A rosszindulatú programok munkája jellemzően a számítógép feletti irányítás megszerzésére, zombihálózatba való beépítésére vagy személyes adatok ellopására irányul. Előfordulhat, hogy egy figyelmetlen felhasználó sokáig nem veszi észre, hogy a rendszer fertőzött. De a ransomware vírusok, különösen az xtbl, teljesen más módon működnek. Használhatatlanná teszik a felhasználói fájlokat azáltal, hogy a legbonyolultabb algoritmussal titkosítják őket, és nagy összeget követelnek a tulajdonostól az információk helyreállításának lehetőségéért.

A probléma oka: xtbl vírus

Az xtbl ransomware vírus onnan kapta a nevét, hogy az általa titkosított felhasználói dokumentumok .xtbl kiterjesztést kapnak. Általában a kódolók kulcsot hagynak a fájltörzsben, hogy egy univerzális dekódoló program vissza tudja állítani az információt eredeti formájában. A vírust azonban más célokra szánják, így kulcs helyett egy ajánlat jelenik meg a képernyőn egy bizonyos összeg befizetésére, névtelen számlaadatok felhasználásával.

Hogyan működik az xtbl vírus

A vírus e-mail üzeneteken keresztül jut be a számítógépbe fertőzött mellékletekkel, amelyek irodai alkalmazások fájljai. Miután a felhasználó megnyitotta az üzenet tartalmát, a kártevő elkezd fotókat, kulcsokat, videókat, dokumentumokat és így tovább keresni, majd egy eredeti összetett algoritmus (hibrid titkosítás) segítségével xtbl-tárolókká alakítja azokat.

A vírus rendszermappákat használ a fájlok tárolására.

A vírus felveszi magát az indítási listára. Ehhez bejegyzéseket ad a Windows rendszerleíró adatbázisába a következő szakaszokban:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

A fertőzött számítógép stabilan működik, a rendszer nem „lefagy”, de a RAM-ban mindig van egy (vagy kettő) kis, érthetetlen nevű alkalmazás. A felhasználó munkafájljait tartalmazó mappák pedig furcsa kinézetet kapnak.

A kezdőképernyő helyett egy üzenet jelenik meg az asztalon:

A fájljai titkosítva lettek. A visszafejtéshez el kell küldenie a kódot a következő e-mail címre: [e-mail védett](a kód következik). Ezután további utasításokat fog kapni. A fájlok visszafejtésére irányuló független kísérletek azok teljes megsemmisüléséhez vezetnek.

Ugyanezt a szöveget tartalmazza a létrehozott How to Decrypt your files.txt fájl. E-mail cím, kód, kért összeg változhat.

Gyakran előfordul, hogy egyes csalók pénzt keresnek másokon - a zsarolóprogramok e-pénztárcájának számát beillesztik a vírus testébe, és nincs mód a fájlok visszafejtésére. Tehát egy hiszékeny felhasználó, aki pénzt küldött, nem kap cserébe semmit.

Miért nem érdemes ransomware-t fizetni?

Nem csak az erkölcsi elvek miatt nem lehet megegyezni a zsarolókkal való együttműködésről. Ez gyakorlati szempontból ésszerűtlen.

Hogyan védheti meg rendszerét a vírusoktól

A rosszindulatú programok elleni védelemre és a károk minimalizálására vonatkozó univerzális szabályok ebben az esetben is segítenek.

Lehetséges-e visszaállítani a titkosított információkat?

Jó hír: lehetséges az adatok helyreállítása. Rossz: ezt egyedül nem tudod megtenni. Ennek oka a titkosítási algoritmus sajátossága, amelyhez a kulcs kiválasztása sokkal több erőforrást és felhalmozott tudást igényel, mint egy átlagos felhasználóé. Szerencsére a vírusirtó fejlesztők becsületbeli ügynek tekintik, hogy minden rosszindulatú programmal foglalkozzanak, így még ha jelenleg nem is tudják kezelni a ransomware-t, egy-két hónapon belül biztosan találnak megoldást. Türelmesnek kell lennünk.

A szakemberekkel való kapcsolatfelvétel szükségessége miatt megváltozik a fertőzött számítógéppel végzett munka algoritmusa. Általános szabály, hogy minél kevesebb változás, annál jobb. Az antivírusok a rosszindulatú programok általános jellemzői alapján határozzák meg a kezelés módját, ezért a fertőzött fájlok fontos információforrást jelentenek számukra. Csak a fő probléma megoldása után szabad eltávolítani őket.

A második szabály, hogy bármi áron meg kell szakítani a vírus munkáját. Talán még nem rontott el minden információt, és a RAM-ban maradtak a ransomware nyomai, amelyek segítségével azonosítani lehet. Ezért azonnal ki kell kapcsolnia a számítógépet a hálózatról, és ki kell kapcsolnia a laptopot a hálózati gomb hosszú megnyomásával. Ezúttal a szabványos „gondos” leállítási eljárás, amely lehetővé teszi az összes folyamat helyes végrehajtását, nem fog működni, mivel az egyik az Ön információinak kódolása.

Titkosított fájlok helyreállítása

Ha sikerült kikapcsolni a számítógépet

Ha sikerült kikapcsolnia a számítógépet a titkosítási folyamat vége előtt, akkor nem kell saját maga bekapcsolnia. Vigye a "pácienst" közvetlenül a szakemberekhez, a megszakított kódolás jelentősen növeli a személyes fájlok mentésének esélyét. Itt ellenőrizheti az adathordozót csökkentett módban, és biztonsági másolatot készíthet. Nagy valószínűséggel maga a vírus is ismert lesz, így a kezelés sikeres lesz.

Ha a titkosítás befejeződött

Sajnos a titkosítási folyamat sikeres megszakításának valószínűsége nagyon kicsi. Általában a vírusnak van ideje kódolni a fájlokat és eltávolítani a szükségtelen nyomokat a számítógépről. És most két probléma van: a Windows továbbra is fertőzött, és a személyes fájlok karakterkészletté váltak. A második probléma megoldásához víruskereső szoftvergyártók segítségét kell igénybe venni.

Dr.Web

A Dr.Web Laboratory csak a kereskedelmi engedéllyel rendelkezők számára nyújtja ingyenesen a visszafejtési szolgáltatásait. Más szóval, ha Ön még nem a kliensük, de vissza szeretné állítani a fájljait, akkor meg kell vásárolnia a programot. A jelenlegi helyzetben ez a megfelelő befektetés.

A következő lépés az, hogy felkeresi a gyártó webhelyét, és kitölti a jelentkezési lapot.

Ha a titkosított fájlok között vannak olyan másolatok, amelyeket külső adathordozóra mentettek, ezek átvitele nagyban megkönnyíti a dekóderek munkáját.

Kaspersky

A Kaspersky Lab saját visszafejtő segédprogramot fejlesztett ki RectorDecryptor néven, amely a cég hivatalos weboldaláról tölthető le számítógépre.

Az operációs rendszer minden verziója, beleértve a Windows 7-et is, saját segédprogrammal rendelkezik. Betöltés után nyomja meg az "Ellenőrzés indítása" gombot.

A szolgáltatások eltarthat egy ideig, ha a vírus viszonylag új. Ilyenkor a cég általában értesítést küld. Néha a visszafejtés több hónapig is eltarthat.

Egyéb szolgáltatások

Egyre több a hasonló funkciójú szolgáltatás, ami a visszafejtési szolgáltatások iránti igényt jelzi. A műveletek algoritmusa ugyanaz: menjen a webhelyre (például https://decryptolocker.com/), regisztráljon és küldje el a titkosított fájlt.

Dekóder programok

Nagyon sok „univerzális dekóder” van (természetesen fizetős) a hálózaton, de ezek hasznossága megkérdőjelezhető. Természetesen, ha maguk a vírusgyártók írnak egy dekódert, az sikeresen működik, de ugyanaz a program használhatatlan lesz egy másik rosszindulatú alkalmazás számára. Ráadásul a vírusokkal rendszeresen találkozó szakemberek általában a szükséges segédprogramok teljes csomagjával rendelkeznek, így nagy valószínűséggel minden működő programjuk van. Egy ilyen dekóder vásárlása valószínűleg pénzkidobás.

Fájlok visszafejtése a Kaspersky Lab segítségével - videó

Önkiszolgáló információ-helyreállítás

Ha valamilyen oknál fogva lehetetlen kapcsolatba lépni harmadik fél szakértőivel, megpróbálhatja saját maga visszaállítani az információkat. Foglalkozzunk azzal, hogy meghibásodás esetén a fájlok végleg elveszhetnek.

Törölt fájlok helyreállítása

A titkosítás után a vírus törli az eredeti fájlokat. A Windows 7 azonban egy ideig minden törölt információt tárol egy úgynevezett árnyékmásolat formájában.

ShadowExplorer

A ShadowExplorer egy olyan segédprogram, amely a fájlok árnyékmásolataikból való helyreállítására szolgál.

PhotoRec

Az ingyenes PhotoRec segédprogram ugyanúgy működik, csak kötegelt módban.

Vírus eltávolítás

Mivel a vírus bejutott a számítógépbe, a telepített biztonsági programok nem tudtak megbirkózni a feladatukkal. Kipróbálhatja harmadik fél segítségét.

Fontos! A vírus eltávolítása meggyógyítja a számítógépet, de nem állítja vissza a titkosított fájlokat. Ezenkívül az új szoftverek telepítése károsíthatja vagy törölheti a fájlok visszaállításához szükséges árnyékmásolatokat. Ezért jobb, ha más meghajtókra telepíti az alkalmazásokat.

Kaspersky víruseltávolító eszköz

Egy jól ismert vírusirtó szoftverfejlesztő ingyenes programja, amely letölthető a Kaspersky Lab webhelyéről. A Kaspersky Virus Removal Tool elindítása után azonnal felszólítja a keresés megkezdésére.

A képernyőn megjelenő nagy "Vizsgálat indítása" gomb megnyomása után a program megkezdi a számítógép átvizsgálását.

Meg kell várni a vizsgálat végét, és törölni kell a talált hívatlan vendégeket.

Malwarebytes Anti-malware

Egy másik víruskereső szoftverfejlesztő, amely a szkenner ingyenes verzióját biztosítja. A műveletek algoritmusa ugyanaz:

Mit ne tegyen

Az XTBL vírus a többi ransomware vírushoz hasonlóan károsítja a rendszert és a felhasználói információkat is. Ezért a lehetséges károk csökkentése érdekében bizonyos óvintézkedéseket kell tenni:

1. Ne várja meg a titkosítás végét. Ha a fájlok titkosítása az Ön szeme láttára kezdődött, ne várja meg, amíg minden véget ér, és ne próbálja meg megszakítani a folyamatot szoftverrel. Azonnal húzza ki a számítógépet, és hívjon szerviztechnikust.
2. Ne próbálja meg saját maga eltávolítani a vírust, ha megbízhat a szakemberekben.
3. Ne telepítse újra a rendszert a kezelés végéig. A vírus biztonságosan megfertőzi az új rendszert is.
4. Ne nevezze át a titkosított fájlokat. Ez csak megnehezíti a dekóder munkáját.
5. Ne próbálja meg elolvasni a fertőzött fájlokat egy másik számítógépen, amíg a vírust el nem távolítja. Ez terjesztheti a fertőzést.
6. Ne fizessen a zsarolóknak. Haszontalan, és bátorítja a víruskészítőket és a csalókat.
7. Ne feledkezzünk meg a megelőzésről sem. A víruskereső telepítése, a rendszeres biztonsági mentések és a visszaállítási pontok létrehozása jelentősen csökkenti a rosszindulatú programok által okozott lehetséges károkat.

A ransomware vírussal fertőzött számítógép gyógyítása hosszú és nem mindig sikeres eljárás. Ezért nagyon fontos betartani az óvintézkedéseket, amikor információkat szerez a hálózatról, és nem ellenőrzött külső adathordozókkal dolgozik.

Szép napot mindenkinek, kedves barátaim és blogom olvasói. Ma a téma meglehetősen szomorú lesz, mert a vírusokat érinti. Mesélek egy esetről, ami nem is olyan régen történt a munkahelyemen. Egy alkalmazott izgatott hangon felhívott az osztályon: „Dima, a vírus titkosította a fájlokat a számítógépen: most mit tegyek?”. Aztán rájöttem, hogy a tok sült szagú, de végül elmentem hozzá.

Igen. Minden szomorúnak bizonyult. A számítógépen található fájlok többsége fertőzött, vagy inkább titkosított volt: Office dokumentumok, PDF fájlok, 1C adatbázisok és még sok más. Általában a szamár kész. Valószínűleg csak az archívumokat, az alkalmazásokat és a szöveges dokumentumokat nem érintette (na és még sok minden mást). Mindezek az adatok megváltoztatták a kiterjesztését, és a nevüket is valami olyasmire, mint sjd7gy2HjdlVnsjds.
Emellett több azonos dokumentum is megjelent a README.txt az asztalon és mappákban, őszintén azt mondják, hogy a számítógépe fertőzött, és hogy ne tegyen semmit, ne töröljön semmit, ne ellenőrizze a víruskereső szoftvert, különben a fájlok nem fognak vissza kell adni.
A fájl azt is mondja, hogy ezek a kedves emberek mindent vissza tudnak állítani úgy, ahogy volt. Ehhez el kell küldeniük a kulcsot a dokumentumból a postafiókjukba, amely után megkapja a szükséges utasításokat. Nem írják meg az árat, de valójában kiderül, hogy a visszaküldés költsége körülbelül 20 000 rubel.

Megérik az adataid a pénzt? Készen állsz fizetni a ransomware eltávolításáért? Kétlem. Akkor mit kell tenni? Beszéljünk erről később. Addig is kezdjünk el mindent sorban.

Honnan származik

Honnan származik ez a csúnya ransomware vírus? Itt minden nagyon egyszerű. Az emberek e-mailben veszik fel. Általában ez a vírus behatol szervezetekbe, vállalati postafiókokba, bár nem csak. Látszólag nem kakunak veszed, hiszen nem spam formájában érkezik, hanem egy valóban létező komoly szervezettől, például a Rostelecom szolgáltatójától kaptunk levelet a hivatalos postájukról.

A levél teljesen hétköznapi volt, például "Új tarifacsomagok jogi személyeknek". Belül egy PDF fájl található. És amikor megnyitja azt a fájlt, kinyitja Pandora szelencéjét. Minden fontos fájl titkosítva van, és egyszerű szavakkal "téglává" válik. És a vírusirtó nem fogja azonnal ezt a baromságot.

Mit csináltam és mi nem sikerült

Nálunk természetesen senki nem akart ezért 20 ezret fizetni, hiszen az információ nem került olyan sokba, ráadásul a csalókkal való kapcsolatfelvétel egyáltalán nem volt lehetőség. És emellett nem tény, hogy ezért az összegért mindent feloldanak.

Átnéztem a drweb cureit segédprogramot és talált egy vírust, de nem sok értelme volt, mert a vírus után is titkosítva maradtak a fájlok. A vírus eltávolítása könnyűnek bizonyult, de a következményekkel való megbirkózás sokkal nehezebb. Elmentem a Doctor Web és a Kaspersky fórumaira, ott megtaláltam a számomra szükséges témát, és azt is megtudtam, hogy se ott, se ott nem tudnak segíteni a visszafejtésben. Minden nagyon erősen titkosítva volt.

Másrészt a keresőmotorok olyan eredményekkel kezdtek megjelenni, amelyek szerint egyes cégek fizetett alapon dekódolják a fájlokat. Nos, ez érdekelt, főleg, hogy a cég valódinak bizonyult, valóban létezőnek bizonyult. Weboldalukon felajánlották, hogy öt darabot ingyen megfejtenek, hogy megmutathassák képességeiket. Nos, elvettem és elküldtem nekik a véleményem szerint az 5 legfontosabb fájlt.
Egy idő után azt a választ kaptam, hogy sikerült mindent megfejteni, és 22 ezret vesznek el tőlem egy komplett dekódolásért. És nem akarták nekem adni az aktákat. Így azonnal feltételeztem, hogy nagy valószínűséggel együtt dolgoznak a csalókkal. Hát persze, hogy a pokolba küldték.

• a "Recuva" és az "RStudio" programokkal
• Különféle segédprogramok működtetik
• Nos, hogy megnyugodjak, nem tudtam nem próbálkozni (bár jól tudtam, hogy ez nem segít), ez egyszerűen elcsépelt jobbra. Brad természetesen)

Nekem ezek közül egyik sem működött. De így is találtam kiutat.\ R \ n \ r \ nPersze, ha hirtelen ilyen helyzetbe kerül, akkor nézze meg, milyen kiterjesztéssel vannak titkosítva a fájlok. Ezt követően menjen a http://support.kaspersky.com/viruses/disinfection/10556és nézze meg, hogy mely kiterjesztések vannak felsorolva. Ha a kiterjesztés szerepel a listán, használja ezt a segédprogramot.
De mind a 3 esetben, amit ezekkel a ransomware-ekkel láttam, egyik segédprogram sem segített. Konkrétan találkoztam egy vírussal "Da Vinci kód"és "BOLTOZAT"... Az első esetben a név és a kiterjesztés is megváltozott, a másodikban pedig csak a kiterjesztés. Általában egy csomó ilyen ransomware létezik. Olyan baromokat hallok, mint xtbl, nincs több váltságdíj, jobb, ha Sault hívják és még sokan mások.

Mi segített

Hallottál már az árnyékmásolatokról? Tehát a visszaállítási pont létrehozásakor automatikusan létrejön a fájlok árnyékmásolata. És ha valami történt a fájlokkal, akkor mindig visszaállíthatja azokat a visszaállítási pont létrehozásának pillanatába. Ebben segít nekünk egy nagyszerű program az árnyékmásolatokból történő fájlok helyreállítására.

Kezdeni Letöltésés telepítse az "Shadow Explorer" programot. Ha a legújabb verzió hibát okoz (megtörténik), akkor telepítse az előzőt.

Lépjen a Shadow Explorerbe. Amint látjuk, a program fő része hasonló az explorer-hez, i.e. fájlok és mappák. Most figyeljen a bal felső sarokra. Ott látjuk a helyi meghajtó betűjelét és dátumát. Ez a dátum azt jelenti, hogy a C meghajtón található összes fájl naprakész abban az időben. november 30-án van nálam. Ez azt jelenti, hogy az utolsó visszaállítási pont november 30-án jött létre.
Ha a dátumok legördülő listájára kattintunk, látni fogjuk, mely számokról van még árnyékmásolatunk. És ha rákattint a helyi meghajtók legördülő listájára, és kiválasztja például a D meghajtót, akkor látni fogjuk a dátumot, amikor tényleges fájljaink vannak. De a hajtásért D pontok nem jönnek létre automatikusan, ezért ezt az elemet regisztrálni kell a beállításokban. azt nagyon könnyű megcsinálni.
Mint látható, ha a lemezre C Meglehetősen friss dátumom van, akkor a lemeznél D az utolsó pontot közel egy éve hozták létre. Nos, akkor csináljuk pontról pontra:

Minden. Most már csak meg kell várni az exportálás befejezését. Ezután ugyanabba a mappába lépünk, amelyet kiválasztott, és ellenőrizzük az összes fájl megnyithatóságát és teljesítményét. Minden csúcsszuper).
Tudom, hogy az Internet kínál más módszereket, segédprogramokat stb., de ezekről nem fogok írni, mert már harmadszor találkoztam ezzel a problémával, és egyszer sem, az árnyékmásolaton kívül semmi sem segített. Bár lehet, hogy nem vagyok olyan szerencsés).

De sajnos legutóbb csak azokat a fájlokat sikerült helyreállítani, amelyek a C meghajtón voltak, mivel alapértelmezés szerint a pontok csak a C meghajtóhoz jöttek létre, így a D meghajtóra nem volt árnyékmásolat. Természetesen emlékeznie kell arra is, hogy milyen visszaállítási pontokhoz vezethet, ezért erre is figyeljen.

És ahhoz, hogy más merevlemezekhez árnyékmásolatokat hozzon létre, ezekre is szükség van.

Profilaxis

A gyógyulási problémák elkerülése érdekében profilaxist kell végezni. Ehhez be kell tartania a következő szabályokat.

Egyébként valamikor ez a vírus titkosított fájlokat egy USB flash meghajtón, ahol a digitális aláíráshoz szükséges kulcstanúsítványainkat tárolták. Ezért legyen nagyon óvatos a flash meghajtókkal is.

Üdvözlettel, Dmitrij Kostin.

A rosszindulatú programok széles skálája létezik. Ezek között vannak rendkívül csúnya ransomware vírusok, amelyek a számítógépre kerülve titkosítani kezdik a felhasználói fájlokat. Egyes esetekben jó esély van a fájlok visszafejtésére, de néha ez nem működik. Minden szükséges intézkedést megfontolunk, mind az első, mind a második esetben, ha.

Ezek a vírusok kissé eltérhetnek egymástól, de általában mindig ugyanazok a vírusok:

• telepíteni számítógépre;
• titkosítson minden olyan fájlt, amely bármilyen értékkel bír (dokumentumok, fényképek);
• amikor megpróbálja megnyitni ezeket a fájlokat, kérje meg a felhasználótól, hogy helyezzen el egy bizonyos összeget a támadó pénztárcájára vagy számlájára, ellenkező esetben a tartalomhoz való hozzáférés soha nem nyílik meg.

Vírus által titkosított fájlok xtbl-ben

Jelenleg egy vírus eléggé elterjedt ahhoz, hogy képes titkosítani a fájlokat és .xtbl-re módosítani a kiterjesztését, valamint a nevüket teljesen véletlenszerű karakterekre cserélni.

Ezen kívül jól látható helyen egy speciális fájl készül utasításokkal. readme.txt... Ebben a támadó szembesíti a felhasználót azzal a ténnyel, hogy minden fontos adata titkosítva van, és most már nem is olyan egyszerű megnyitni őket, kiegészítve ezt azzal, hogy ahhoz, hogy minden visszaálljon a korábbi állapotába, szükséges hajtson végre bizonyos műveleteket a csalónak történő pénzátutalással kapcsolatban (általában ezt megelőzően el kell küldenie egy bizonyos kódot a javasolt e-mail címek egyikére). Az ilyen üzeneteket gyakran utóirattal egészítik ki, hogy amikor megpróbálja visszafejteni az összes fájlt, fennáll annak a veszélye, hogy örökre elveszíti őket.

Sajnos jelenleg hivatalosan senkinek sem sikerült visszafejteni az .xtbl-t, ha megjelenik egy működő mód, arról a cikkben mindenképpen tájékoztatunk. A felhasználók között vannak olyanok is, akiknek volt hasonló tapasztalatuk ezzel a vírussal, és kifizették a csalóknak a szükséges összeget, cserébe megkapva dokumentumaik visszafejtését. Ám ez egy rendkívül kockázatos lépés, mert a támadók között vannak olyanok is, akik nem fognak a beígért visszafejtéssel foglalkozni, a végén pénz lesz belőle.

Mit csinálsz ilyenkor, kérdezed? Néhány tippet adunk, amelyek segítenek visszaszerezni az összes adatot, és ugyanakkor nem fognak csalók vezetni és pénzt adni nekik. És mit kell tenni:

1. Ha tudja, hogyan kell dolgozni a Feladatkezelőben, azonnal szakítsa meg a fájltitkosítást, leállítva a gyanús folyamatot. Ezzel egyidejűleg válassza le számítógépét az internetről – sok zsarolóvírusnak hálózati kapcsolatra van szüksége.
2. Vegyünk egy papírt, és írjuk rá azt a kódot, amelyet postai úton küldenek el a kiberbűnözőknek (a papírdarabot, mert a fájl, amelybe írni fog, szintén elérhetetlenné válhat olvasásra).
3. Használja a Malwarebytes Antimalware-t, a Kaspersky IS vagy CureIt Antivirus próbaverzióját a kártevő eltávolításához. A nagyobb megbízhatóság érdekében jobb következetesen használni az összes javasolt eszközt. Bár a Kaspersky Anti-Virus nem telepíthető, ha a rendszer már rendelkezik egy fő víruskeresővel, különben szoftverkonfliktusok léphetnek fel. Az összes többi segédprogram bármilyen helyzetben használható.
4. Várja meg, amíg az egyik víruskereső cég kifejleszt egy működő dekódolót az ilyen fájlok számára. Ennek leghatékonyabb módja a Kaspersky Lab.
5. Ezen kívül elküldheti a [e-mail védett] a fájl másolata, amely titkosítva volt a szükséges kóddal, és ha van, ugyanaz a fájl eredeti formájában. Lehetséges, hogy ez felgyorsíthatja a fájlok visszafejtésére szolgáló módszer kidolgozását.

Semmilyen körülmények között ne tegye:

• ezen dokumentumok átnevezése;
• terjeszkedésük megváltoztatása;
• fájlok törlése.

Ezek a trójaiak titkosítják a felhasználók fájljait, majd zsarolják őket. Ugyanakkor a titkosított fájlok a következő kiterjesztéssel rendelkezhetnek:

• .zárt
• .crypto
• .kraken
• .AES256 (nem feltétlenül ez a trójai, mások is telepítik ugyanazt a kiterjesztést).
• [e-mail védett] _com
• .basszus
• Egyéb.

Szerencsére egy dedikált visszafejtő segédprogram már elkészült - RakhniDecryptor... Letöltheti a hivatalos webhelyről.

Ugyanezen a webhelyen elolvashatja azokat az utasításokat, amelyek részletesen és egyértelműen bemutatják, hogyan kell a segédprogramot használni az összes fájl visszafejtésére, amelyen a trójai dolgozott. Elvileg a nagyobb megbízhatóság érdekében érdemes kizárni a titkosított fájlok törlésére szolgáló elemet. De a legvalószínűbb, hogy a fejlesztők mindent megtettek a segédprogram létrehozása érdekében, és semmi sem veszélyezteti az adatok integritását.

Azok, akik licencelt Dr.Web vírusirtót használnak, ingyenes hozzáférést kapnak a fejlesztők által biztosított visszafejtéshez: http://support.drweb.com/new/free_unlocker/.

Más típusú ransomware vírusok

Néha más vírusokkal is találkozhat, amelyek fontos fájlokat titkosítanak, és fizetést követelnek azért, hogy mindent visszaállítsanak az eredeti formájukba. A leggyakoribb vírusok következményeinek kezelésére kínálunk egy kis listát a segédprogramokkal. Itt megismerkedhet a főbb jelekkel is, amelyek alapján meg lehet különböztetni egy adott trójai programot.

Ezen túlmenően egy jó módszer az lenne, ha átkutatná számítógépét a Kaspersky Anti-Virus programmal, amely észleli a hívatlan vendéget, és nevet rendel neki. Ezen a néven már lehet dekódert keresni hozzá.

• Trojan-Ransom.Win32.Rector- egy tipikus ransomware scrambler, amely megköveteli, hogy SMS-t küldjön vagy más ilyen jellegű műveleteket hajtson végre, a visszafejtőt erről a linkről vesszük.
• Trojan-Ransom.Win32.Xorist- az előző trójai változata, a használatához kaphat egy dekódert kézikönyvvel.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- van egy speciális segédprogram is ezeknek a srácoknak, lásd a linket.
• Trojan.Encoder858, Trojan.Encoder.741- ezeket a rosszindulatú programokat a CureIt segédprogram észlelheti. Hasonló nevük van, de a név végén lévő számok eltérhetnek. A dekódert a vírus neve alapján keressük, vagy ha licencelt Dr.Web-et használ, használhat speciális forrást.
• CryptoLacker- a fájlok visszaszerzéséhez látogasson el erre az oldalra, és ezen keresztül hozzon létre egy speciális programot a dokumentumok helyreállításához.

A Kaspersky Lab a közelmúltban holland kollégáival együttműködve megalkotott egy visszafejtőt, amely lehetővé teszi a fájlok helyreállítását, miután egy vírus már megbirkózott rajtuk. CoinVault.

A megjegyzésekben megoszthatja a fájlok visszafejtésének módszereit, mert ezek az információk hasznosak lesznek más felhasználók számára, akik ilyen rosszindulatú szoftverekkel találkozhatnak.

Küzdelem az új vírusfenyegetések – ransomware – ellen

Nemrég írtunk arról, hogy új fenyegetések terjednek a hálózaton - ransomware vírusok, vagy szélesebb körben a fájlokat titkosító vírusok, ezekről bővebben honlapunkon ezen a linken olvashat.

Ebben a témában elmondjuk, hogyan állíthatja vissza a vírus által titkosított adatokat, ehhez két dekódolót fogunk használni, a "Kaspersky" és a "Doctor Web" víruskeresőből, ezek a titkosított információk visszaküldésének leghatékonyabb módjai. .

1. Töltse le a fájlok visszafejtésére szolgáló segédprogramokat a következő hivatkozásokról: Kaspersky és Dr.WEB

Vagy dekódolók az adott típusú titkosított fájlokhoz.

2. Először is megpróbáljuk visszafejteni a fájlokat a Kaspersky programjával:

2.1. Indítsa el a Kaspersky Decryptor programot, ha valamilyen műveletet kér, például indítási engedélyeket - indítsa el, ha frissítést kér - frissítse, ez növeli a titkosított adatok visszaküldésének esélyét

2.2. A fájlok visszafejtésére szolgáló program megjelenő ablakában több gombot látunk. Állítsa be a további paramétereket, és kezdje el az ellenőrzést.

2.3. Ha további paramétereket kell kiválasztania, és meg kell adnia, hogy hol keressen titkosított fájlokat, és ha szükséges - a visszafejtés után törölje, akkor nem javaslom, hogy válassza ezt a lehetőséget, a fájlok visszafejtése nem mindig megfelelően történik!

2.4. Elindítjuk a vizsgálatot, és megvárjuk a vírus által titkosított adataink visszafejtését.

3. Ha az első módszer nem működött. Megpróbáljuk visszafejteni a fájlokat a Dr. WEB

3.1. Miután letöltötte a visszafejtő alkalmazást, helyezze azt például a "C:" meghajtó gyökérkönyvtárába., tehát a „te102decrypt.exe” fájlnak elérhetőnek kell lennie a „c: \ te102decrypt.exe” címen.

3.2. Most lépjen a parancssorba(Start - Keresés - Írja be a "CMD" kifejezést idézőjelek nélkül - futtassa az Enter megnyomásával)

3.3. A fájlok visszafejtésének megkezdéséhez előírjuk a "c: \ te102decrypt.exe -k 86 -e (ransomware kód)" parancsot... A ransomware kód a fájl végéhez fűzött kiterjesztés, például " [e-mail védett] _45jhj "- írja idézőjelek és zárójelek nélkül, szóközt figyelve. Valami ilyesmit kell kapnia: c: \ te102decrypt.exe -k 86 -e [e-mail védett] _45jhj

3.4. Nyomja meg az Enter billentyűt, és várja meg a fájlok visszafejtését amelyek titkosítva voltak, bizonyos esetekben a visszafejtett fájlokból több másolat is létrejön, ezeket megpróbálja futtatni, a visszafejtett fájl normál módon megnyíló másolata - mentse, a többi törölhető.

Töltse le a többi fájldekódert:

Figyelem: mindenképpen mentse a titkosított fájlok másolatát külső adathordozóra vagy egy másik számítógépre. Az alábbiakban bemutatott dekódolók nem dekódolhatják a fájlokat, hanem csak elrontják azokat!

A legjobb, ha a dekódolót virtuális gépen vagy egy speciálisan előkészített számítógépen futtatja, miután korábban több fájlt letöltött rájuk.

Az alább bemutatott dekóderek a következőképpen működnek: Például a fájlok titkosítva vannak az amba titkosító eszközzel, és a fájlok úgy néztek ki, mint "Contract.doc.amba" vagy "Account.xls.amba", majd letöltjük az amba fájlok visszafejtőjét, és csak lefuttatjuk. minden fájlt ezzel a kiterjesztéssel, és dekódolja vissza, de ismételten védje meg magát és előzetesen biztonsági másolatot készítsen a titkosított fájlokról ellenkező esetben a hibásan visszafejtett adatait örökre elveszítheti!

Ha nem akar kockáztatni, akkor küldjön nekünk néhány fájlt, miután korábban felvette velünk a kapcsolatot a visszajelzési űrlap segítségével, elindítjuk a dekódert egy speciálisan erre a célra készített, internettől elkülönített számítógépen.

A bemutatott fájlokat a Kaspersky Anti-Virus legújabb verziója és a legújabb adatbázis-frissítések ellenőrizték.

Az, hogy az internet tele van vírusokkal, ma már senkit sem lep meg. Sok felhasználó a rendszerre vagy a személyes adatokra gyakorolt ​​hatásukkal kapcsolatos szituációkat enyhén szólva is észreveszi, de csak addig, amíg a titkosító vírus konkrétan meg nem telepszik a rendszerben. A legtöbb hétköznapi felhasználó nem tudja, hogyan kell gyógyítani és visszafejteni a merevlemezen tárolt adatokat. Ezért ezt a kontingenst a támadók követeléseihez "vezetik". De nézzük meg, mit tehet, ha ilyen fenyegetést észlel, vagy megakadályozhatja, hogy bejusson a rendszerbe.

Mi az a ransomware vírus?

Ez a fajta fenyegetés szabványos és nem szabványos fájltitkosítási algoritmusokat használ, amelyek teljesen megváltoztatják a tartalmat, és blokkolják a hozzáférést. Például teljesen lehetetlen lesz megnyitni egy titkosított szöveges fájlt olvasásra vagy szerkesztésre, valamint multimédiás tartalmat (grafikus, videó vagy hang) lejátszani egy vírusnak való kitettség után. Még a szabványos objektumok másolási vagy mozgatási műveletei sem állnak rendelkezésre.

Maga a vírus szoftveres feltöltése az az eszköz, amely úgy titkosítja az adatokat, hogy a fenyegetés rendszerből való eltávolítása után sem mindig lehet visszaállítani eredeti állapotukat. Általában az ilyen rosszindulatú programok saját másolatokat készítenek, és nagyon mélyen megtelepednek a rendszerben, így a fájltitkosító vírust néha teljesen lehetetlen eltávolítani. A fő program eltávolításával vagy a vírus törzsének törlésével a felhasználó nem szabadul meg a fenyegetés hatásaitól, nem is beszélve a titkosított információk visszaállításáról.

Hogyan kerül a fenyegetés a rendszerbe?

Az ilyen típusú fenyegetések általában nagy kereskedelmi struktúrákat céloznak meg, és levelezőprogramokon keresztül juthatnak be a számítógépekbe, amikor az alkalmazott megnyit egy e-mailben állítólagosan csatolt dokumentumot, amely mondjuk valamilyen együttműködési megállapodás kiegészítése, ill. az áruszállítási terv (a kétes forrásból származó befektetéseket tartalmazó kereskedelmi ajánlatok jelentik a vírus első útját).

Az a baj, hogy a helyi hálózathoz hozzáférő gépen egy ransomware vírus abban is képes alkalmazkodni, és nem csak hálózati környezetben, hanem a rendszergazda terminálján is létrehozza saját másolatait, ha hiányzik belőle a szükséges védelem. víruskereső szoftver formájában.tűzfal vagy tűzfal.

Néha az ilyen fenyegetések behatolhatnak a hétköznapi felhasználók számítógépes rendszereibe is, amelyek általában nem érdeklik a kiberbűnözőket. Ez bizonyos kétes internetes forrásokból letöltött programok telepítésekor történik. Sok felhasználó a letöltés indításakor figyelmen kívül hagyja a vírusvédelmi rendszer figyelmeztetéseit, és a telepítés során nem veszi figyelembe a további szoftverek, panelek vagy beépülő modulok telepítésére vonatkozó javaslatokat a böngészőkhöz, majd mivel mondjuk, harapd meg a könyöküket.

Vírusfajták és egy kis történelem

Alapvetően az ilyen típusú fenyegetéseket, különösen a No_more_ransom legveszélyesebb ransomware vírust, nem csak az adatok titkosítására vagy az azokhoz való hozzáférés blokkolására szolgáló eszközök közé sorolják. Valójában minden ilyen rosszindulatú alkalmazás zsarolóprogramnak minősül. Más szóval, a kiberbûnözõk bizonyos összeget követelnek az információk visszafejtéséért, mert azt hiszik, hogy ez a folyamat egy kezdeti program nélkül lehetetlen lesz. Ez részben így van.

De ha belemélyed a történelembe, észreveheti, hogy az egyik legelső ilyen típusú vírus, bár nem támasztott pénzkövetelményeket, a hírhedt I Love You kisalkalmazás volt, amely teljesen titkosította a multimédiás fájlokat (főleg zeneszámokat) a felhasználói rendszerekben. . A ransomware vírus utáni fájlok visszafejtése akkoriban lehetetlennek bizonyult. Most éppen ezt a fenyegetést lehet elemi módon kezelni.

De maguknak a vírusoknak vagy a használt titkosítási algoritmusoknak a fejlesztése nem áll meg. Ami hiányzik a vírusok közül - itt van XTBL, CBF, Breaking_Bad és [e-mail védett], és egy csomó más csúnya dolog.

A felhasználói fájlok befolyásolásának technikája

És ha egészen a közelmúltig a legtöbb támadást AES titkosításon alapuló RSA-1024 algoritmusok segítségével hajtották végre azonos bitességgel, akkor ma ugyanaz a No_more_ransom ransomware vírus többféle értelmezésben is bemutatásra kerül, RSA-2048, sőt RSA-3072 technológián alapuló titkosítási kulcsokkal.

A használt algoritmusok visszafejtési problémái

Az a baj, hogy a modern visszafejtő rendszerek tehetetlenek egy ilyen veszéllyel szemben. A fájlok visszafejtése az AES256 alapú ransomware vírus után némileg továbbra is támogatott, és a magasabb kulcs bitsebessége miatt szinte minden fejlesztő csak megvonja a vállát. Ezt egyébként a Kaspersky Lab és az Eset szakemberei hivatalosan is megerősítették.

A legprimitívebb verzióban a támogatási szolgáltatást felkereső felhasználót arra kérik, hogy küldjön el egy titkosított fájlt és annak eredetijét összehasonlítás és további műveletek elvégzésére a titkosítási algoritmus és a helyreállítási módszerek meghatározásához. De általában ez a legtöbb esetben nem működik. De a ransomware vírus önmagában is képes visszafejteni a fájlokat, amint azt hiszik, feltéve, hogy az áldozat elfogadja a támadók feltételeit, és fizet bizonyos összeget pénzben. A kérdés ilyen megfogalmazása azonban jogos kételyeket vet fel. És ezért.

Titkosító vírus: hogyan lehet meggyógyítani és visszafejteni a fájlokat, és megtehető-e?

A fizetés megtörténte után a hackerek állítólag aktiválják a visszafejtést a rendszeren lévő vírusuk távoli elérésével, vagy egy további kisalkalmazáson keresztül, ha a vírus törzsét eltávolították. Több mint kétségesnek tűnik.

Azt is szeretném megjegyezni, hogy az internet tele van hamis bejegyzésekkel, amelyek szerint ezek szerint a szükséges összeget kifizették, és az adatokat sikeresen helyreállították. Ez az egész hazugság! És tényleg - hol a garancia arra, hogy fizetés után a rendszerben lévő titkosító vírus nem aktiválódik újra? Nem nehéz megérteni a betörők pszichológiáját: ha egyszer fizet, akkor újra fizet. És ha különösen fontos információkról beszélünk, mint például konkrét kereskedelmi, tudományos vagy katonai fejlesztések, az ilyen információk tulajdonosai készek annyit fizetni, amennyit szükséges, hogy az akták sértetlenek és biztonságban maradjanak.

Az első megoldás a fenyegetés megszüntetésére

Ez a ransomware vírus természete. Hogyan lehet fertőtleníteni és visszafejteni a fájlokat fenyegetésnek kitéve? Igen, semmi esetre sem, ha nincsenek kéznél szerszámok, amelyek szintén nem mindig segítenek. De megpróbálhatod.

Tegyük fel, hogy egy ransomware vírus jelent meg a rendszeren. Hogyan fertőtleníthetem a fertőzött fájlokat? Először is végre kell hajtania egy alapos rendszervizsgálatot az S.M.A.R.T. technológia használata nélkül, amely csak akkor észleli a fenyegetéseket, ha a rendszerindító szektorok és a rendszerfájlok sérültek.

Célszerű nem a meglévő szabványos szkennert használni, amely már kihagyta a fenyegetést, hanem hordozható segédprogramokat. A legjobb megoldás a Kaspersky Rescue Diskről történő rendszerindítás, amely még az operációs rendszer működése előtt is elindulhat.

De ez még csak fél siker, hiszen így csak magától a vírustól lehet megszabadulni. De a dekóderrel ez nehezebb lesz. De erről majd később.

Van egy másik kategória, amelybe a ransomware vírusok tartoznak. Az információk visszafejtésének módjáról külön lesz szó, de most maradjunk annyiban, hogy teljesen nyíltan létezhetnek a rendszerben hivatalosan telepített programok és alkalmazások formájában (a támadók szemtelensége nem ismer határokat, hiszen a fenyegetés igen ne is próbálja álcázni magát).

Ebben az esetben használja a programok és összetevők azon részét, ahol a szabványos eltávolítás történik. Érdemes azonban arra is figyelni, hogy a szabványos Windows-eltávolító nem törli teljesen az összes programfájlt. Különösen a ransom ransomware vírus képes saját mappákat létrehozni a rendszer gyökérkönyvtáraiban (általában ezek Csrss könyvtárak, ahol az azonos nevű csrss.exe végrehajtható fájl található). Fő helyként a Windows, a System32 vagy a felhasználói könyvtárak (a rendszermeghajtón lévő felhasználók) vannak kiválasztva.

Ráadásul a No_more_ransom ransomware vírus beírja saját kulcsait a rendszerleíró adatbázisba, látszólag a hivatalos Client Server Runtime Subsystem rendszerszolgáltatáshoz mutató hivatkozás formájában, ami sokak számára félrevezető, hiszen ennek a szolgáltatásnak kell a felelős a kliens és a szerver szoftverek közötti interakcióért. . Maga a kulcs a Futtatás mappában található, amely a HKLM ágon keresztül érhető el. Nyilvánvaló, hogy az ilyen kulcsokat manuálisan kell törölnie.

Ennek megkönnyítése érdekében használhat olyan segédprogramokat, mint az iObit Uninstaller, amelyek automatikusan megkeresik a megmaradt fájlokat és rendszerleíró kulcsokat (de csak akkor, ha a vírus telepített alkalmazásként látható a rendszeren). De ez a legegyszerűbb.

Vírusirtó szoftverfejlesztők által kínált megoldások

Úgy gondolják, hogy a ransomware vírus visszafejtése speciális segédprogramokkal is elvégezhető, bár ha 2048 vagy 3072 bites kulccsal rendelkező technológiákkal rendelkezik, akkor ne hagyatkozzon rájuk (azonkívül sokan a visszafejtés után törlik a fájlokat, majd a A visszaállított fájlok a hiba miatt eltűnnek egy korábban el nem távolított vírustörzs jelenléte miatt).

Ennek ellenére meg lehet próbálni. Az összes program közül a RectorDecryptor és a ShadowExplorer érdemes kiemelni. Úgy gondolják, hogy ez idáig semmi jobbat nem alkottak. De a probléma az is lehet, hogy amikor megpróbálja használni a visszafejtőt, nincs garancia arra, hogy a vírusmentesített fájlok nem törlődnek. Vagyis ha nem szabadul meg a vírustól kezdetben, minden visszafejtési kísérlet kudarcra van ítélve.

A titkosított információk törlése mellett végzetes is lehet – az egész rendszer működésképtelenné válik. Ráadásul egy modern ransomware vírus nemcsak a számítógép merevlemezén tárolt adatokat képes befolyásolni, hanem a felhőben tárolt fájlokat is. És itt nincsenek megoldások az információk visszaállítására. Ráadásul, mint kiderült, sok szolgáltatás nem tesz kellően hatékony védelmi intézkedéseket (ugyanaz a beépített OneDrive a Windows 10-ben, amely közvetlenül az operációs rendszerből érhető el).

Radikális megoldás a problémára

Amint az már világos, a legtöbb modern módszer nem ad pozitív eredményt, ha ilyen vírusokkal fertőződik. Természetesen, ha megvan a sérült fájl eredeti példánya, azt el lehet küldeni vizsgálatra egy vírusirtó laboratóriumba. Igaz, nagyon komoly kételyek merülnek fel abban is, hogy egy hétköznapi felhasználó biztonsági másolatot készít az adatokról, amelyek merevlemezen tárolva szintén ki vannak téve a rosszindulatú kódoknak. És arról, hogy a bajok elkerülése érdekében a felhasználók információkat másolnak cserélhető adathordozóra, egyáltalán nem beszélünk.

Így a probléma radikális megoldásához a következtetés önmagát javasolja: a merevlemez és az összes logikai partíció teljes formázása az információk törlésével. Szóval mit kéne tenni? Adományoznia kell, ha nem akarja, hogy a vírus vagy annak saját maga által mentett másolata ismét aktiválódjon a rendszerben.

Ehhez ne használja maguknak a Windows rendszereknek az eszközeit (a virtuális partíciók formázására gondolok, mivel a rendszerlemezhez való hozzáféréskor tilalom kerül kiadásra). Jobb, ha optikai adathordozóról, például LiveCD-kről vagy telepítési disztribúciókról indít rendszert, például azokat, amelyeket a Windows 10 Media Creation Tool segítségével hoztak létre.

A formázás megkezdése előtt, feltéve, hogy a vírust eltávolították a rendszerből, megpróbálhatja visszaállítani a rendszerelemek integritását a parancssoron keresztül (sfc / scannow), de ennek nincs hatása az adatok visszafejtésére és feloldására. Ezért a c: formátum az egyetlen lehetséges megoldás, akár tetszik, akár nem. Ez az egyetlen módja annak, hogy teljesen megszabaduljunk az ilyen típusú fenyegetésektől. Jaj, nincs más út! Még a legtöbb víruskereső csomag által kínált standard eszközökkel való kezelés is tehetetlen.

Utószó helyett

A következtetések levonásával kapcsolatban csak annyit mondhatunk, hogy ma nincs egységes és univerzális megoldás az ilyen fenyegetések hatásainak kiküszöbölésére (sajnos, de tény - ezt a vírusirtó szoftverfejlesztők és -szakemberek többsége is megerősíti a kriptográfia területén).

Továbbra is homályos, hogy az 1024, 2048 és 3072 bites titkosításon alapuló algoritmusok megjelenését miért hagyták el azok, akik közvetlenül részt vesznek az ilyen technológiák fejlesztésében és megvalósításában? Valójában ma az AES256 algoritmust tartják a legígéretesebbnek és legbiztonságosabbnak. Értesítés! 256! Ez a rendszer, mint kiderült, nem alkalmas a modern vírusok számára. Mit mondhatunk akkor a kulcsaik visszafejtésére tett kísérletekről?

Bárhogy is legyen, nagyon könnyű elkerülni, hogy fenyegetés kerüljön a rendszerbe. A legegyszerűbb esetben az Outlook, a Thunderbird és más levelezőprogramok minden mellékletét tartalmazó bejövő üzenetét azonnal víruskeresővel ellenőriznie kell a kézhezvétel után, és semmi esetre sem nyissa meg a mellékleteket, amíg a vizsgálat be nem fejeződik. Néhány program telepítésekor figyelmesen olvassa el a további szoftverek telepítésére vonatkozó javaslatokat is (általában nagyon apró betűs betűkkel írják őket, vagy szabványos kiegészítőknek álcázzák, mint például a Flash Player frissítése vagy valami más). Jobb a médiakomponensek frissítése a hivatalos webhelyeken keresztül. Ez az egyetlen módja annak, hogy legalább valamilyen módon megakadályozza az ilyen fenyegetések behatolását a saját rendszerébe. A következmények teljesen beláthatatlanok lehetnek, tekintve, hogy az ilyen típusú vírusok azonnal elterjednek a helyi hálózaton. A vállalat számára pedig az események ilyen fordulata minden vállalkozás valódi összeomlásához vezethet.

Végül a rendszergazdának nem szabad tétlenül ülnie. Ilyen helyzetben jobb kizárni a szoftvervédelmi eszközöket. Ugyanaz a tűzfal (tűzfal) ne szoftver, hanem "hardver" legyen (természetesen a fedélzeten kísérő szoftverrel). És mondanunk sem kell, hogy a vírusirtó csomagok vásárlásán sem érdemes spórolni. Jobb, ha licencelt csomagot veszünk, és nem telepítünk olyan primitív programokat, amelyek állítólag valós idejű védelmet nyújtanak csak a fejlesztő szavai alapján.

És ha egy fenyegetés már belépett a rendszerbe, akkor a műveletsornak magában kell foglalnia magának a vírustörzsnek az eltávolítását, és csak ezután kell megkísérelni a sérült adatok visszafejtését. Ideális esetben - teljes formázás (megjegyzés, nem gyors a tartalomjegyzék törlésével, hanem teljes formázás, lehetőleg a meglévő fájlrendszer, a rendszerindító szektorok és rekordok visszaállításával vagy cseréjével).