Malware se obvykle snaží získat kontrolu nad počítačem, začlenit jej do sítě zombie nebo ukrást osobní data. Nepozorný uživatel si nemusí po dlouhou dobu všimnout, že je systém infikován. Ale ransomware, konkrétně xtbl, funguje úplně jiným způsobem. Dělají uživatelské soubory nepoužitelnými tím, že je šifrují nejsložitějším algoritmem a požadují od vlastníka velkou částku za příležitost obnovit informace.

Příčina problému: virus xtbl

Virus xtbl ransomware dostal své jméno podle toho, že jím zašifrované uživatelské dokumenty dostávají příponu .xtbl. Kodéry obvykle ponechávají klíč v těle souboru, takže univerzální dešifrovací program může obnovit informace v původní podobě. Virus je však navržen pro jiné účely, a tak se na obrazovce místo klíče objeví nabídka na zaplacení určité částky pomocí anonymních údajů.

Jak funguje xtbl virus

Virus se do počítače dostává prostřednictvím e-mailových zpráv s infikovanými přílohami, což jsou soubory kancelářských aplikací. Poté, co uživatel otevře obsah zprávy, malware začne vyhledávat fotografie, klíče, videa, dokumenty atd., a poté je pomocí původního komplexního algoritmu (hybridní šifrování) změní na úložiště xtbl.

Virus používá k ukládání svých souborů systémové složky.

Virus se sám přidá do spouštěcího seznamu. Chcete-li to provést, přidá položky do registru systému Windows do sekcí:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Infikovaný počítač funguje stabilně, systém „nepadá“, ale v paměti RAM je neustále malá aplikace (nebo dvě) s nesrozumitelným názvem. A složky s pracovními soubory uživatele získávají zvláštní vzhled.

Na ploše namísto úvodní obrazovky se zobrazí následující zpráva:

Vaše soubory byly zašifrovány. Chcete-li je dešifrovat, musíte kód odeslat na e-mailovou adresu: [e-mail chráněný](následuje kód). Poté obdržíte další pokyny. Nezávislé pokusy o dešifrování souborů povedou k jejich úplnému zničení.

Stejný text je obsažen ve vygenerovaném souboru How to decrypt your files.txt. E-mailová adresa, kód, požadovaná částka se mohou změnit.

Dost často někteří podvodníci vydělávají na jiných – do těla viru, který nemá jak soubory dešifrovat, se vloží číslo elektronické peněženky vyděračů. Takže důvěřivý uživatel, který posílá peníze, na oplátku nic nedostane.

Proč byste neměli platit vyděračům

Není možné se dohodnout na spolupráci s vyděrači nejen kvůli morálním zásadám. To je nerozumné i z praktického hlediska.

Jak chránit váš systém před virem

Univerzální pravidla proti malwaru a minimalizaci škod pomohou i v tomto případě.

Je možné obnovit zašifrované informace

Dobrou zprávou je, že obnova dat je možná. Špatná zpráva: nemůžete to udělat sami. Důvodem je zvláštnost šifrovacího algoritmu, jehož výběr klíče vyžaduje mnohem více zdrojů a nashromážděných znalostí, než má průměrný uživatel. Naštěstí vývojáři antivirů považují za věc cti se s každým malwarem vypořádat, takže i když si s vaším ransomwarem momentálně neví rady, za měsíc nebo dva určitě najdou řešení. Bude třeba být trpělivý.

Kvůli nutnosti kontaktovat specialisty se mění algoritmus pro práci s infikovaným počítačem. Obecné pravidlo: čím méně změn, tím lépe. Antiviry určují způsob léčby podle „generických vlastností“ škodlivého programu, proto jsou pro ně infikované soubory zdrojem důležitých informací. Musíte je odstranit až po vyřešení hlavního problému.

Druhé pravidlo: zastavit virus za každou cenu. Snad ještě nezkazil všechny informace a v paměti RAM zůstaly stopy po šifrovači, se kterým ho můžete identifikovat. Proto musíte okamžitě vypnout počítač ze sítě a vypnout notebook dlouhým stisknutím tlačítka sítě. Tentokrát nebude fungovat standardní „jemný“ postup vypnutí, který umožňuje bezproblémové ukončení všech procesů, protože jeden z nich kóduje vaše informace.

Obnova zašifrovaných souborů

Pokud jste vypnuli počítač

Pokud se vám podařilo vypnout počítač před koncem procesu šifrování, nemusíte jej zapínat sami. Vezměte „nemocné“ okamžitě ke specialistům, přerušené kódování výrazně zvyšuje šance na záchranu osobních souborů. Zde můžete také bezpečně zkontrolovat úložná média a vytvářet zálohy. S vysokou pravděpodobností bude známý samotný virus, takže léčba pro něj bude úspěšná.

Pokud je šifrování dokončeno

Bohužel šance na úspěšné přerušení procesu šifrování je velmi malá. Virus má obvykle čas na zakódování souborů a odstranění nepotřebných stop z počítače. A nyní máte dva problémy: Windows je stále infikován a osobní soubory se změnily na sadu znaků. K vyřešení druhého problému je třeba využít pomoci výrobců antivirového softwaru.

Dr. Web

Dr.Web Lab poskytuje své dešifrovací služby zdarma pouze majitelům komerčních licencí. Jinými slovy, pokud ještě nejste jejich zákazníkem, ale chcete obnovit své soubory, budete si muset program zakoupit. Vzhledem k současné situaci je to správná investice.

Dalším krokem je přejít na web výrobce a vyplnit vstupní formulář.

Pokud jsou mezi zašifrovanými soubory ty, jejichž kopie jsou uloženy na externích médiích, jejich přenos značně usnadní práci dekodérů.

Kaspersky

Společnost Kaspersky Lab vyvinula vlastní dešifrovací nástroj s názvem RectorDecryptor, který lze stáhnout do počítače z oficiálních webových stránek společnosti.

Každá verze operačního systému, včetně Windows 7, má svůj vlastní nástroj. Po stažení stiskněte na obrazovce tlačítko „Spustit skenování“.

Práce služeb se může na nějakou dobu zpozdit, pokud je virus relativně nový. V takovém případě společnost obvykle zasílá oznámení. Někdy může dešifrování trvat několik měsíců.

Ostatní služby

Služeb s podobnými funkcemi přibývá, což svědčí o poptávce po dešifrovacích službách. Algoritmus akcí je stejný: přejdeme na web (například https://decryptcryptolocker.com/), zaregistrujeme se a odešleme zašifrovaný soubor.

Dekodérové ​​programy

V síti existuje spousta nabídek „univerzálních dekodérů“ (samozřejmě placených), ale jejich užitečnost je pochybná. Samozřejmě, že pokud samotní výrobci virů napíší decryptor, bude úspěšně fungovat, ale stejný program bude pro další zákeřnou aplikaci k ničemu. Specialisté, kteří se pravidelně zabývají viry, navíc obvykle disponují kompletním balíkem potřebných utilit, takže mají vysokou pravděpodobnost, že budou mít všechny funkční programy. Nákup takového dekodéru bude pravděpodobně vyhozené peníze.

Jak dešifrovat soubory pomocí Kaspersky Lab - video

Vlastní obnova informací

Pokud z nějakého důvodu nemůžete kontaktovat specialisty třetích stran, můžete se pokusit informace obnovit sami. Učiníme rezervaci, že v případě selhání může dojít k trvalé ztrátě souborů.

Obnova smazaných souborů

Po zašifrování virus odstraní původní soubory. Windows 7 však všechny smazané informace nějakou dobu uchovává ve formě tzv. stínové kopie.

shadowexplorer

ShadowExplorer je nástroj určený k obnově souborů z jejich stínových kopií.

PhotoRec

Bezplatná utilita PhotoRec funguje na stejném principu, ale v dávkovém režimu.

Odstranění virů

Protože se virus dostal do počítače, nainstalované bezpečnostní programy nezvládly svůj úkol. Můžete zkusit získat pomoc zvenčí.

Důležité! Odstranění viru vyléčí počítač, ale neobnoví zašifrované soubory. Kromě toho může instalace nového softwaru poškodit nebo vymazat některé stínové kopie souborů potřebné k jejich obnovení. Proto je lepší instalovat aplikace na jiné disky.

Nástroj Kaspersky Virus Removal Tool

Bezplatný program od známého vývojáře antivirového softwaru, který lze stáhnout z webu Kaspersky Lab. Po spuštění nástroje Kaspersky Virus Removal Tool vás okamžitě vyzve ke spuštění kontroly.

Po stisknutí velkého tlačítka na obrazovce „Spustit skenování“ program spustí skenování počítače.

Zbývá počkat na konec skenování a odstranit nalezené nezvané hosty.

Malwarebytes Anti-malware

Další vývojář antivirového softwaru, který poskytuje bezplatnou verzi skeneru. Algoritmus akcí je stejný:

Co nedělat

Virus XTBL, stejně jako jiné ransomwarové viry, poškozuje systém i informace o uživateli. Pro snížení možného poškození je proto třeba přijmout některá opatření:

1. Nečekejte na dokončení šifrování. Pokud šifrování souborů začalo před vašimi očima, neměli byste čekat, jak vše skončí, nebo se pokusit proces přerušit pomocí softwarových nástrojů. Okamžitě vypněte napájení počítače a zavolejte specialisty.
2. Pokud můžete důvěřovat profesionálům, nepokoušejte se virus odstranit sami.
3. Neinstalujte systém znovu až do konce léčby. Virus bezpečně infikuje i nový systém.
4. Nepřejmenovávejte šifrované soubory. To jen zkomplikuje práci dekodéru.
5. Nepokoušejte se číst infikované soubory na jiném počítači, dokud není virus odstraněn. To může vést k šíření infekce.
6. Neplaťte vyděrače. To je zbytečné a povzbuzuje to tvůrce virů a podvodníky.
7. Nezapomínejte na prevenci. Instalace antiviru, pravidelné zálohování, vytváření bodů obnovení výrazně sníží možné škody malwarem.

Léčba počítače infikovaného virem ransomware je dlouhý a ne vždy úspěšný postup. Proto je při přijímání informací ze sítě a práci s neověřenými externími médii tak důležité přijmout opatření.

Krásný den všem, moji milí přátelé a čtenáři mého blogu. Dnes bude téma spíše smutné, protože se bude dotýkat virů. Dovolte mi, abych vám řekl o incidentu, který se nedávno stal v mé práci. Zaměstnanec mi na oddělení zavolal vzrušeným hlasem: „Dimo, virus zašifroval soubory v počítači: co mám teď dělat?“. Pak jsem si uvědomil, že to voní jako smaženice, ale nakonec jsem za ní šel.

Ano. Všechno se ukázalo být smutné. Většina souborů v počítači byla infikována, nebo spíše zašifrována: dokumenty Office, soubory PDF, databáze 1C a mnoho dalších. Obecně platí, že zadek je plný. Pravděpodobně pouze archivy, aplikace a textové dokumenty nebyly ovlivněny (no, a hromada dalších věcí). Všechna tato data změnila svou příponu a také změnila svůj název na něco jako sjd7gy2HjdlVnsjds.
Na ploše a ve složkách se také objevilo několik stejných dokumentů README.txt, které upřímně říkají, že je váš počítač infikován a že neprovádíte žádnou akci, nic nemažete, nekontrolujete antiviry, jinak soubory nelze vrátit .
Spis také říká, že tito milí lidé budou moci obnovit vše, jak to bylo. K tomu musí poslat klíč od dokumentu na svou poštu, poté obdržíte potřebné pokyny. Nepíšou cenu, ale ve skutečnosti se ukazuje, že náklady na vrácení jsou něco jako 20 000 rublů.

Stojí vaše data za ty peníze? Jste připraveni zaplatit za odstranění ransomwaru? Pochybuji. co potom dělat? Promluvme si o tom později. Mezitím začneme o všem po pořádku.

Odkud to pochází

Odkud pochází tento ošklivý šifrovací virus? Vše je zde velmi jednoduché. Jeho lidé vyzvednou přes e-mail. Tento virus zpravidla proniká do organizací, firemních poštovních schránek, i když nejen. Vzhledově si jej nespletete s kaku, protože nepochází ve formě spamu, ale od skutečně existující seriózní organizace, například jsme obdrželi dopis od poskytovatele Rostelecom z jejich oficiální pošty.

Dopis byl docela obyčejný, jako "Nové tarify pro právnické osoby." V příloze je soubor PDF. A když otevřete tento soubor, otevřete Pandořinu skříňku. Všechny důležité soubory jsou zašifrovány a jednoduchými slovy se promění v „cihlu“. Navíc antiviry tohle svinstvo hned tak nezachytí.

Co jsem udělal a co nefungovalo

Nikdo za to samozřejmě nechtěl dát 20 tisíc, protože informace nestály za tolik a navíc kontaktování podvodníků vůbec nepřichází v úvahu. A kromě toho není pravda, že za tuto částku se vám vše odemkne.

Prošel jsem utilitou drweb cureit a našel virus, ale bylo to málo použitelné, protože i po viru zůstaly soubory zašifrované. Ukázalo se, že odstranění viru je snadné, ale vyrovnat se s následky je již mnohem obtížnější. Dostal jsem se na fóra Doctor Web a Kaspersky a tam jsem našel téma, které jsem potřeboval, a také jsem zjistil, že ani tam, ani tam zatím nepomohou s dešifrováním. Vše bylo silně zašifrováno.

Ve výsledcích vyhledávání se ale začaly objevovat vyhledávače, které některé společnosti za poplatek dešifrují soubory. No, zaujalo mě to, zvláště když se ukázalo, že společnost je skutečná, skutečně existující. Na svých stránkách nabídli, že zdarma rozluští pět kusů, aby ukázali své schopnosti. Vzal jsem a poslal jsem jim podle mého názoru 5 nejdůležitějších souborů.
Po nějaké době mi přišla odpověď, že se jim vše podařilo rozluštit a že si ode mě vezmou 22 tisíc za kompletní dekódování. A nechtěli mi dát soubory. Okamžitě jsem předpokládal, že s největší pravděpodobností pracují v tandemu s podvodníky. No, samozřejmě, že byli posláni do pekla.

• pomocí programů Recuva a RStudio
• Provozováno různými utilitami
• No, abych se uklidnil, nemohl jsem si pomoct a nezkusil jsem (ačkoli jsem moc dobře věděl, že to nepomůže) jen marně pro správnou věc. Brad samozřejmě)

Nic z toho mi nepomohlo. Ale stále jsem našel cestu ven.\r\n\r\nSamozřejmě, pokud se vám taková situace náhle objeví, podívejte se na příponu, pomocí které jsou soubory šifrovány. Poté přejděte na http://support.kaspersky.ru/viruses/disinfection/10556 a podívejte se, jaká rozšíření jsou uvedena. Pokud je vaše rozšíření na seznamu, použijte tento nástroj.
Ale ve všech 3 případech, kdy jsem viděl tento ransomware, žádný z těchto nástrojů nepomohl. Konkrétně jsem se setkal s virózou da Vinciho kód a "KLENBA". V prvním případě se změnil název i přípona a ve druhém pouze přípona. Obecně je takových kryptografů celá hromada. Slyším takové bastardy jako xtbl, už žádné výkupné, radši zavolej saul a mnoho dalších.

Co pomohlo

Slyšeli jste někdy o stínových kopiích? Když je tedy vytvořen bod obnovení, automaticky se vytvoří stínové kopie vašich souborů. A pokud se s vašimi soubory něco stalo, můžete je vždy vrátit do okamžiku, kdy byl vytvořen bod obnovení. S tím nám pomůže jeden báječný program na obnovu souborů ze stínových kopií.

Začít stažení a nainstalujte program "Shadow Explorer". Pokud nejnovější verze spadne (to se stane), nainstalujte předchozí.

Přejděte do Průzkumníka stínů. Jak vidíme, hlavní část programu je podobná průzkumníku, tzn. soubory a složky. Nyní věnujte pozornost levému hornímu rohu. Tam vidíme písmeno místního disku a datum. Toto datum znamená, že všechny odeslané soubory na jednotce C jsou aktuální k danému okamžiku. Mám 30. listopadu. To znamená, že poslední bod obnovení byl vytvořen 30. listopadu.
Pokud klikneme na rozevírací seznam data, uvidíme, pro která data máme ještě stínové kopie. A pokud kliknete na rozbalovací seznam lokálních disků a vyberete například disk D, tak se nám zobrazí datum, ke kterému máme aktuální soubory. Ale pro disk D body se nevytvářejí automaticky, takže je potřeba tuto věc zaregistrovat v nastavení. to velmi snadné.
Jak vidíte, pokud pro disk C Mám docela čerstvé rande, pak řídit D Poslední bod vznikl téměř před rokem. No, pak to uděláme krok za krokem:

Všechno. Nyní zbývá jen počkat na dokončení exportu. A pak přejdeme do složky, kterou jste si vybrali, a zkontrolujeme všechny soubory z hlediska otevíratelnosti a výkonu. Všechno je úžasné).
Vím, že se na internetu nabízejí nějaké další metody, utility atd., ale o těch psát nebudu, protože jsem se s tímto problémem setkal již potřetí a ne jednou, nic jiného než stínové kopie mi nepomohlo. Možná mám ale jen smůlu.

Ale bohužel naposledy bylo možné obnovit pouze ty soubory, které byly na jednotce C, protože ve výchozím nastavení byly body vytvořeny pouze pro jednotku C. V souladu s tím nebyly pro jednotku D žádné stínové kopie. Samozřejmě je také potřeba nezapomínat na to, k čemu mohou body obnovení vést, takže na to také sledujte.

A aby se stínové kopie vytvářely pro ostatní pevné disky, potřebujete je také.

Prevence

Abyste se vyhnuli problémům s obnovou, musíte udělat prevenci. Chcete-li to provést, musíte dodržovat následující pravidla.

Mimochodem, kdysi tento virus zašifroval soubory na flash disku, kde byly umístěny naše certifikáty klíče digitálního podpisu. Takže s flash disky také buďte velmi opatrní.

S pozdravem Dmitrij Kostin.

Existuje široká škála malwaru. Mezi nimi jsou extrémně nepříjemné šifrovací viry, které jakmile jsou na počítači, začnou šifrovat uživatelské soubory. V některých případech existuje velká šance na dešifrování souborů, ale stává se, že to není možné. Zvážíme všechny potřebné úkony, jak pro první, tak pro druhý případ, v případech, kdy .

Tyto viry se mohou mírně lišit, ale obecně jsou jejich akce vždy stejné:

• nainstalovat do počítače;
• zašifrovat všechny soubory, které mohou mít alespoň nějakou hodnotu (dokumenty, fotografie);
• při pokusu o otevření těchto souborů požadujte, aby uživatel vložil určitou částku do peněženky nebo účtu útočníka, jinak nebude přístup k obsahu nikdy otevřen.

Soubory zašifrované virem v xtbl

V současné době se poměrně rozšířil virus, který dokáže zašifrovat soubory a změnit jejich příponu na .xtbl a také nahradit jejich název zcela náhodnými znaky.

Navíc je na nápadném místě vytvořen speciální soubor s instrukcemi. readme.txt. Útočník v něm staví uživatele před skutečnost, že všechna jeho důležitá data byla zašifrována a nyní je nelze tak snadno otevřít, a to doplňuje o to, že pro vrácení všeho do předchozího stavu je nutné k provedení určitých akcí souvisejících s převodem peněz podvodníkovi (předtím je obvykle nutné odeslat konkrétní kód na jednu z navrhovaných e-mailových adres). Často jsou takové zprávy také doplněny poznámkou, že pokud se pokusíte dešifrovat všechny své soubory sami, riskujete, že je navždy ztratíte.

Bohužel v tuto chvíli oficiálně nikdo .xtbl dešifrovat nedokázal, pokud se objeví funkční metoda, určitě o ní v článku informujeme. Mezi uživateli jsou tací, kteří měli podobnou zkušenost s tímto virem a zaplatili podvodníkům požadovanou částku a na oplátku obdrželi dešifrování svých dokumentů. Jde však o extrémně riskantní krok, protože mezi útočníky jsou i tací, kteří se slíbeným dešifrováním nijak zvlášť neobtěžují, nakonec to budou peníze do odpadu.

Co pak dělat, ptáte se? Nabízíme pár tipů, které vám pomohou získat všechna svá data zpět a zároveň se nenecháte vést podvodníky a dáte jim své peníze. A co je tedy potřeba udělat:

1. Pokud víte, jak pracovat ve Správci úloh, okamžitě přerušte šifrování souborů zastavením podezřelého procesu. Zároveň odpojte počítač od internetu – mnoho ransomwaru potřebuje síťové připojení.
2. Vezměte kus papíru a zapište si na něj kód navržený pro zaslání na poštu útočníkům (kus papíru, protože soubor, do kterého budete zapisovat, se také může stát nečitelným).
3. K odstranění malwaru použijte Malwarebytes Antimalware, vyzkoušejte Kaspersky IS Anti-Virus nebo CureIt. Pro větší spolehlivost je lepší důsledně používat všechny navrhované prostředky. Přestože aplikaci Kaspersky Anti-Virus nelze nainstalovat, pokud již systém obsahuje jeden hlavní antivirový program, jinak může dojít ke konfliktům softwaru. Všechny ostatní nástroje lze použít v jakékoli situaci.
4. Počkejte, až jedna z antivirových společností vyvine funkční dešifrovací nástroj pro takové soubory. Kaspersky Lab si poradí nejrychleji.
5. Navíc můžete poslat na [e-mail chráněný] kopii souboru, který byl zašifrován požadovaným kódem, a pokud existuje, stejný soubor v původní podobě. Je docela možné, že by to mohlo urychlit vývoj metody dešifrování souborů.

Za žádných okolností neprovádějte:

• přejmenování těchto dokumentů;
• změna jejich rozšíření;
• mazání souborů.

Tyto trojské koně také šifrují soubory uživatelů a následně je vymáhají. Šifrované soubory mohou mít zároveň následující přípony:

• .zamčeno
• .crypto
• .kraken
• .AES256 (ne nutně tento trojan, existují i ​​​​jiní, kteří instalují stejné rozšíření).
• [e-mail chráněný] _com
• .oshit
• A další.

Naštěstí již byl vytvořen speciální dešifrovací nástroj - RakhniDecryptor. Můžete si jej stáhnout z oficiálních stránek.

Na stejném webu najdete pokyny, které podrobně a jasně ukazují, jak pomocí nástroje dešifrovat všechny soubory, na kterých trojský kůň pracoval. V zásadě se pro větší spolehlivost vyplatí vyřadit položku pro mazání zašifrovaných souborů. Ale s největší pravděpodobností vývojáři odvedli dobrou práci při vytvoření nástroje a nic neohrožuje integritu dat.

Ti, kteří používají licencovaný antivirus Dr.Web, mají bezplatný přístup k dešifrování od vývojářů http://support.drweb.com/new/free_unlocker/.

Jiné typy ransomwarových virů

Někdy mohou narazit i na jiné viry, které zašifrují důležité soubory a vymáhají platbu za vrácení všeho do původní podoby. Nabízíme malý seznam s nástroji pro řešení důsledků nejběžnějších virů. Tam se také můžete seznámit s hlavními funkcemi, pomocí kterých můžete rozlišit jeden nebo jiný trojský program.

Kromě toho by bylo dobré prohledat váš počítač antivirem Kaspersky, který detekuje vetřelce a dá mu jméno. Pod tímto názvem už pro něj můžete hledat dekodér.

• Trojan-Ransom.Win32.Rector- typický vyděračský kodér, který vyžaduje, abyste posílali SMS nebo prováděli jiné akce tohoto druhu, přebíráme dešifrovač z tohoto odkazu.
• Trojan-Ransom.Win32.Xorist- variace předchozího trojského koně, můžete získat decryptor s průvodcem jeho použití.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- pro tyhle kluky je taky speciální utilita, koukněte na odkaz.
• Trojan.Encoder858, Trojan.Encoder.741- tento malware lze detekovat pomocí nástroje CureIt. Mají podobná jména, ale na konci jména mohou mít různá čísla. Hledáme dekodér podle názvu viru nebo, pokud používáte licencovaný Dr.Web, můžete se uchýlit k použití speciálního zdroje.
• CryptoLacker- Chcete-li získat své soubory zpět, navštivte tuto stránku a prostřednictvím ní vygenerujte speciální program pro obnovu vašich dokumentů.

Nedávno společnost Kaspersky Lab ve spolupráci se svými kolegy z Nizozemska vytvořila dešifrovací nástroj, který vám umožní obnovit soubory poté, co na ně zafungoval virus. CoinVault.

V komentářích se můžete podělit o své vlastní způsoby dešifrování souborů, protože tyto informace budou užitečné pro ostatní uživatele, kteří se mohou setkat s podobným škodlivým softwarem.

Bojujte proti novým virovým hrozbám - ransomware

Nedávno jsme psali, že se sítí šíří nové hrozby – ransomwarové viry nebo viry, které podrobněji šifrují soubory, více se o nich dočtete na našem webu, na tomto odkazu.

V tomto tématu vám řekneme, jak můžete vrátit data zašifrovaná virem, k tomu použijeme dva decryptory, z antivirů Kaspersky a Doctor Web, to jsou nejúčinnější metody pro vrácení zašifrovaných informací.

1. Stáhněte si nástroje pro dešifrování souborů pomocí odkazů: Kaspersky a Dr.WEB

Nebo dešifrovače pro konkrétní typ šifrovaných souborů, které jsou ve formátu .

2. Nejprve se pokusíme dešifrovat soubory pomocí programu od společnosti Kaspersky:

2.1. Spuštění programu Kaspersky decryptor, pokud požádá o nějaké akce, například povolení ke spuštění - spustíme jej, pokud požádá o aktualizaci - aktualizujeme, zvýší se tím šance na vrácení zašifrovaných dat

2.2. V okně programu, které se zobrazí pro dešifrování souborů, vidíme několik tlačítek. Nastavte pokročilé možnosti a začněte kontrolovat.

2.3. V případě potřeby vyberte další možnosti a určete umístění hledání pro zašifrované soubory a v případě potřeby po dešifrování smažte, tuto možnost nedoporučuji, soubory nejsou vždy dešifrovány správně!

2.4. Spustíme skenování a čekáme na dešifrování našich dat zašifrovaných virem.

3. Pokud první metoda nefungovala. Pokus o dešifrování souborů pomocí Dr. WEB

3.1. Poté, co si stáhnete dešifrovací aplikaci, vložte ji například do kořenového adresáře disku "C:"., takže soubor "te102decrypt.exe" by měl být dostupný na "c:\te102decrypt.exe"

3.2. Nyní přejděte na příkazový řádek(Start-Search-Zadejte "CMD" bez uvozovek-spusťte stisknutím Enter)

3.3. Chcete-li zahájit dešifrování souborů napište příkaz "c:\te102decrypt.exe -k 86 -e (kód šifrovače)". Kód ransomwaru je přípona připojená na konec souboru, například „ [e-mail chráněný] _45jhj" - píšeme to bez uvozovek a závorek, respektujeme mezery. Měli byste dostat něco jako c:\te102decrypt.exe -k 86 -e [e-mail chráněný] _45jhj

3.4. Stiskněte Enter a počkejte, až budou soubory dešifrovány které byly zašifrovány, v některých případech se vytvoří několik kopií dešifrovaných souborů, zkuste je spustit, uložte kopii dešifrovaného souboru, který se normálně otevře, zbytek lze smazat.

Stáhnout další dekodéry souborů:

Pozornost: nezapomeňte uložit kopii zašifrovaných souborů na externí médium nebo jiný počítač. Níže uvedené dešifrovače nemusí dešifrovat soubory, ale pouze je poškodit!

Nejlepší je spustit decryptor na virtuálním počítači nebo na speciálně připraveném počítači po stažení několika souborů.

Níže uvedené dekodéry fungují následovně: Vaše soubory jsou například zašifrovány kodérem amba a soubory vypadají jako „Contract.doc.amba“ nebo „Account.xls.amba“, poté si stáhněte decryptor pro soubory amba a spusťte jej, najde všechny soubory s tímto rozšířením a dešifrovat jej, ale opět, chraňte sebe a nejprve vytvořit kopii zašifrovaných souborů, jinak můžete navždy ztratit nesprávně dešifrovaná data!

Pokud nechcete riskovat, pošlete nám pár souborů, po kontaktování prostřednictvím formuláře pro zpětnou vazbu spustíme decryptor na speciálně připraveném počítači izolovaném od internetu.

Odeslané soubory byly zkontrolovány nejnovější verzí Kaspersky Anti-Virus as nejnovějšími aktualizacemi databáze.

To, že je internet plný virů, už dnes nikoho nepřekvapuje. Mnoho uživatelů vnímá situace související s jejich dopadem na systémy nebo osobní data, mírně řečeno, skrz prsty, ale jen do doby, než se v systému konkrétně usídlí šifrovací virus. Většina běžných uživatelů neví, jak vyléčit a dešifrovat data uložená na pevném disku. Proto je tento kontingent „veden“ k požadavkům kladeným vetřelci. Pojďme se ale podívat, co lze dělat, pokud je taková hrozba detekována nebo jak zabránit jejímu průniku do systému.

Co je to ransomware virus?

Tento typ hrozby využívá standardní a nestandardní algoritmy šifrování souborů, které zcela mění jejich obsah a blokují přístup. Například otevření zašifrovaného textového souboru pro čtení nebo úpravy, stejně jako přehrávání multimediálního obsahu (grafika, video nebo zvuk), po vystavení viru, bude absolutně nemožné. Nejsou dostupné ani standardní akce pro kopírování nebo přesouvání objektů.

Samotné softwarové nacpání viru je nástrojem, který šifruje data tak, že ne vždy je možné obnovit jejich původní stav ani po odstranění hrozby ze systému. Tyto škodlivé programy obvykle vytvářejí své kopie a usazují se velmi hluboko v systému, takže odstranění viru šifrování souborů může být zcela nemožné. Odinstalováním hlavního programu nebo smazáním hlavního těla viru se uživatel nezbaví dopadu hrozby, nemluvě o obnově zašifrovaných informací.

Jak se hrozba dostane do systému?

Hrozby tohoto typu jsou zpravidla zacíleny většinou na velké komerční struktury a mohou proniknout do počítačů prostřednictvím emailových programů, když zaměstnanec otevře údajně přiložený dokument v emailu, který je řekněme dodatkem k nějaké smlouvě o spolupráci nebo ke zboží plán zásobování (komerční nabídky s investicemi z pochybných zdrojů – první cesta pro virus).

Potíž je v tom, že šifrovací virus na počítači, který má přístup do místní sítě, se mu dokáže přizpůsobit a vytvářet vlastní kopie nejen v síťovém prostředí, ale také na terminálu správce, pokud mu chybí potřebné ochranné nástroje v ve formě antivirového softwaru, firewallu nebo firewallu.

Někdy mohou takové hrozby proniknout i do počítačových systémů běžných uživatelů, které vesměs vetřelce nezajímají. K tomu dochází v době instalace některých programů stažených z pochybných internetových zdrojů. Mnoho uživatelů na začátku stahování ignoruje varování systému antivirové ochrany a během procesu instalace nevěnuje pozornost nabídkám na instalaci dalšího softwaru, panelů nebo zásuvných modulů pro prohlížeče, a pak, jak říkají kousnou se do loktů.

Odrůdy virů a trochu historie

Hrozby tohoto typu, zejména nejnebezpečnější šifrovací virus No_more_ransom, jsou v zásadě klasifikovány nejen jako nástroje pro šifrování dat nebo blokování přístupu k nim. Ve skutečnosti jsou všechny tyto škodlivé aplikace kategorizovány jako ransomware. Jinými slovy, útočníci požadují určitou částku peněz za dešifrování informací v domnění, že tento proces nebude možné provést bez počátečního programu. Částečně to tak také je.

Když ale zabrousíte do historie, zjistíte, že jedním z úplně prvních virů tohoto typu, i když nenáročného na peníze, byl nechvalně známý aplet I Love You, který kompletně šifroval multimediální soubory (hlavně hudební skladby) na uživatelských systémech. Dešifrování souborů po viru ransomware se v té době ukázalo jako nemožné. Nyní se právě s touto hrozbou dá elementárně bojovat.

Vývoj samotných virů nebo použitých šifrovacích algoritmů však nezůstává stát. Co je mezi viry - zde máte XTBL a CBF a Breaking_Bad a [e-mail chráněný] a hromada dalších kravin.

Metodika ovlivňování uživatelských souborů

A pokud byla až donedávna většina útoků prováděna pomocí algoritmů RSA-1024 založených na šifrování AES se stejnou bitovou hloubkou, stejný šifrovací virus No_more_ransom je nyní prezentován v několika interpretacích pomocí šifrovacích klíčů založených na RSA-2048 a dokonce i RSA-3072. technologií.

Problémy dekódování použitých algoritmů

Problém je v tom, že moderní dešifrovací systémy se tváří v tvář takovému nebezpečí ukázaly jako bezmocné. Dešifrování souborů po šifrovacím viru založeném na AES256 je stále nějakým způsobem podporováno a s vyšší bitovou rychlostí klíče téměř všichni vývojáři prostě krčí rameny. To mimochodem oficiálně potvrdili specialisté z Kaspersky Lab a Eset.

V nejprimitivnější verzi je uživatel, který kontaktoval službu podpory, vyzván k odeslání zašifrovaného souboru a jeho originálu k porovnání a dalším operacím k určení šifrovacího algoritmu a metod obnovy. Ale zpravidla to ve většině případů nefunguje. Šifrovací virus však dokáže dešifrovat soubory sám, jak se věří, za předpokladu, že oběť souhlasí s podmínkami útočníků a zaplatí určitou částku v penězích. Taková formulace otázky však vyvolává oprávněné pochybnosti. A právě proto.

Šifrovací virus: jak vyléčit a dešifrovat soubory a lze to udělat?

Údajně po zaplacení hackeři aktivují dešifrování prostřednictvím vzdáleného přístupu ke svému viru, který je uložen v systému, nebo prostřednictvím dalšího appletu, pokud je tělo viru odstraněno. Vypadá to více než pochybně.

Rád bych také poznamenal, že internet je plný falešných příspěvků, které uvádějí, že byla podle nich zaplacena požadovaná částka a data byla úspěšně obnovena. Všechno to jsou lži! A pravdou je - kde je záruka, že po zaplacení se šifrovací virus v systému znovu neaktivuje? Pochopit psychologii zlodějů není těžké: když zaplatíte jednou, zaplatíte znovu. A pokud jde o zvláště důležité informace, jako je konkrétní komerční, vědecký nebo vojenský vývoj, vlastníci těchto informací jsou připraveni zaplatit, kolik chtějí, pokud soubory zůstanou v bezpečí.

První lék na hrozbu

Taková je povaha ransomwarového viru. Jak vyléčit a dešifrovat soubory po vystavení hrozbě? Ano, v žádném případě, pokud neexistují žádné improvizované prostředky, které také ne vždy pomohou. Ale zkusit to můžeš.

Předpokládejme, že se v systému objevil ransomware virus. Jak vyléčit infikované soubory? Nejprve byste měli provést hloubkovou kontrolu systému bez použití technologie S.M.A.R.T., která umožňuje detekci hrozeb pouze v případě poškození spouštěcích sektorů a systémových souborů.

Je vhodné nepoužívat stávající standardní skener, který již hrozbu minul, ale používat přenosné utility. Nejlepší možností by bylo zavést systém ze záchranného disku Kaspersky, který se může spustit ještě dříve, než začne fungovat operační systém.

Ale to je jen polovina úspěchu, protože tímto způsobem se můžete zbavit pouze samotného viru. S dekodérem to ale bude složitější. Ale o tom později.

Existuje další kategorie, do které spadají ransomwarové viry. O tom, jak informace dešifrovat, bude řeč samostatně, ale nyní se soustřeďme na to, že mohou v systému existovat zcela otevřeně v podobě oficiálně nainstalovaných programů a aplikací (arogance útočníků nezná mezí, jelikož hrozba není dokonce se pokusit zamaskovat).

V tomto případě byste měli použít sekci Programy a funkce, kde se provádí standardní odinstalace. Musíte však věnovat pozornost skutečnosti, že standardní odinstalátor systémů Windows neodstraní úplně všechny programové soubory. Virus pro šifrování výkupného je zejména schopen vytvářet své vlastní složky v kořenových adresářích systému (obvykle se jedná o adresáře Csrss, kde je přítomen stejnojmenný spustitelný soubor csrss.exe). Jako hlavní umístění jsou vybrány adresáře Windows, System32 nebo uživatelé (Uživatelé na systémové jednotce).

Kromě toho šifrovací virus No_more_ransom zapisuje své vlastní klíče do registru jako odkaz na oficiální službu Client Server Runtime Subsystem, což mnohé mate, protože tato služba by měla být zodpovědná za interakci mezi klientským a serverovým softwarem. Samotný klíč se nachází ve složce Run, do které se dostanete přes větev HKLM. Je jasné, že takové klíče budete muset smazat ručně.

Pro usnadnění můžete použít nástroje jako iObit Uninstaller, které automaticky vyhledávají zbytkové soubory a klíče registru (ale pouze v případě, že je virus v systému viditelný jako nainstalovaná aplikace). Ale to je nejjednodušší.

Řešení nabízená vývojáři antivirového softwaru

Předpokládá se, že dešifrování šifrovacího viru lze provést pomocí speciálních nástrojů, ačkoli pokud existují technologie s klíčem 2048 nebo 3072 bitů, neměli byste se na ně zvlášť spoléhat (kromě toho mnoho z nich po dešifrování odstraní soubory a poté obnovené soubory zmizí kvůli chybě přítomnosti těla viru, které ještě nebylo odstraněno).

Nicméně zkusit to můžete. Ze všech programů stojí za vyzdvihnutí RectorDecryptor a ShadowExplorer. Věří se, že nic lepšího zatím nebylo vytvořeno. Problém ale může spočívat také v tom, že když se pokusíte použít decryptor, není zaručeno, že vyléčené soubory nebudou smazány. To znamená, že pokud se viru zpočátku nezbavíte, jakýkoli pokus o dešifrování bude odsouzen k neúspěchu.

Kromě smazání zašifrovaných informací může dojít k fatálnímu výsledku – celý systém bude nefunkční. Moderní ransomware virus navíc může ovlivnit nejen data uložená na pevném disku počítače, ale také soubory v cloudovém úložišti. A neexistují žádná řešení pro obnovu dat. Navíc, jak se ukázalo, v mnoha službách jsou přijímána nedostatečně účinná ochranná opatření (stejný vestavěný OneDrive ve Windows 10, který je ovlivněn přímo z operačního systému).

Radikální řešení problému

Jak je již zřejmé, většina moderních metod nedává pozitivní výsledek při infekci takovými viry. Samozřejmě, pokud existuje originál poškozeného souboru, lze jej odeslat do antivirové laboratoře k prozkoumání. Je pravda, že existují vážné pochybnosti, že běžný uživatel vytvoří záložní kopie dat, která po uložení na pevný disk mohou být také vystavena škodlivému kódu. A o tom, že aby se uživatelé vyhnuli problémům, kopírují informace na vyměnitelná média, vůbec nemluvíme.

Pro zásadní řešení problému se tedy nabízí závěr: úplné zformátování pevného disku a všech logických oddílů s odstraněním informací. Tak co dělat? Pokud nechcete, aby se virus nebo jeho vlastní kopie v systému znovu aktivovaly, budete muset přispět.

K tomu byste neměli používat nástroje samotných systémů Windows (myšleno formátování virtuálních diskových oddílů, protože pokus o přístup k systémovému disku bude zakázán). Je lepší použít bootování z optických médií, jako je LiveCD, nebo instalačních distribucí, jako jsou ty vytvořené pomocí nástroje Media Creation Tool pro Windows 10.

Před zahájením formátování, za předpokladu, že je virus ze systému odstraněn, můžete zkusit obnovit integritu systémových komponent pomocí příkazového řádku (sfc / scannow), ale nebude to fungovat z hlediska dešifrování a odemykání dat. Formát c: je tedy jediné správné možné řešení, ať se vám to líbí nebo ne. To je jediný způsob, jak se zcela zbavit těchto typů hrozeb. Bohužel, není jiné cesty! Bezmocná je i léčba standardními nástroji, které nabízí většina antivirových balíčků.

Místo doslovu

Z hlediska samozřejmých závěrů nezbývá než konstatovat, že dnes neexistuje jediné a univerzální řešení, jak eliminovat důsledky dopadu takových hrozeb (smutné, ale pravdivé - potvrzuje to většina vývojářů antivirového softwaru a odborníků na kryptografii) .

Zůstává nejasné, proč výskyt algoritmů založených na 1024-, 2048- a 3072bitovém šifrování prošel těmi, kteří se přímo podílejí na vývoji a implementaci takových technologií? Algoritmus AES256 je dnes skutečně považován za nejslibnější a nejbezpečnější. Oznámení! 256! Tento systém, jak se ukazuje, není vhodný pro moderní viry. Co tedy říci o pokusech o dešifrování jejich klíčů?

Ať je to jakkoli, je docela snadné vyhnout se zavedení hrozby do systému. V nejjednodušším případě by všechny příchozí zprávy s přílohami v Outlooku, Thunderbirdu a dalších e-mailových klientech měly být ihned po obdržení zkontrolovány antivirem a v žádném případě neotevírejte přílohy, dokud nebude kontrola dokončena. Při instalaci některých programů byste si také měli pečlivě přečíst návrhy na instalaci dalšího softwaru (obvykle jsou napsány velmi malým písmem nebo maskované jako standardní doplňky, jako je aktualizace Flash Player nebo něco jiného). Komponenty médií se nejlépe aktualizují prostřednictvím oficiálních stránek. Jedině tak lze alespoň nějak zabránit pronikání takových hrozeb do vlastního systému. Důsledky mohou být zcela nepředvídatelné, protože viry tohoto typu se okamžitě šíří v místní síti. A pro společnost se takový obrat událostí může změnit ve skutečný kolaps všech podniků.

A konečně, správce systému by neměl nečinně sedět. Softwarovou ochranu v takové situaci je lepší vyloučit. Stejný firewall (firewall) by neměl být software, ale „hardware“ (samozřejmě se souvisejícím softwarem na palubě). A je samozřejmé, že šetřit na nákupu antivirových balíčků se také nevyplatí. Je lepší koupit licencovaný balíček, než instalovat primitivní programy, které údajně poskytují ochranu v reálném čase pouze před slovy vývojáře.

A pokud hrozba již pronikla do systému, sled akcí by měl zahrnovat odstranění samotného těla viru a teprve poté pokusy o dešifrování poškozených dat. Ideálně úplný formát (poznámka, ne rychlý s vymazáním obsahu, ale úplný, nejlépe s obnovením nebo nahrazením stávajícího souborového systému, boot sektorů a záznamů).