoga su zaražene datoteke izvor važnih informacija za njih. Treba ih ukloniti tek nakon rješavanja glavnog problema.

Drugo pravilo je prekinuti rad virusa po svaku cijenu. Možda još nije pokvario sve informacije, a tragovi ransomware-a ostaju u RAM-u, uz pomoć kojih se može identificirati. Stoga morate odmah isključiti računar iz mreže, a laptop isključiti dugim pritiskom na dugme za mrežu. Ovoga puta standardna procedura "pažljivog" gašenja, koja omogućava da se svi procesi dovrše ispravno, neće raditi, jer je jedan od njih kodiranje vaših informacija.

Oporavak šifriranih datoteka

Ako ste uspeli da isključite računar

Ako ste uspjeli da isključite računar prije završetka procesa šifriranja, onda ga ne morate sami uključivati. Odvedite "pacijenta" direktno specijalistima, prekinuto kodiranje značajno povećava šanse za čuvanje ličnih datoteka. Ovdje također možete provjeriti svoje medije za pohranu u sigurnom načinu rada i napraviti sigurnosne kopije. Sa velikom vjerovatnoćom, sam virus će biti poznat, pa će liječenje biti uspješno.

Ako je šifriranje završeno

Nažalost, vjerovatnoća uspješnog prekida procesa šifriranja je vrlo mala. Obično virus ima vremena da kodira datoteke i ukloni nepotrebne tragove sa računara. I sada imate dva problema: Windows je i dalje zaražen, a lične datoteke su postale skup znakova. Za rješavanje drugog problema potrebno je koristiti pomoć proizvođača antivirusnog softvera.

Dr.Web

Dr.Web Laboratorija pruža svoje usluge dešifriranja besplatno samo vlasnicima komercijalnih licenci. Drugim riječima, ako još niste njihov klijent, ali želite vratiti svoje datoteke, morat ćete kupiti program. S obzirom na trenutnu situaciju, ovo je prava investicija.

Sljedeći korak je odlazak na web stranicu proizvođača i popunjavanje formulara za prijavu.

Ako među šifriranim datotekama postoje kopije koje su sačuvane na vanjskim medijima, njihov prijenos će uvelike olakšati rad dekodera.

Kaspersky

Kaspersky Lab je razvio sopstveni uslužni program za dešifrovanje pod nazivom RectorDecryptor, koji se može preuzeti na računar sa zvanične veb stranice kompanije.

Svaka verzija operativnog sistema, uključujući Windows 7, ima svoj uslužni program. Nakon što ga učitate, pritisnite dugme "Pokreni provjeru".

Usluge mogu potrajati neko vrijeme ako je virus relativno nov. U tom slučaju kompanija obično šalje obavijest. Ponekad dešifriranje može potrajati nekoliko mjeseci.

Ostale usluge

Sve je više servisa sa sličnim funkcijama, što ukazuje na potražnju za uslugama dešifriranja. Algoritam radnji je isti: idite na stranicu (na primjer, https://decryptolocker.com/), registrirajte se i pošaljite šifriranu datoteku.

Programi dekodera

Na mreži postoji mnogo "univerzalnih dekodera" (naravno, plaćenih), ali je njihova korisnost upitna. Naravno, ako sami proizvođači virusa napišu dekoder, on će uspješno raditi, ali isti program će biti beskoristan za drugu zlonamjernu aplikaciju. Osim toga, stručnjaci koji se redovito susreću s virusima obično imaju kompletan paket potrebnih uslužnih programa, tako da s velikom vjerovatnoćom imaju sve radne programe. Kupovina takvog dekodera će vjerovatno biti gubitak novca.

Kako dešifrirati datoteke koristeći Kaspersky Lab - video

Samouslužni oporavak informacija

Ako iz nekog razloga nije moguće kontaktirati stručnjake treće strane, možete pokušati sami povratiti podatke. Rezervirajmo da u slučaju kvara fajlovi mogu biti trajno izgubljeni.

Oporavak izbrisanih datoteka

Nakon šifriranja, virus briše originalne datoteke. Međutim, Windows 7 neko vrijeme pohranjuje sve izbrisane informacije u obliku takozvane sjene.

ShadowExplorer

ShadowExplorer je uslužni program dizajniran za oporavak datoteka iz njihovih kopija u sjeni.

PhotoRec

Besplatni uslužni program PhotoRec radi na isti način, ali u batch modu.

Uklanjanje virusa

Pošto je virus ušao u računar, instalirani sigurnosni programi nisu se nosili sa svojim zadatkom. Možete isprobati pomoć treće strane.

Bitan! Uklanjanje virusa leči računar, ali ne vraća šifrovane datoteke. Osim toga, instaliranje novog softvera može oštetiti ili izbrisati neke zasjenjene kopije datoteka koje su potrebne za njihovo vraćanje. Stoga je bolje instalirati aplikacije na druge diskove.

Kaspersky Virus Removal Tool

Besplatan program poznatog programera antivirusnog softvera, koji se može preuzeti sa veb lokacije Kaspersky Lab. Nakon pokretanja Kaspersky Virus Removal Tool, on će vas odmah pitati da započnete skeniranje.

Nakon pritiska na veliko dugme na ekranu "Pokreni skeniranje", program počinje da skenira vaš računar.

Ostaje pričekati do kraja skeniranja i izbrisati pronađene nepozvane goste.

Malwarebytes Anti-malware

Još jedan programer antivirusnog softvera koji nudi besplatnu verziju skenera. Algoritam akcija je isti:

Šta ne raditi

Virus XTBL, kao i drugi ransomware virusi, oštećuje i sistem i korisničke informacije. Stoga, da biste smanjili potencijalnu štetu, potrebno je poduzeti neke mjere opreza:

1. Nemojte čekati kraj enkripcije. Ako je šifriranje datoteke počelo pred vašim očima, nemojte čekati da se sve završi ili pokušavajte softverom prekinuti proces. Odmah isključite računar i pozovite servisera.
2. Ne pokušavajte sami ukloniti virus ako možete vjerovati profesionalcima.
3. Nemojte ponovo instalirati sistem do kraja tretmana. Virus će sigurno zaraziti i novi sistem.
4. Nemojte preimenovati šifrovane datoteke. Ovo će samo zakomplicirati rad dekodera.
5. Ne pokušavajte čitati zaražene datoteke na drugom računaru dok se virus ne ukloni. Ovo može proširiti infekciju.
6. Ne plaćajte iznuđivače. Beskorisno je i potiče kreatore virusa i prevarante.
7. Ne zaboravite na prevenciju. Instaliranje antivirusnog programa, redovite sigurnosne kopije i kreiranje tačaka vraćanja značajno će smanjiti potencijalnu štetu od zlonamjernog softvera.

Liječenje računala zaraženog ransomware virusom je duga i ne uvijek uspješna procedura. Zbog toga je veoma važno poštovati mere predostrožnosti prilikom dobijanja informacija sa mreže i rada sa neproverenim eksternim medijima.

Dobar dan svima, dragi moji prijatelji i čitaoci mog bloga. Danas će tema biti prilično tužna, jer će se doticati virusa. Ispričaću vam jedan slučaj koji se desio ne tako davno na mom poslu. U odeljenju me je pozvao zaposlenik uznemirenog glasa: „Dima, virus je šifrovao fajlove na računaru: šta da radim sada?“. Tada sam shvatio da kofer miriše na prženo, ali sam na kraju otišao da je vidim.

Da. Sve je ispalo tužno. Većina datoteka na računalu je zaražena, odnosno šifrirana: Office dokumenti, PDF datoteke, 1C baze podataka i mnogi drugi. Općenito, dupe je kompletno. Vjerovatno nisu pogođene samo arhive, aplikacije i tekstualni dokumenti (pa, i puno više). Svi ovi podaci su promijenili ekstenziju, a također su promijenili i imena u nešto poput sjd7gy2HjdlVnsjds.
Takođe, nekoliko identičnih dokumenata README.txt pojavilo se na radnoj površini iu folderima.Iskreno govore da je vaš računar zaražen i da ništa ne preduzimate, ništa ne brišete, ne provjeravajte antivirusni softver, inače fajlovi neće biti vraćen.
U fajlu takođe piše da će ovi fini ljudi moći da vrate sve kako je bilo. Da bi to učinili, potrebno im je poslati ključ iz dokumenta na svoju poštu, nakon čega ćete dobiti potrebna uputstva. Ne pišu cijenu, ali se u stvari ispostavi da je trošak povrata nešto oko 20.000 rubalja.

Jesu li vaši podaci vrijedni novca? Jeste li spremni platiti za uklanjanje ransomware-a? Sumnjam. Šta onda treba učiniti? Razgovarajmo o tome kasnije. U međuvremenu, počnimo sve po redu.

Odakle dolazi

Odakle dolazi ovaj ružni ransomware virus? Ovdje je sve vrlo jednostavno. Ljudi ga preuzimaju putem e-pošte. Po pravilu, ovaj virus prodire u organizacije, korporativne poštanske sandučiće, ali ne samo. Po izgledu, ne uzimate ga za kaku, jer ne dolazi u obliku neželjene pošte, već od stvarno postojeće ozbiljne organizacije, na primjer, dobili smo pismo od Rostelecom provajdera sa njihove službene pošte.

Pismo je bilo potpuno obično, tipa "Novi tarifni planovi za pravna lica". Unutra je PDF fajl. I kada otvorite taj fajl, otvarate Pandorinu kutiju. Svi važni fajlovi su šifrovani i pretvaraju se u "cigle" jednostavnim rečima. A antivirusi ne hvataju ovo sranje odmah.

Šta sam uradio, a šta nije

Naravno, kod nas niko nije htio platiti 20 hiljada za ovo, jer informacija nije koštala toliko, a osim toga, kontaktiranje prevaranta uopće nije bila opcija. A osim toga, nije činjenica da ćete za ovaj iznos sve deblokirati.

Prošao sam kroz drweb cureit uslužni program i našao je virus, ali nije bilo smisla od toga, jer su čak i nakon virusa datoteke ostale šifrirane. Pokazalo se da je uklanjanje virusa lako, ali je mnogo teže nositi se s posljedicama. Otišao sam na forume Doctor Weba i Kasperskyja i tamo sam našao potrebnu temu, a takođe sam saznao da ni tamo ni tamo ne mogu pomoći u dešifriranju. Sve je bilo veoma jako šifrovano.

S druge strane, tražilice su se počele pojavljivati ​​s rezultatima da neke kompanije dešifriraju datoteke na plaćenoj osnovi. Pa, zainteresovalo me, pogotovo jer se pokazalo da je kompanija stvarna, stvarno postojeća. Na svojoj web stranici ponudili su besplatno dešifriranje pet komada kako bi pokazali svoje sposobnosti. Pa, uzeo sam i poslao im 5 najvažnijih fajlova po mom mišljenju.
Nakon nekog vremena dobio sam odgovor da su uspjeli sve dešifrirati i da će mi uzeti 22 hiljade za kompletno dekodiranje. I nisu hteli da mi daju fajlove. Tako da sam odmah pretpostavio da najvjerovatnije rade u tandemu sa prevarantima. Pa, naravno da su poslani u pakao.

• koristeći programe "Recuva" i "RStudio"
• Pokreću razni komunalni programi
• Pa, da se smirim, nisam mogao a da ne pokušam (iako sam dobro znao da ovo neće pomoći) jednostavno je banalno udesno. Brad naravno)

Ništa od ovoga mi nije uspelo. Ali ipak sam pronašao izlaz. \ R \ n \ r \ nNaravno, ako vam se iznenada dogodi takva situacija, pogledajte s kojom ekstenzijom su datoteke šifrirane. Nakon toga idite na http://support.kaspersky.com/viruses/dizinfection/10556 i pogledajte koje ekstenzije su navedene. Ako je vaša ekstenzija na listi, koristite ovaj uslužni program.
Ali u sva 3 slučaja koje sam vidio s ovim ransomwareom, nijedan od ovih uslužnih programa nije pomogao. Konkretno, susreo sam se sa virusom "Da Vinci kod" i "trezor"... U prvom slučaju su se promijenili i naziv i ekstenzija, au drugom samo ekstenzija. Općenito, postoji čitava gomila takvog ransomwarea. Čujem takve gadove kao što je xtbl, nema više otkupnine, bolje pozovi Saula i mnoge druge.

Šta je pomoglo

Jeste li ikada čuli za kopije u sjeni? Dakle, kada se kreira tačka vraćanja, automatski se kreiraju kopije u senci vaših datoteka. A ako se nešto dogodilo vašim datotekama, uvijek ih možete vratiti na trenutak kada je stvorena točka vraćanja. U tome će nam pomoći jedan sjajan program za oporavak datoteka iz sjenčanih kopija.

Početi skinuti i instalirajte program "Shadow Explorer". Ako vam najnovija verzija smeta (dešava se), onda instalirajte prethodnu.

Idite na Shadow Explorer. Kao što vidimo, glavni dio programa je sličan exploreru, tj. datoteke i fascikle. Sada obratite pažnju na gornji lijevi ugao. Tamo vidimo slovo i datum lokalnog diska. Ovaj datum znači da su sve datoteke predstavljene na C pogonu ažurne u to vrijeme. Imam ga 30. novembra. To znači da je posljednja tačka vraćanja kreirana 30. novembra.
Ako kliknemo na padajuću listu datuma, vidjet ćemo za koje brojeve još imamo sjene kopije. A ako kliknete na padajuću listu lokalnih diskova i odaberete, na primjer, disk D, tada ćemo vidjeti datum kada imamo stvarne datoteke. Ali za vožnju D bodovi se ne kreiraju automatski, pa se ova stavka mora registrovati u postavkama. to vrlo lako za napraviti.
Kao što vidite, ako je za disk C Imam relativno noviji datum, onda za disk D posljednja tačka je stvorena prije skoro godinu dana. Pa, onda to radimo tačku po tačku:

Sve. Sada ostaje samo čekati da se izvoz završi. Zatim idemo u isti folder koji ste odabrali i provjeravamo sve datoteke za otvaranje i performanse. Sve je super).
Znam da internet nudi neke druge različite metode, uslužne programe itd., ali neću pisati o njima, jer sam se već treći put susreo sa ovim problemom, i nikada, ništa osim sjenčanih kopija mi nije pomoglo. Mada možda jednostavno nisam te sreće).

Ali nažalost, zadnji put smo uspjeli povratiti samo one fajlove koji su se nalazili na C drajvu, pošto su po defaultu tačke kreirane samo za C drajv. Shodno tome, nije bilo sjenčanih kopija za D disk. Naravno, također morate zapamtiti do kojih točaka vraćanja to može dovesti, pa pripazite i na to.

A da bi se stvorile kopije u sjeni za druge čvrste diskove, trebaju vam i oni.

Profilaksa

Kako biste spriječili probleme s oporavkom, potrebno je napraviti profilaksu. Da biste to učinili, morate se pridržavati sljedećih pravila.

Inače, nekada je ovaj virus šifrovao fajlove na USB fleš disku, gde su bili pohranjeni naši sertifikati ključeva za digitalni potpis. Zato budite veoma oprezni i sa fleš diskovima.

Srdačan pozdrav, Dmitry Kostin.

Postoji širok izbor zlonamjernih programa. Među njima ima izuzetno gadnih ransomware virusa koji, kada se nađu na računaru, počinju da šifruju korisničke fajlove. U nekim slučajevima postoji velika šansa da dešifrujete vaše datoteke, ali ponekad to ne radi. Razmotrićemo sve potrebne radnje, kako za prvi tako i za drugi slučaj, u slučajevima kada.

Ovi virusi se mogu neznatno razlikovati, ali općenito, njihova djelovanja su uvijek ista:

• instalirati na računar;
• šifriranje svih datoteka koje mogu imati bilo kakvu vrijednost (dokumenti, fotografije);
• kada pokušavate da otvorite ove fajlove, zahtevajte od korisnika da uplati određeni iznos na novčanik ili račun napadača, inače pristup sadržaju nikada neće biti otvoren.

Datoteke šifrovane virusom u xtbl

Trenutno je virus postao dovoljno raširen da može šifrirati datoteke i promijeniti njihovu ekstenziju u .xtbl, kao i zamijeniti njihovo ime potpuno slučajnim znakovima.

Osim toga, na vidnom mjestu se kreira posebna datoteka s uputama. readme.txt... U njemu napadač suočava korisnika s činjenicom da su svi njegovi važni podaci šifrirani i da ih sada nije tako lako otvoriti, dopunjujući to činjenicom da je za vraćanje svega u prethodno stanje potrebno izvršite određene radnje vezane za prijenos novca prevarantu (obično prije toga morate poslati određeni kod na jednu od predloženih email adresa). Često su takve poruke dopunjene postscriptom da kada pokušate sami dešifrirati sve svoje datoteke, riskirate da ih zauvijek izgubite.

Nažalost, u ovom trenutku službeno niko nije uspio dešifrirati .xtbl, ako se pojavi radni način, svakako ćemo o tome obavijestiti u članku. Među korisnicima ima i onih koji su imali slično iskustvo sa ovim virusom i koji su prevarantima platili traženi iznos, a zauzvrat su dobili dešifrovanje dokumenata. Ali ovo je krajnje rizičan korak, jer među cyber kriminalcima ima i onih koji se ne zamaraju posebno obećanom dešifriranjem, na kraju će novac otići u vodu.

Šta onda radite, pitate se? Nudimo nekoliko savjeta koji će vam pomoći da vratite sve svoje podatke, a u isto vrijeme nećete biti vođeni prevarantima i dajte im svoj novac. I šta treba uraditi:

1. Ako znate kako raditi u upravitelju zadataka, odmah prekinuti šifriranje datoteke, zaustavljajući sumnjivi proces. U isto vrijeme isključite svoj računar s interneta - mnogim ransomware-ima je potrebna mrežna veza.
2. Uzmite komad papira i na njega napišite kod koji se nudi da se napadačima pošalje poštom (parče papira jer i fajl u koji ćete pisati može postati nedostupan za čitanje).
3. Koristite Malwarebytes Antimalware, probni Kaspersky IS ili CureI Antivirus da uklonite zlonamjerni softver. Za veću pouzdanost, bolje je dosljedno koristiti sva predložena sredstva. Iako se Kaspersky Anti-Virus ne može instalirati ako sistem već ima jedan glavni antivirus, u suprotnom može doći do sukoba softvera. Svi ostali uslužni programi mogu se koristiti u bilo kojoj situaciji.
4. Pričekajte dok jedna od antivirusnih kompanija ne razvije radni dešifrator za takve datoteke. Najefikasniji način za to je Kaspersky Lab.
5. Dodatno, možete poslati na [email protected] kopiju datoteke koja je šifrirana potrebnim kodom i, ako postoji, istu datoteku u izvornom obliku. Moguće je da to može ubrzati razvoj metode za dešifriranje datoteka.

Ni u kom slučaju nemojte:

• preimenovanje ovih dokumenata;
• mijenjanje njihove ekspanzije;
• brisanje fajlova.

Ovi trojanci također šifriraju korisničke datoteke, a zatim ih iznuđuju. Istovremeno, šifrirane datoteke mogu imati sljedeće ekstenzije:

• .locked
• .crypto
• .kraken
• .AES256 (ne nužno ovaj trojanac, postoje i drugi koji instaliraju istu ekstenziju).
• [email protected] _com
• .oshit
• Ostalo.

Srećom, već je kreiran namjenski uslužni program za dešifriranje - RakhniDecryptor... Možete ga preuzeti sa službene web stranice.

Na istoj stranici možete pročitati upute koje detaljno i jasno pokazuju kako koristiti uslužni program za dešifriranje svih datoteka na kojima je trojanac radio. U principu, radi veće pouzdanosti, vrijedi isključiti stavku za brisanje šifriranih datoteka. Ali najvjerovatnije je da su programeri dali sve od sebe da kreiraju uslužni program i ništa ne ugrožava integritet podataka.

Oni koji koriste licencirani Dr.Web antivirus imaju besplatan pristup dešifriranju od strane programera http://support.drweb.com/new/free_unlocker/.

Druge vrste ransomware virusa

Ponekad možete naići na druge viruse koji šifriraju važne datoteke i zahtijevaju plaćanje za vraćanje svega u izvorni oblik. Nudimo mali popis uslužnih programa za rješavanje posljedica najčešćih virusa. Tamo se također možete upoznati s glavnim znakovima po kojima možete razlikovati određeni trojanski program.

Osim toga, dobar način bi bio skeniranje vašeg računara pomoću Kaspersky Anti-Virus, koji će otkriti nepozvanog gosta i dodijeliti mu ime. Pod ovim imenom već možete tražiti dekoder za njega.

• Trojan-Ransom.Win32.Rector- tipičan ransomware scrambler koji zahtijeva od vas da pošaljete SMS ili izvršite druge radnje ove vrste, preuzimamo dešifriranje sa ovog linka.
• Trojan-Ransom.Win32.Xorist- varijacija prethodnog Trojanca, možete dobiti dekoder sa uputstvom za njegovu upotrebu.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- postoji i poseban uslužni program za ove momke, pogledajte link.
• Trojan.Encoder858, Trojan.Encoder.741- ovaj zlonamjerni softver može otkriti uslužni program CureIt. Imaju slična imena, ali brojevi na kraju imena se mogu razlikovati. Tražimo dekoder po imenu virusa ili, ako koristite licencirani Dr.Web, možete koristiti poseban resurs.
• CryptoLacker- da biste vratili svoje datoteke, posjetite ovu stranicu i preko nje generirajte poseban program za oporavak vaših dokumenata.

Nedavno je Kaspersky Lab, u saradnji sa svojim kolegama iz Holandije, kreirao dešifrator koji vam omogućava da oporavite datoteke nakon što je virus proradio na njima. CoinVault.

U komentarima možete podijeliti svoje metode dešifriranja datoteka, jer će ove informacije biti korisne drugim korisnicima koji se mogu susresti sa takvim zlonamjernim softverom.

Borba protiv novih virusnih prijetnji - ransomware-a

Nedavno smo pisali da se mrežom šire nove prijetnje - ransomware virusi ili, opširnije, virusi koji šifriraju datoteke, više o njima možete pročitati na našoj web stranici na ovom linku.

U ovoj temi ćemo vam reći kako možete oporaviti podatke šifrirane virusom, za to ćemo koristiti dva dešifratora, od antivirusa "Kaspersky" i "Doctor Web", ovo su najefikasnije metode vraćanja šifriranih informacija .

1. Preuzmite uslužne programe za dešifrovanje datoteka sa linkova: Kaspersky i Dr.WEB

Ili dekriptori za određenu vrstu šifriranih datoteka koje se nalaze.

2. Prvo ćemo pokušati da dešifrujemo datoteke koristeći Kaspersky program:

2.1. Pokrenite program Kaspersky Decryptor, ako traži neku radnju, na primjer, dozvole za pokretanje - pokrenite ga, ako traži ažuriranje - ažurirajte ga, to će povećati šanse za vraćanje šifriranih podataka

2.2. U prozoru koji se pojavio programa za dešifriranje datoteka vidimo nekoliko dugmadi. Konfigurirajte dodatne parametre i počnite provjeravati.

2.3. Ako trebate odabrati dodatne parametre i naznačiti gdje tražiti šifrirane datoteke, a ako je potrebno - izbrisati nakon dešifriranja, ne savjetujem vam da odaberete ovu opciju, datoteke se ne dešifriraju uvijek ispravno!

2.4. Pokrećemo skeniranje i čekamo dešifriranje naših podataka šifriranih virusom.

3. Ako prva metoda nije uspjela. Pokušavamo dešifrirati fajlove pomoću programa Dr. WEB

3.1. Nakon što ste preuzeli aplikaciju za dešifriranje, stavite je, na primjer, u korijen diska "C:"., tako da bi datoteka "te102decrypt.exe" trebala biti dostupna na "c: \ te102decrypt.exe"

3.2. Sad idite na komandnu liniju(Start-Traži-Unesi "CMD" bez navodnika-pokreni pritiskom na Enter)

3.3. Za početak dešifriranja datoteka propisujemo naredbu "c: \ te102decrypt.exe -k 86 -e (ransomware kod)"... Ransomware kod je ekstenzija koja se dodaje na kraj datoteke, na primjer " [email protected] _45jhj "- pišite bez navodnika i zagrada, posmatrajući razmake. Trebalo bi da dobijete nešto poput c: \ te102decrypt.exe -k 86 -e [email protected] _45jhj

3.4. Kliknite Enter i pričekajte da se fajlovi dešifruju koji su bili šifrovani, u nekim slučajevima se kreira nekoliko kopija dešifrovanih fajlova, pokušate da ih pokrenete, ta kopija dešifrovanog fajla koja se normalno otvara - sačuvajte, ostalo možete obrisati.

Preuzmite ostatak dekodera datoteka:

pažnja: obavezno sačuvajte kopiju šifrovanih datoteka na eksternom mediju ili drugom računaru. Dešifratori predstavljeni u nastavku možda neće dešifrirati datoteke, već ih samo pokvariti!

Najbolje je pokrenuti dešifriranje na virtuelnoj mašini ili na posebno pripremljenom računaru, nakon što ste prethodno preuzeli nekoliko datoteka na njih.

Dekoderi predstavljeni u nastavku rade na sljedeći način: Na primjer, vaše datoteke su šifrirane pomoću amba alata za šifriranje i datoteke su izgledale kao "Contract.doc.amba" ili "Account.xl.amba", zatim preuzimamo dešifriranje za amba datoteke i samo ga pokrećemo, on će pronaći sve fajlove sa ovom ekstenzijom i dešifrujte, ali opet, zaštitite se i preliminarno napravite sigurnosnu kopiju šifriranih datoteka u suprotnom, možete zauvijek izgubiti svoje pogrešno dešifrirane podatke!

Ako ne želite riskirati, pošaljite nam nekoliko datoteka, nakon što ste nas prethodno kontaktirali putem obrasca za povratne informacije, pokrenut ćemo dekoder na posebno pripremljenom računalu izoliranom od Interneta.

Prikazane datoteke su provjerene najnovijom verzijom Kaspersky Anti-Virus i najnovijim ažuriranjima baze podataka.

Činjenica da je internet pun virusa danas nikoga ne iznenađuje. Mnogi korisnici percipiraju situacije vezane za njihov uticaj na sisteme ili lične podatke, najblaže rečeno, zatvarajući oči, ali samo dok se virus šifrovanja posebno ne nastani u sistemu. Većina običnih korisnika ne zna kako izliječiti i dešifrirati podatke pohranjene na tvrdom disku. Stoga se ovaj kontingent "vodi" na zahtjeve koje postavljaju napadači. Ali hajde da vidimo šta možete učiniti ako se takva pretnja otkrije ili da je sprečite da uđe u sistem.

Šta je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji u potpunosti mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, biće apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i za reprodukciju multimedijalnog sadržaja (grafika, video ili audio) nakon izlaganja virusu. Čak ni standardne operacije za kopiranje ili premještanje objekata nisu dostupne.

Samo softversko punjenje virusa je sredstvo koje šifrira podatke na takav način da nije uvijek moguće vratiti njihovo prvobitno stanje čak ni nakon uklanjanja prijetnje iz sistema. Obično takvi zlonamjerni programi kreiraju vlastite kopije i nastanjuju se vrlo duboko u sistemu, tako da virus šifriranja datoteka ponekad može biti potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne oslobađa utjecaja prijetnje, a kamoli vraća šifrirane informacije.

Kako prijetnja ulazi u sistem?

Po pravilu, prijetnje ovog tipa uglavnom su usmjerene na velike komercijalne strukture i mogu prodrijeti u računare putem mail programa kada zaposlenik otvori navodno priloženi dokument u e-mailu, koji je, recimo, dodatak nekoj vrsti ugovora o saradnji ili plan nabavke robe (komercijalne ponude sa investicijama iz sumnjivih izvora su prvi put za virus).

Nevolja je u tome što se ransomware virus na računaru koji ima pristup lokalnoj mreži i u njemu može prilagoditi, stvarajući vlastite kopije ne samo u umreženom okruženju, već i na administratorskom terminalu, ako mu nedostaje potrebna zaštita u oblik antivirusnog softvera, firewall ili firewall.

Ponekad takve prijetnje mogu prodrijeti i u kompjuterske sisteme običnih korisnika, koji uglavnom nisu od interesa za sajber kriminalce. To se događa u vrijeme instalacije nekih programa preuzetih sa sumnjivih Internet resursa. Mnogi korisnici pri pokretanju preuzimanja zanemaruju upozorenja sistema antivirusne zaštite, a tokom procesa instalacije ne obraćaju pažnju na sugestije za instaliranje dodatnog softvera, panela ili dodataka za pretraživače, a zatim, kako oni recimo, grize ih za laktove.

Raznolikost virusa i malo istorije

U osnovi, prijetnje ovog tipa, posebno najopasniji ransomware virus No_more_ransom, klasificirane su ne samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zlonamjerne aplikacije su klasificirane kao ransomware. Drugim riječima, sajber kriminalci zahtijevaju određenu svotu novca za dešifriranje informacija, vjerujući da će ovaj proces biti nemoguće izvesti bez početnog programa. Ovo je delimično slučaj.

Ali ako zadubite u istoriju, primijetit ćete da je jedan od prvih virusa ovog tipa, iako nije nametao novčane zahtjeve, bio zloglasni aplet I Love You, koji je u potpunosti šifrirao multimedijalne datoteke (uglavnom muzičke numere) u korisničkim sistemima. . Dešifriranje datoteka nakon ransomware virusa pokazalo se nemogućim u to vrijeme. Sada se s tom prijetnjom može riješiti na elementaran način.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Šta nedostaje među virusima - ovdje imate i XTBL, i CBF, i Breaking_Bad, i [email protected], i gomila drugih gadnih stvari.

Tehnika uticaja na korisničke fajlove

I ako se donedavno većina napada izvodila korištenjem RSA-1024 algoritama baziranih na AES enkripciji sa istom bitnošću, isti No_more_ransom ransomware virus danas je predstavljen u nekoliko interpretacija, koristeći ključeve za šifriranje bazirane na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dešifriranja za korištene algoritme

Problem je u tome što su savremeni sistemi za dešifrovanje nemoćni pred takvom opasnošću. Dešifriranje datoteka nakon virusa ransomwarea baziranog na AES256 još uvijek je donekle podržano, a s većom brzinom bita ključa, gotovo svi programeri samo sliježu ramenima. Ovo su, inače, službeno potvrdili stručnjaci iz Kaspersky Lab-a i Eset-a.

U najprimitivnijoj verziji, od korisnika koji je kontaktirao službu podrške traži se da pošalje šifriranu datoteku i njen original radi upoređivanja i daljnjih operacija za određivanje algoritma šifriranja i metoda oporavka. Ali, u pravilu, u većini slučajeva to ne funkcionira. Ali ransomware virus može sam dešifrirati datoteke, kako se vjeruje, pod uslovom da žrtva pristane na uslove napadača i plati određeni iznos u novčanom smislu. Međutim, takva formulacija pitanja izaziva opravdane sumnje. I zato.

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Nakon izvršene uplate, kaže se da hakeri aktiviraju dešifriranje putem udaljenog pristupa svom virusu koji se nalazi na sistemu ili putem dodatnog apleta ako je tijelo virusa uklonjeno. Izgleda više nego sumnjivo.

Napominjem i činjenicu da je internet pun lažnih postova u kojima se navodi da je, kažu, uplaćena potrebna suma, a podaci su uspješno vraćeni. Ovo je sve laž! I zaista - gdje je garancija da se nakon plaćanja virus šifriranja u sistemu neće ponovo aktivirati? Nije teško razumjeti psihologiju provalnika: ako platiš jednom, platiš ponovo. A ako je riječ o posebno važnim informacijama poput konkretnih komercijalnih, naučnih ili vojnih dešavanja, vlasnici takvih informacija spremni su da plate koliko je potrebno, kako bi dosijei ostali netaknuti i sigurni.

Prvi lijek za uklanjanje prijetnje

Ovo je priroda ransomware virusa. Kako dezinficirati i dešifrirati datoteke nakon što su bili izloženi prijetnji? Da, nema šanse, ako nema alata pri ruci, koji također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se na sistemu pojavio ransomware virus. Kako da dezinficiram zaražene datoteke? Prvo, trebalo bi da izvršite dubinsko skeniranje sistema bez upotrebe S.M.A.R.T. tehnologije, koja detektuje pretnje samo kada su boot sektori i sistemski fajlovi oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bi bila pokretanje sa Kaspersky Rescue Disk, koji može da se pokrene čak i pre nego što operativni sistem počne da radi.

Ali ovo je samo pola bitke, jer se na ovaj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. Kako dešifrirati informacije bit će rečeno odvojeno, ali za sada se zadržimo na činjenici da oni mogu potpuno otvoreno postojati u sistemu u obliku službeno instaliranih programa i aplikacija (drskost napadača nema granica, jer prijetnja postoji čak ni ne pokušava da se preruši).

U tom slučaju, trebali biste koristiti dio programa i komponenti gdje se vrši standardna deinstalacija. Međutim, također treba obratiti pažnju na činjenicu da standardni Windows deinstalator ne briše u potpunosti sve programske datoteke. Konkretno, ransom ransomware virus je u stanju da kreira sopstvene fascikle u osnovnim direktorijumima sistema (obično su to Csrss direktorijumi, gde se nalazi izvršna datoteka csrss.exe istog imena). Windows, System32 ili korisnički direktoriji (Korisnici na sistemskom disku) su odabrani kao glavna lokacija.

Osim toga, No_more_ransom ransomware virus upisuje vlastite ključeve u registar u obliku veze naizgled ka službenoj sistemskoj usluzi Client Server Runtime Subsystem, što je za mnoge obmanjujuće, jer bi ovaj servis trebao biti odgovoran za interakciju između klijentskog i serverskog softvera. . Sam ključ se nalazi u mapi Run, do koje se može doći preko HKLM grane. Jasno je da ćete morati ručno izbrisati takve ključeve.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže preostale datoteke i ključeve registratora (ali samo ako je virus vidljiv u sistemu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar.

Rješenja koja nude programeri antivirusnog softvera

Vjeruje se da se dešifriranje ransomware virusa može obaviti pomoću posebnih uslužnih programa, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste se trebali oslanjati na njih (osim toga, mnogi od njih brišu datoteke nakon dešifriranja, a zatim vraćene datoteke nestaju zbog prisustva tijela virusa koje prije nije uklonjeno).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje do sada nije stvoreno. Ali problem može biti i to što kada pokušate koristiti dešifriranje, nema garancije da datoteke koje se dezinficiraju neće biti izbrisane. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, to može biti i kobno - cijeli sistem će biti nefunkcionalan. Osim toga, moderni ransomware virus može utjecati ne samo na podatke pohranjene na tvrdom disku računara, već i na datoteke u skladištu u oblaku. I ovdje nema rješenja za vraćanje informacija. Osim toga, kako se ispostavilo, mnoge usluge poduzimaju nedovoljno efikasne mjere zaštite (isti ugrađeni OneDrive u Windows 10, koji je izložen direktno iz operativnog sistema).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada se zarazi takvim virusima. Naravno, ako postoji original oštećene datoteke, može se poslati na ispitivanje u antivirusnu laboratoriju. Istina, postoje i vrlo ozbiljne sumnje da će običan korisnik kreirati rezervne kopije podataka koji, kada se pohranjuju na hard disk, također mogu biti izloženi zlonamjernom kodu. A o tome da korisnici kopiraju informacije na prenosivi medij, kako bi izbjegli nevolje, uopće ne govorimo.

Stoga se za radikalno rješenje problema nameće zaključak: potpuno formatiranje tvrdog diska i svih logičkih particija uz brisanje informacija. Pa šta da radimo? Morat ćete donirati ako ne želite da se virus ili njegova samosčuvana kopija ponovo aktiviraju u sistemu.

Da biste to učinili, ne biste trebali koristiti alate samih Windows sistema (mislim na formatiranje virtuelnih particija, jer će se prilikom pokušaja pristupa sistemskom disku izdati zabrana). Bolje je koristiti pokretanje s optičkih medija kao što su LiveCD-ovi ili instalacijske distribucije, poput onih kreiranih pomoću alata za kreiranje medija za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sistema, možete pokušati vratiti integritet komponenti sistema putem komandne linije (sfc / scannow), ali to neće imati efekta u smislu dešifriranja i otključavanja podataka. Stoga je format c: jedino ispravno moguće rješenje, sviđalo se to vama ili ne. Ovo je jedini način da se u potpunosti riješite ove vrste prijetnji. Avaj, nema drugog načina! Čak je i tretman standardnim alatima koje nudi većina antivirusnih paketa nemoćan.

Umjesto pogovora

U smislu sugeriranja zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica utjecaja takvih prijetnji (nažalost, ali činjenica - to potvrđuje većina programera i stručnjaka za antivirusni softver u oblasti kriptografije).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji prošli oni koji su direktno uključeni u razvoj i implementaciju ovakvih tehnologija? Zaista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Biljeska! 256! Ovaj sistem, kako se ispostavilo, nije pogodan za moderne viruse. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, prilično je lako izbjeći uvođenje prijetnje u sistem. U najjednostavnijem slučaju, sve dolazne poruke sa prilozima u Outlooku, Thunderbirdu i drugim mail klijentima treba da skenirate antivirusom odmah nakon prijema i ni u kom slučaju ne otvarate priloge dok se skeniranje ne završi. Također treba pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili su maskirani kao standardni dodaci poput ažuriranja Flash Player-a ili nečeg drugog). Bolje je ažurirati medijske komponente putem službenih stranica. Ovo je jedini način da barem nekako spriječite prodor ovakvih prijetnji u vlastiti sistem. Posljedice mogu biti potpuno nepredvidive s obzirom da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za kompaniju se takav razvoj događaja može pretvoriti u pravi krah svih poduhvata.

Konačno, administrator sistema ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti sredstva softverske zaštite. Isti firewall (firewall) ne bi trebao biti softver, već "hardver" (naravno, sa pratećim softverom). A, podrazumjeva se da se ne isplati štedjeti ni na kupovini antivirusnih paketa. Bolje je kupiti licencirani paket, a ne instalirati primitivne programe koji navodno pružaju zaštitu u realnom vremenu samo od riječi programera.

A ako je prijetnja već ušla u sistem, redoslijed radnji bi trebao uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaje dešifriranja oštećenih podataka. Idealno - potpuno formatiranje (imajte na umu, ne brzo sa brisanjem sadržaja, već potpuno formatiranje, po mogućnosti sa vraćanjem ili zamjenom postojećeg sistema datoteka, sektora za pokretanje i zapisa).