Normalmente, o trabalho de programas maliciosos visa obter controle sobre um computador, incorporá-lo a uma rede zumbi ou roubar dados pessoais. Um usuário desatento pode não perceber por muito tempo que o sistema está infectado. Mas os vírus ransomware, em particular o xtbl, funcionam de uma maneira completamente diferente. Eles tornam os arquivos do usuário inutilizáveis, criptografando-os com o algoritmo mais complexo e exigindo uma grande quantia do proprietário pela capacidade de recuperar informações.

Causa do problema: vírus xtbl

O vírus ransomware xtbl tem esse nome porque os documentos do usuário criptografados por ele têm a extensão .xtbl. Normalmente, os codificadores deixam uma chave no corpo do arquivo para que um programa decodificador universal possa restaurar as informações em sua forma original. No entanto, o vírus se destina a outros fins, portanto, em vez de uma chave, uma oferta aparece na tela para pagar uma determinada quantia usando detalhes de conta anônima.

Como funciona o vírus xtbl

O vírus entra no computador por meio de mensagens de e-mail com anexos infectados, que são arquivos de aplicativos de escritório. Depois que o usuário abre o conteúdo da mensagem, o malware começa a pesquisar fotos, chaves, vídeos, documentos e assim por diante e, em seguida, usando um algoritmo complexo original (criptografia híbrida), os transforma em armazenamentos xtbl.

O vírus usa pastas do sistema para armazenar seus arquivos.

O vírus se adiciona à lista de inicialização. Para fazer isso, ele adiciona entradas ao registro do Windows nas seguintes seções:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

O computador infectado funciona de forma estável, o sistema não “trava”, mas sempre há um pequeno aplicativo (ou dois) com um nome incompreensível na RAM. E as pastas com os arquivos de trabalho do usuário ficam com uma aparência estranha.

Em vez de uma tela inicial, uma mensagem aparece na área de trabalho:

Seus arquivos foram criptografados. Para descriptografá-los, você precisa enviar o código para o endereço de e-mail: [email protegido](segue o código). Você receberá então mais instruções. Tentativas independentes de descriptografar arquivos levarão à sua destruição completa.

O mesmo texto está contido no arquivo Como descriptografar seu arquivo files.txt gerado. O endereço de e-mail, o código e a quantidade solicitada podem variar.

Muitas vezes, alguns golpistas ganham dinheiro com outros - o número da carteira eletrônica do ransomware é inserido no corpo do vírus, não havendo como descriptografar os arquivos. Portanto, um usuário crédulo, depois de enviar dinheiro, não recebe nada em troca.

Por que você não deve pagar ransomware

É impossível concordar em cooperar com extorsionários não apenas por causa de princípios morais. Isso não é razoável do ponto de vista prático.

Como proteger seu sistema contra vírus

Regras universais para proteção contra malware e minimização de danos também ajudarão neste caso.

É possível recuperar informações criptografadas

Boas notícias: a recuperação de dados é possível. Ruim: você não pode fazer isso sozinho. A razão para isso é a peculiaridade do algoritmo de criptografia, a seleção da chave para a qual requer muito mais recursos e conhecimento acumulado do que um usuário comum. Felizmente, os desenvolvedores de antivírus consideram uma questão de honra lidar com todos os programas mal-intencionados; portanto, mesmo que atualmente não consigam lidar com o seu ransomware, certamente encontrarão uma solução em um ou dois meses. Teremos que ser pacientes.

Devido à necessidade de entrar em contato com especialistas, o algoritmo para trabalhar com um computador infectado está mudando. Como regra geral, quanto menos alterações, melhor. Os antivírus determinam o método de tratamento com base nas características genéricas de um programa malicioso; portanto, os arquivos infectados são uma fonte de informações importantes para eles. Eles devem ser removidos somente após a resolução do problema principal.

A segunda regra é interromper o trabalho do vírus a qualquer custo. Talvez ele não tenha estragado todas as informações ainda, e vestígios do ransomware permanecem na RAM, com a ajuda da qual ele pode ser identificado. Portanto, você precisa desligar imediatamente o computador da rede e desligar o laptop mantendo o botão de rede pressionado. Desta vez, o procedimento padrão de desligamento "cuidadoso", que permite a conclusão correta de todos os processos, não funcionará, já que um deles é a codificação de suas informações.

Recuperando arquivos criptografados

Se você conseguiu desligar o computador

Se você conseguiu desligar o computador antes do final do processo de criptografia, não precisa ligá-lo sozinho. Leve o "paciente" diretamente aos especialistas, a codificação interrompida aumenta significativamente as chances de salvar arquivos pessoais. Aqui você também pode verificar sua mídia de armazenamento no modo de segurança e criar backups. Com grande probabilidade, o próprio vírus será conhecido, então o tratamento para ele terá sucesso.

Se a criptografia estiver completa

Infelizmente, a probabilidade de interromper com êxito o processo de criptografia é muito pequena. Normalmente, o vírus tem tempo para codificar arquivos e remover vestígios desnecessários do computador. E agora você tem dois problemas: o Windows ainda está infectado e os arquivos pessoais se tornaram um conjunto de caracteres. Para resolver o segundo problema, é necessário contar com a ajuda de fabricantes de software antivírus.

Dr.Web

Dr.Web Laboratory fornece seus serviços de descriptografia gratuitamente apenas para proprietários de licenças comerciais. Ou seja, se você ainda não é cliente deles, mas deseja restaurar seus arquivos, terá que comprar o programa. Dada a situação atual, este é o investimento certo.

O próximo passo é acessar o site do fabricante e preencher o formulário de inscrição.

Se entre os arquivos criptografados houver cópias dos quais foram salvas em mídia externa, sua transferência facilitará muito o trabalho dos decodificadores.

Kaspersky

A Kaspersky Lab desenvolveu seu próprio utilitário de descriptografia chamado RectorDecryptor, que pode ser baixado para um computador no site oficial da empresa.

Cada versão do sistema operacional, incluindo o Windows 7, tem seu próprio utilitário. Após carregá-lo, pressione o botão "Iniciar verificação".

Os serviços podem demorar um pouco se o vírus for relativamente novo. Nesse caso, geralmente a empresa envia uma notificação. Às vezes, a descriptografia pode levar vários meses.

Outros serviços

Existem cada vez mais serviços com funções semelhantes, o que indica a procura de serviços de desencriptação. O algoritmo de ações é o mesmo: vá ao site (por exemplo, https://decryptcryptolocker.com/), cadastre-se e envie o arquivo criptografado.

Programas decodificadores

Existem muitos “decodificadores universais” (é claro, aqueles pagos) na rede, mas sua utilidade é questionável. Claro, se os próprios produtores de vírus escreverem um decodificador, ele funcionará com sucesso, mas o mesmo programa será inútil para outro aplicativo malicioso. Além disso, os especialistas que regularmente encontram vírus geralmente possuem um pacote completo de utilitários necessários, portanto, todos os programas funcionam com grande probabilidade. Comprar esse decodificador provavelmente será uma perda de dinheiro.

Como descriptografar arquivos usando a Kaspersky Lab - vídeo

Recuperação de informações de autoatendimento

Se por algum motivo for impossível entrar em contato com especialistas terceirizados, você pode tentar recuperar as informações por conta própria. Vamos fazer uma reserva que em caso de falha os arquivos podem ser perdidos definitivamente.

Recuperando arquivos excluídos

Após a criptografia, o vírus exclui os arquivos originais. No entanto, o Windows 7 armazena todas as informações excluídas na forma de uma chamada cópia de sombra por algum tempo.

ShadowExplorer

ShadowExplorer é um utilitário projetado para recuperar arquivos de suas cópias de sombra.

PhotoRec

O utilitário gratuito PhotoRec funciona da mesma maneira, mas em modo de lote.

Remoção de vírus

Desde que o vírus entrou no computador, os programas de segurança instalados não conseguiram cumprir sua tarefa. Você pode tentar a ajuda de terceiros.

Importante! A remoção do vírus cura o computador, mas não restaura os arquivos criptografados. Além disso, a instalação de um novo software pode danificar ou apagar algumas cópias de sombra de arquivos necessários para restaurá-los. Portanto, é melhor instalar aplicativos em outras unidades.

Ferramenta de remoção de vírus Kaspersky

Programa gratuito de um conhecido desenvolvedor de software antivírus, que pode ser baixado do site da Kaspersky Lab. Após iniciar a Kaspersky Virus Removal Tool, ela imediatamente solicita que você inicie a verificação.

Depois de pressionar o grande botão na tela "Iniciar digitalização", o programa começa a digitalizar o seu computador.

Resta esperar até o final da varredura e excluir os convidados indesejados encontrados.

Malwarebytes Anti-Malware

Outro desenvolvedor de software antivírus fornecendo uma versão gratuita do scanner. O algoritmo de ações é o mesmo:

O que não fazer

O vírus XTBL, como outros vírus ransomware, danifica o sistema e as informações do usuário. Portanto, para reduzir o dano potencial, alguns cuidados devem ser tomados:

1. Não espere pelo fim da criptografia. Se a criptografia de arquivo começou diante de seus olhos, não espere até que tudo termine ou tente interromper o processo com software. Desconecte o computador imediatamente e chame um técnico de serviço.
2. Não tente remover o vírus sozinho se você pode confiar em profissionais.
3. Não reinstale o sistema até o final do tratamento. O vírus também infectará o novo sistema com segurança.
4. Não renomeie arquivos criptografados. Isso só vai complicar o trabalho do decodificador.
5. Não tente ler arquivos infectados em outro computador até que o vírus seja removido. Isso pode espalhar a infecção.
6. Não pague extorsionários. É inútil e encoraja criadores de vírus e golpistas.
7. Não se esqueça da prevenção. A instalação de antivírus, backups regulares e a criação de pontos de restauração reduzem significativamente o dano potencial de malware.

Curar um computador infectado com um vírus ransomware é um procedimento longo e nem sempre bem-sucedido. Portanto, é muito importante observar os cuidados ao obter informações da rede e ao trabalhar com mídia externa não verificada.

Bom dia a todos, meus queridos amigos e leitores do meu blog. Hoje o assunto será um tanto triste, porque tocará em vírus. Vou lhe contar sobre um caso que aconteceu não faz muito tempo no meu trabalho. Um funcionário com voz agitada me chamou no departamento: “Dima, o vírus tem arquivos criptografados no computador: o que fazer agora?”. Aí percebi que a caixa cheirava a frito, mas acabei indo vê-la.

sim. Tudo acabou sendo triste. A maioria dos arquivos do computador estava infectada, ou melhor, criptografada: documentos do Office, arquivos PDF, bancos de dados 1C e muitos outros. Em geral, a bunda é completa. Provavelmente, apenas arquivos, aplicativos e documentos de texto não foram afetados (bem, e muito mais). Todos esses dados mudaram sua extensão e também mudaram seus nomes para algo como sjd7gy2HjdlVnsjds.
Além disso, vários documentos idênticos README.txt apareceram na área de trabalho e em pastas. Eles honestamente dizem que seu computador está infectado e para que você não execute nenhuma ação, não exclua nada, não verifique o software antivírus, caso contrário, os arquivos não serão Ser devolvido.
O arquivo também diz que essas pessoas simpáticas serão capazes de restaurar tudo como estava. Para isso, eles precisam enviar a chave do documento para o correio, após o que você receberá as instruções necessárias. Eles não escrevem o preço, mas na verdade verifica-se que o custo do retorno de retorno é algo em torno de 20.000 rublos.

Seus dados valem o dinheiro? Você está pronto para pagar para eliminar o ransomware? Eu duvido. O que precisa ser feito? Vamos falar sobre isso mais tarde. Enquanto isso, vamos começar tudo em ordem.

De onde isso vem

De onde vem esse vírus ransomware feio? Tudo é muito simples aqui. As pessoas pegam via e-mail. Via de regra, esse vírus penetra organizações, caixas de correio corporativas, embora não só. Superficialmente, você não entende por kaku, já que não vem na forma de spam, mas de uma organização séria realmente existente, por exemplo, recebemos uma carta do provedor Rostelecom de seu correio oficial.

A carta era completamente comum, como "Novos planos tarifários para pessoas jurídicas". Dentro está um arquivo PDF. E quando você abre esse arquivo, você abre a caixa de Pandora. Todos os arquivos importantes são criptografados e se transformam em "tijolos" em palavras simples. E os antivírus não pegam essa porcaria imediatamente.

O que eu fiz e o que não funcionou

Naturalmente, conosco, ninguém queria pagar 20 mil por isso, já que a informação não custava tanto e, além disso, entrar em contato com golpistas não era de todo uma opção. E além disso, não é fato que por esse valor você estará desbloqueado tudo.

Passei pelo utilitário drweb cureit e ele encontrou um vírus, mas não fez muito sentido, pois mesmo depois do vírus os arquivos permaneceram criptografados. Remover o vírus acabou sendo fácil, mas lidar com as consequências é muito mais difícil. Fui aos fóruns do Doctor Web e Kaspersky, e lá encontrei o tópico de que precisava e também descobri que nem lá nem lá eles podem ajudar na descriptografia. Tudo estava fortemente criptografado.

Por outro lado, os motores de busca começaram a aparecer com resultados de que algumas empresas descriptografam arquivos em uma base paga. Bem, isso me interessou, especialmente porque a empresa acabou sendo real, realmente existente. Em seu site, eles se ofereceram para decifrar cinco peças gratuitamente para mostrar suas habilidades. Bem, eu peguei e enviei para eles os 5 arquivos mais importantes na minha opinião.
Depois de algum tempo, recebi uma resposta que eles conseguiram decifrar tudo e que iriam levar 22 mil de mim para uma decodificação completa. E eles não queriam me dar os arquivos. Então, eu imediatamente presumi que eles provavelmente estão trabalhando em conjunto com os golpistas. Bem, é claro que eles foram enviados para o inferno.

• usando os programas "Recuva" e "RStudio"
• Administrado por vários utilitários
• Bem, para me acalmar, não pude deixar de tentar (embora soubesse perfeitamente que isso não ajudaria) é simplesmente banal para a direita. Brad, é claro)

Nada disso funcionou para mim. Mas eu ainda encontrei uma saída. \ R \ n \ r \ nClaro, se você de repente se deparar com essa situação, veja com qual extensão os arquivos estão criptografados. Depois disso vá para http://support.kaspersky.com/viruses/disinfection/10556 e veja quais extensões estão listadas. Se sua extensão estiver na lista, use este utilitário.
Mas em todos os 3 casos que vi com esses ransomware, nenhum desses utilitários ajudou. Especificamente, me deparei com um vírus "Código da Vinci" e "COFRE"... No primeiro caso, tanto o nome quanto a extensão foram alterados e, no segundo, apenas a extensão. Em geral, existe um monte desses ransomware. Eu ouço bastardos como xtbl, chega de resgate, melhor chamar Saul e muitos outros.

O que ajudou

Você já ouviu falar de cópias de sombra? Portanto, quando um ponto de restauração é criado, cópias de sombra de seus arquivos são criadas automaticamente. E se algo acontecer com seus arquivos, você pode sempre retornar ao momento em que o ponto de restauração foi criado. Um ótimo programa para recuperar arquivos de cópias de sombra nos ajudará nisso.

Para iniciar download e instale o programa "Shadow Explorer". Se a versão mais recente o incomodar (isso acontece), instale a anterior.

Vá para Shadow Explorer. Como podemos ver, a parte principal do programa é semelhante ao explorer, ou seja, arquivos e pastas. Agora preste atenção ao canto superior esquerdo. Lá, vemos a letra da unidade local e a data. Essa data significa que todos os arquivos apresentados na unidade C estão atualizados naquele momento. Eu tenho em 30 de novembro. Isso significa que o último ponto de restauração foi criado em 30 de novembro.
Se clicarmos na lista suspensa de datas, veremos para quais números ainda temos cópias de sombra. E se você clicar na lista suspensa de unidades locais e selecionar, por exemplo, a unidade D, veremos a data em que temos os arquivos reais. Mas para a unidade D os pontos não são criados automaticamente, portanto este item deve ser cadastrado nas configurações. isto muito fácil de fazer.
Como você pode ver, se pelo disco C Eu tenho uma data bastante recente, então para o disco D o último ponto foi criado há quase um ano. Bem, então faremos ponto por ponto:

Tudo. Agora só falta esperar a conclusão da exportação. Em seguida, vamos para a mesma pasta que você escolheu e verificamos a capacidade de abertura e o desempenho de todos os arquivos. Tudo é fantástico).
Sei que a Internet oferece alguns outros métodos, utilitários, etc., mas não vou escrever sobre eles, porque já encontrei esse problema pela terceira vez, e nunca uma vez, nada além de cópias de sombra me ajudou. Embora talvez eu não tenha tanta sorte).

Mas, infelizmente, da última vez, conseguimos recuperar apenas os arquivos que estavam na unidade C, já que por padrão os pontos foram criados apenas para a unidade C. Assim, não havia cópias de sombra para a unidade D. Claro, você também precisa se lembrar a que pontos de restauração isso pode levar, portanto, fique de olho nisso também.

E para que cópias de sombra sejam criadas para outros discos rígidos, você também precisa delas.

Profilaxia

Para evitar problemas de recuperação, você precisa fazer profilaxia. Para fazer isso, você precisa seguir as seguintes regras.

By the way, uma vez que este vírus criptografou arquivos em uma unidade flash USB, onde nossos certificados de chave para assinatura digital foram armazenados. Portanto, tome muito cuidado com os drives flash também.

Atenciosamente, Dmitry Kostin.

Existe uma grande variedade de programas maliciosos. Entre eles, existem vírus ransomware extremamente desagradáveis ​​que, uma vez no computador, começam a criptografar os arquivos do usuário. Em alguns casos, há uma boa chance de descriptografar seus arquivos, mas às vezes isso não funciona. Consideraremos todas as ações necessárias, tanto para o primeiro como para o segundo caso, nos casos em que.

Esses vírus podem ser um pouco diferentes, mas, em geral, suas ações são sempre as mesmas:

• instalar em um computador;
• criptografar todos os arquivos que possam ter qualquer valor (documentos, fotografias);
• ao tentar abrir esses arquivos, exija que o usuário deposite uma certa quantia na carteira ou conta do invasor, caso contrário, o acesso ao conteúdo nunca será aberto.

Arquivos criptografados por vírus em xtbl

Atualmente, um vírus se espalhou o suficiente para criptografar arquivos e alterar sua extensão para .xtbl, bem como substituir seus nomes por caracteres completamente aleatórios.

Além disso, um arquivo especial com instruções é criado em um local visível. readme.txt... Nele, o atacante confronta o usuário com o fato de que todos os seus dados importantes foram criptografados e agora não é tão fácil abri-los, complementando isso com o fato de que, para retornar tudo ao seu estado anterior, é necessário realizar determinadas ações relacionadas à transferência de dinheiro para o fraudador (normalmente, antes disso, é necessário enviar um determinado código para um dos endereços de e-mail sugeridos). Freqüentemente, essas mensagens são complementadas com um pós-escrito que, ao tentar descriptografar todos os seus arquivos, corre o risco de perdê-los para sempre.

Infelizmente, no momento, oficialmente ninguém foi capaz de descriptografar .xtbl, se uma forma de trabalho aparecer, com certeza iremos informar sobre isso no artigo. Entre os usuários, há aqueles que tiveram experiência semelhante com esse vírus e pagaram aos fraudadores a quantia exigida, recebendo em troca a descriptografia de seus documentos. Mas esta é uma etapa extremamente arriscada, porque entre os cibercriminosos também existem aqueles que não se preocupam particularmente com a descriptografia prometida, no final será dinheiro pelo ralo.

O que você faz então, você pergunta? Oferecemos algumas dicas para ajudá-lo a obter todos os seus dados de volta e, ao mesmo tempo, você não será liderado por golpistas e lhes dará seu dinheiro. E então o que precisa ser feito:

1. Se você souber trabalhar no Gerenciador de Tarefas, interrompa imediatamente a criptografia do arquivo, interrompendo o processo suspeito. Ao mesmo tempo, desconecte seu computador da Internet - muitos ransomware precisam de uma conexão de rede.
2. Pegue um pedaço de papel e escreva nele o código que é oferecido para ser enviado aos invasores pelo correio (um pedaço de papel porque o arquivo no qual você escreverá também pode ficar inacessível para leitura).
3. Use o Malwarebytes Antimalware, um Kaspersky IS de teste ou CureIt Antivirus para remover o malware. Para maior confiabilidade, é melhor usar consistentemente todos os meios propostos. Embora o Kaspersky Anti-Virus não possa ser instalado se o sistema já tiver um antivírus principal, caso contrário, podem surgir conflitos de software. Todos os outros utilitários podem ser usados ​​em qualquer situação.
4. Espere até que uma das empresas de antivírus desenvolva um descriptografador funcional para esses arquivos. A maneira mais eficiente de fazer isso é a Kaspersky Lab.
5. Além disso, você pode enviar para [email protegido] uma cópia do arquivo que foi criptografado com o código necessário e, se houver, o mesmo arquivo em sua forma original. É possível que isso acelere o desenvolvimento de um método para descriptografar arquivos.

Sob nenhuma circunstância:

• renomeação desses documentos;
• mudando sua expansão;
• deletando arquivos.

Esses cavalos de Tróia também criptografam os arquivos dos usuários e os extorquem. Ao mesmo tempo, os arquivos criptografados podem ter as seguintes extensões:

• .locked
• .crypto
• .kraken
• .AES256 (não necessariamente este Trojan, existem outros que instalam a mesma extensão).
• [email protegido] _com
• .oshit
• De outros.

Felizmente, um utilitário de descriptografia dedicado já foi criado - RakhniDecryptor... Você pode baixá-lo do site oficial.

No mesmo site, você pode ler as instruções que mostram em detalhes e claramente como usar o utilitário para descriptografar todos os arquivos nos quais o Trojan trabalhou. Em princípio, para maior confiabilidade, vale a pena excluir o item de exclusão de arquivos criptografados. Mas provavelmente, os desenvolvedores fizeram o possível para criar o utilitário e nada ameaçava a integridade dos dados.

Aqueles que usam o antivírus Dr.Web licenciado têm acesso gratuito à descriptografia dos desenvolvedores http://support.drweb.com/new/free_unlocker/.

Outros tipos de vírus ransomware

Às vezes, você pode se deparar com outros vírus que criptografam arquivos importantes e exigem pagamento para retornar tudo à sua forma original. Oferecemos uma pequena lista de utilitários para lidar com as consequências dos vírus mais comuns. Lá, você também pode se familiarizar com os principais sinais pelos quais é possível distinguir um determinado programa de Trojan.

Além disso, uma boa maneira seria verificar o seu PC com o Kaspersky Anti-Virus, que detectará o convidado não convidado e atribuirá um nome a ele. Com este nome, você já pode pesquisar um decodificador para ele.

• Trojan-Ransom.Win32.Rector- um scrambler de ransomware típico que exige que você envie SMS ou execute outras ações desse tipo, pegamos o descriptografador deste link.
• Trojan-Ransom.Win32.Xorist- uma variação do Trojan anterior, você pode obter um decodificador com um manual para seu uso.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- existe também um utilitário especial para esses caras, veja o link.
• Trojan.Encoder858, Trojan.Encoder.741- esses malwares podem ser detectados pelo utilitário CureIt. Eles têm nomes semelhantes, mas os números no final do nome podem ser diferentes. Procuramos o decodificador pelo nome do vírus ou, se você usa o Dr.Web licenciado, pode usar um recurso especial.
• CryptoLacker- para recuperar seus arquivos, visite este site e através dele gere um programa especial para recuperar seus documentos.

Recentemente, a Kaspersky Lab, em cooperação com seus colegas da Holanda, criou um descriptografador que permite recuperar arquivos após um vírus os ter trabalhado. CoinVault.

Nos comentários, você pode compartilhar seus métodos de descriptografia de arquivos, porque essas informações serão úteis para outros usuários que possam encontrar esse software malicioso.

Lute contra novas ameaças de vírus - ransomware

Recentemente, escrevemos que novas ameaças estão se espalhando na rede - vírus ransomware ou, mais amplamente, vírus que criptografam arquivos. Você pode ler mais sobre eles em nosso site neste link.

Neste tópico, explicaremos como você pode retornar dados criptografados por um vírus, para isso usaremos dois descriptografadores, do antivírus "Kaspersky" e "Doctor Web", esses são os métodos mais eficazes para retornar informações criptografadas .

1. Baixe os utilitários para descriptografar arquivos dos links: Kaspersky e Dr.WEB

Ou descriptografadores para o tipo específico de arquivos criptografados localizados.

2. Primeiro, tentaremos descriptografar os arquivos usando um programa da Kaspersky:

2.1. Inicie o programa Kaspersky Decryptor, se ele solicitar alguma ação, por exemplo, permissões de lançamento - inicie-o, se ele solicitar uma atualização - atualize-o, isso aumentará as chances de retornar os dados criptografados

2.2. Na janela exibida do programa para descriptografar arquivos, vemos vários botões. Configure parâmetros adicionais e comece a verificar.

2.3. Se você precisar selecionar parâmetros adicionais e indicar onde procurar arquivos criptografados e, se necessário - excluir após descriptografar, não aconselho a selecionar esta opção, os arquivos nem sempre são descriptografados corretamente!

2.4. Iniciamos a varredura e esperamos a descriptografia de nossos dados criptografados pelo vírus.

3. Se o primeiro método não funcionou. Estamos tentando descriptografar arquivos usando um programa do Dr. REDE

3.1. Depois de fazer o download do aplicativo de descriptografia, coloque-o, por exemplo, na raiz da unidade "C:"., então o arquivo "te102decrypt.exe" deve estar disponível em "c: \ te102decrypt.exe"

3.2. Agora vá para a linha de comando(Iniciar-Pesquisar-Digite "CMD" sem aspas-execute pressionando Enter)

3,3. Para começar a descriptografar arquivos prescrevemos o comando "c: \ te102decrypt.exe -k 86 -e (código de ransomware)"... O código do ransomware é uma extensão anexada ao final do arquivo, por exemplo " [email protegido] _45jhj "- escreva sem aspas e colchetes, observando os espaços. Você deve obter algo como c: \ te102decrypt.exe -k 86 -e [email protegido] _45jhj

3.4. Pressione Enter e espere que os arquivos sejam descriptografados que foram criptografados, em alguns casos, várias cópias dos arquivos descriptografados são criadas, você tenta executá-los, essa cópia do arquivo descriptografado que abre normalmente - salva, o resto pode ser excluído.

Baixe o restante dos decodificadores de arquivo:

Atenção: certifique-se de salvar uma cópia dos arquivos criptografados em uma mídia externa ou em outro PC. Os descriptografadores apresentados abaixo não podem descriptografar arquivos, apenas estragá-los!

É melhor executar o descriptografador em uma máquina virtual ou em um computador especialmente preparado, tendo baixado vários arquivos para eles.

Os decodificadores apresentados a seguir funcionam da seguinte forma: Por exemplo, seus arquivos são criptografados com a ferramenta de criptografia amba e os arquivos se parecem com "Contract.doc.amba" ou "Account.xls.amba", então baixamos o descriptografador para arquivos amba e apenas o executamos, ele encontrará todos os arquivos com esta extensão e descriptografá-los. mas, novamente, proteja-se e preliminarmente fazer backup de arquivos criptografados caso contrário, você pode perder seus dados descriptografados incorretamente para sempre!

Se não quiser arriscar, envie-nos alguns arquivos, tendo-nos contactado previamente através do formulário de feedback, iremos lançar o descodificador num computador especialmente preparado e isolado da Internet.

Os arquivos apresentados foram verificados pela versão mais recente do Kaspersky Anti-Virus e com as últimas atualizações do banco de dados.

O fato de a Internet estar cheia de vírus não surpreende ninguém hoje. Muitos usuários percebem situações relacionadas ao seu impacto nos sistemas ou dados pessoais, para dizer o mínimo, fechando os olhos, mas apenas até que o vírus de criptografia especificamente se instale no sistema. A maioria dos usuários comuns não sabe como corrigir e descriptografar os dados armazenados em um disco rígido. Portanto, esse contingente é "conduzido" às demandas dos agressores. Mas vamos ver o que você pode fazer se tal ameaça for detectada ou para impedir que ela entre no sistema.

O que é um vírus ransomware?

Esse tipo de ameaça usa algoritmos de criptografia de arquivo padrão e não padrão que alteram completamente seu conteúdo e bloqueiam o acesso. Por exemplo, será absolutamente impossível abrir um arquivo de texto criptografado para leitura ou edição, bem como reproduzir conteúdo multimídia (gráfico, vídeo ou áudio) após a exposição a um vírus. Mesmo as operações padrão para copiar ou mover objetos não estão disponíveis.

O próprio recheio de software do vírus é o meio que criptografa os dados de tal forma que nem sempre é possível restaurar seu estado original, mesmo depois de remover a ameaça do sistema. Normalmente, esses programas maliciosos criam suas próprias cópias e se instalam profundamente no sistema, de modo que o vírus de criptografia de arquivos às vezes pode ser completamente impossível de remover. Ao desinstalar o programa principal ou excluir o corpo principal do vírus, o usuário não se livra do impacto da ameaça, muito menos restaura as informações criptografadas.

Como a ameaça entra no sistema?

Via de regra, ameaças desse tipo são direcionadas principalmente a grandes estruturas comerciais e podem invadir computadores por meio de programas de correio quando um funcionário abre um documento supostamente anexado a um e-mail, o que é, digamos, um acréscimo a algum tipo de acordo de cooperação ou o plano de abastecimento de bens (ofertas comerciais com investimentos de fontes duvidosas são o primeiro caminho para o vírus).

O problema é que um vírus ransomware em uma máquina que tem acesso a uma rede local é capaz de se adaptar nela também, criando suas próprias cópias não só em um ambiente de rede, mas também no terminal do administrador, caso falte a proteção necessária em a forma de software antivírus, firewall ou firewall.

Às vezes, essas ameaças também podem penetrar nos sistemas de computador de usuários comuns, que, em geral, não são do interesse dos cibercriminosos. Isso acontece no momento da instalação de alguns programas baixados de recursos duvidosos da Internet. Muitos usuários, ao iniciar o download, ignoram os avisos do sistema de proteção antivírus, e durante o processo de instalação não prestam atenção às sugestões de instalação de software adicional, painéis ou plug-ins para navegadores, e então, como eles digamos, morda seus cotovelos.

Variedades de vírus e um pouco de história

Basicamente, ameaças desse tipo, em particular o vírus ransomware No_more_ransom mais perigoso, são classificadas não apenas como ferramentas para criptografar dados ou bloquear o acesso a eles. Na verdade, todos esses aplicativos maliciosos são classificados como ransomware. Em outras palavras, os cibercriminosos exigem uma determinada quantia de dinheiro para descriptografar as informações, acreditando que esse processo será impossível de ser realizado sem um programa inicial. Este é parcialmente o caso.

Mas se você pesquisar na história, notará que um dos primeiros vírus desse tipo, embora não impusesse requisitos de dinheiro, foi o infame miniaplicativo I Love You, que criptografava completamente arquivos multimídia (principalmente faixas de música) nos sistemas do usuário . A descriptografia de arquivos após o vírus ransomware revelou-se impossível naquela época. Agora, é essa ameaça que pode ser tratada de maneira elementar.

Mas o desenvolvimento dos próprios vírus ou dos algoritmos de criptografia usados ​​não pára. O que está faltando entre os vírus - aqui você tem XTBL, CBF, e Breaking_Bad, e [email protegido], e um monte de outras coisas desagradáveis.

Técnica para influenciar os arquivos do usuário

E se até recentemente a maioria dos ataques eram realizados usando algoritmos RSA-1024 baseados em criptografia AES com a mesma quantidade de bits, o mesmo vírus de ransomware No_more_ransom é hoje apresentado em várias interpretações, usando chaves de criptografia baseadas em tecnologias RSA-2048 e até RSA-3072.

Problemas de descriptografia para os algoritmos usados

O problema é que os sistemas de descriptografia modernos são impotentes diante de tal perigo. A descriptografia de arquivos após o vírus ransomware baseado em AES256 ainda é um pouco suportada e, com uma taxa de bits chave mais alta, quase todos os desenvolvedores simplesmente dão de ombros. A propósito, isso foi oficialmente confirmado por especialistas da Kaspersky Lab e da Eset.

Na versão mais primitiva, o usuário que contatou o serviço de suporte é solicitado a enviar um arquivo criptografado e seu original para comparação e outras operações para determinar o algoritmo de criptografia e os métodos de recuperação. Mas, como regra, na maioria dos casos isso não funciona. Mas o vírus ransomware pode descriptografar arquivos por conta própria, como se acredita, desde que a vítima concorde com os termos dos atacantes e pague uma certa quantia em termos monetários. No entanto, tal formulação da questão levanta dúvidas legítimas. E é por isso.

Vírus de criptografia: como curar e descriptografar arquivos e isso pode ser feito?

Depois que o pagamento é feito, os hackers ativam a descriptografia por meio do acesso remoto ao vírus que fica no sistema ou por meio de um miniaplicativo adicional, caso o corpo do vírus tenha sido removido. Parece mais do que duvidoso.

Também gostaria de destacar o fato de que a Internet está cheia de postagens falsas afirmando que, dizem, o valor necessário foi pago e os dados foram restaurados com sucesso. Isso tudo é mentira! E realmente - onde está a garantia de que, após o pagamento, o vírus de criptografia no sistema não será ativado novamente? Não é difícil entender a psicologia dos ladrões: se você paga uma vez, paga novamente. E se estamos falando de informações particularmente importantes, como desenvolvimentos comerciais, científicos ou militares específicos, os proprietários dessas informações estão dispostos a pagar o quanto for necessário, desde que os arquivos permaneçam intactos e seguros.

O primeiro remédio para eliminar a ameaça

Essa é a natureza de um vírus ransomware. Como desinfetar e descriptografar arquivos após serem expostos a uma ameaça? Sim, de jeito nenhum, se não houver ferramentas à mão, o que também nem sempre ajuda. Mas você pode tentar.

Vamos supor que um vírus ransomware apareceu no sistema. Como faço para desinfetar arquivos infectados? Em primeiro lugar, você deve realizar uma verificação profunda do sistema sem o uso da tecnologia S.M.A.R.T., que detecta ameaças apenas quando os setores de inicialização e arquivos do sistema estão danificados.

É aconselhável não usar o scanner padrão existente, que já não percebeu a ameaça, mas usar utilitários portáteis. A melhor opção seria inicializar a partir do Kaspersky Rescue Disk, que pode ser iniciado antes mesmo de o sistema operacional começar a funcionar.

Mas isso é apenas metade da batalha, já que dessa forma você só pode se livrar do próprio vírus. Mas com o decodificador será mais difícil. Mas mais sobre isso mais tarde.

Há outra categoria em que os vírus ransomware se enquadram. Como descriptografar as informações será dito separadamente, mas por agora vamos nos deter no fato de que eles podem existir abertamente no sistema na forma de programas e aplicativos oficialmente instalados (o atrevimento dos atacantes não conhece limites, já que a ameaça tem nem mesmo tente se disfarçar).

Nesse caso, você deve usar a seção de programas e componentes onde a desinstalação padrão é executada. No entanto, você também deve prestar atenção ao fato de que o desinstalador padrão do Windows não exclui completamente todos os arquivos de programa. Em particular, o vírus ransom ransomware é capaz de criar suas próprias pastas nos diretórios raiz do sistema (geralmente, esses são os diretórios Csrss, onde o arquivo executável csrss.exe de mesmo nome está presente). Windows, System32 ou diretórios do usuário (usuários na unidade do sistema) são selecionados como o local principal.

Além disso, o vírus No_more_ransom ransomware grava suas próprias chaves no registro na forma de um link aparentemente para o serviço de sistema oficial Client Server Runtime Subsystem, o que é enganoso para muitos, uma vez que este serviço deve ser responsável pela interação entre o software cliente e servidor . A própria chave está localizada na pasta Executar, que pode ser acessada por meio da ramificação HKLM. É claro que você precisará excluir manualmente essas chaves.

Para facilitar, você pode usar utilitários como o iObit Uninstaller, que procura arquivos e chaves de registro restantes automaticamente (mas apenas se o vírus estiver visível no sistema como um aplicativo instalado). Mas essa é a coisa mais simples de fazer.

Soluções oferecidas por desenvolvedores de software antivírus

Acredita-se que a descriptografia do vírus ransomware pode ser feita usando utilitários especiais, embora se você tiver tecnologias com uma chave de 2048 ou 3072 bits, você não deve confiar nelas (além disso, muitos deles excluem arquivos após a descriptografia, e então o os arquivos restaurados desaparecem devido à falha (a presença de um corpo de vírus que não foi removido antes).

No entanto, você pode tentar. De todos os programas, vale destacar o RectorDecryptor e o ShadowExplorer. Acredita-se que nada melhor foi criado até agora. Mas o problema também pode ser que, ao tentar usar o descriptografador, não há garantia de que os arquivos que estão sendo desinfetados não serão excluídos. Ou seja, se você não se livrar do vírus inicialmente, qualquer tentativa de descriptografia estará fadada ao fracasso.

Além de excluir informações criptografadas, também pode ser fatal - todo o sistema ficará inoperante. Além disso, um vírus ransomware moderno é capaz de afetar não apenas os dados armazenados no disco rígido do computador, mas também os arquivos armazenados em nuvem. E aqui não há soluções para restaurar informações. Além disso, como se viu, muitos serviços estão tomando medidas de proteção insuficientemente eficazes (o mesmo OneDrive integrado no Windows 10, que é exposto diretamente do sistema operacional).

Uma solução radical para o problema

Como já está claro, a maioria dos métodos modernos não dá um resultado positivo quando infectada por tais vírus. Claro, se houver um original do arquivo danificado, ele pode ser enviado para exame em um laboratório de antivírus. É verdade que também existem dúvidas muito sérias de que um usuário comum criará cópias de backup de dados que, quando armazenados em um disco rígido, também podem ser expostos a códigos maliciosos. E o fato de que, para evitar problemas, os usuários copiam informações para uma mídia removível, não estamos falando de maneira alguma.

Assim, para uma solução radical para o problema, a conclusão sugere-se: formatação completa do disco rígido e todas as partições lógicas com o apagamento das informações. Então o que fazer? Você terá que doar se não quiser que o vírus ou sua cópia gravada por ele mesmo seja ativado no sistema novamente.

Para fazer isso, você não deve usar as ferramentas dos próprios sistemas Windows (refiro-me a formatar partições virtuais, uma vez que uma proibição será emitida ao tentar acessar o disco do sistema). Melhor usar a inicialização a partir de mídia ótica, como LiveCDs ou distribuições de instalação, como as criadas com a Ferramenta de Criação de Mídia para Windows 10.

Antes de iniciar a formatação, desde que o vírus seja removido do sistema, você pode tentar restaurar a integridade dos componentes do sistema através da linha de comando (sfc / scannow), mas isso não terá efeito em termos de descriptografia e desbloqueio de dados. Portanto, o formato c: é a única solução correta possível, quer você goste ou não. Essa é a única maneira de se livrar completamente desse tipo de ameaça. Infelizmente, não há outra maneira! Mesmo o tratamento com as ferramentas padrão oferecidas pela maioria dos pacotes de antivírus é impotente.

Em vez de um posfácio

Em termos de sugestões de conclusões, podemos apenas dizer que não existe uma solução única e universal para eliminar as consequências do impacto de tais ameaças hoje (infelizmente, mas um fato - isso é confirmado pela maioria dos desenvolvedores e especialistas de software antivírus no domínio da criptografia).

Ainda não está claro por que o surgimento de algoritmos baseados na criptografia de 1024, 2048 e 3072 bits passou por aqueles que estão diretamente envolvidos no desenvolvimento e implementação de tais tecnologias? Na verdade, hoje o algoritmo AES256 é considerado o mais promissor e mais seguro. Perceber! 256! Esse sistema, ao que parece, não é adequado para vírus modernos. O que podemos dizer então sobre as tentativas de descriptografar suas chaves?

Seja como for, é muito fácil evitar a introdução de uma ameaça no sistema. No caso mais simples, você deve verificar todas as mensagens recebidas com anexos no Outlook, Thunderbird e outros clientes de e-mail com antivírus imediatamente após o recebimento e em nenhum caso abrir os anexos até que a verificação seja concluída. Você também deve ler atentamente as sugestões para instalar software adicional ao instalar alguns programas (geralmente eles são escritos em letras muito pequenas ou disfarçados como complementos padrão, como atualização do Flash Player ou qualquer outra coisa). É melhor atualizar os componentes de mídia através dos sites oficiais. Essa é a única maneira de, pelo menos de alguma forma, impedir a penetração de tais ameaças em seu próprio sistema. As consequências podem ser totalmente imprevisíveis, visto que vírus desse tipo se espalham instantaneamente na rede local. E, para a empresa, essa reviravolta pode se transformar em um verdadeiro colapso de todos os empreendimentos.

Finalmente, o administrador do sistema não deve ficar ocioso. É melhor excluir os meios de proteção de software em tal situação. O mesmo firewall (firewall) não deve ser software, mas "hardware" (é claro, com o software que o acompanha). E nem é preciso dizer que também não vale a pena economizar na compra de pacotes antivírus. É melhor comprar um pacote licenciado e não instalar programas primitivos que supostamente fornecem proteção em tempo real apenas com as palavras do desenvolvedor.

E se uma ameaça já tiver entrado no sistema, a sequência de ações deve incluir a remoção do próprio corpo do vírus e só então as tentativas de descriptografar os dados danificados. Idealmente - formatação completa (observe que não é rápido limpar o índice, mas formatação completa, de preferência com a restauração ou substituição do sistema de arquivos, setores de inicialização e registros existentes).