De obicei, activitatea programelor rău intenționate are ca scop obținerea controlului asupra unui computer, încorporarea acestuia într-o rețea zombie sau furtul datelor personale. Este posibil ca un utilizator neatent să nu observe mult timp că sistemul este infectat. Dar virușii ransomware, în special xtbl, funcționează într-un mod complet diferit. Ei fac fișierele utilizatorului inutilizabile prin criptarea lor cu cel mai complex algoritm și prin solicitarea unei sume mari de la proprietar pentru capacitatea de a recupera informații.

Cauza problemei: virusul xtbl

Virusul ransomware xtbl și-a primit numele de la faptul că documentele utilizatorului criptate de acesta primesc extensia .xtbl. De obicei, codificatoarele lasă o cheie în corpul fișierului, astfel încât un program de decodor universal să poată restaura informațiile în forma sa originală. Totuși, virusul este destinat altor scopuri, așa că în loc de cheie, pe ecran apare o ofertă de a plăti o anumită sumă folosind detalii anonime ale contului.

Cum funcționează virusul xtbl

Virusul intră în computer prin mesaje de e-mail cu atașamente infectate, care sunt fișiere ale aplicațiilor de birou. După ce utilizatorul a deschis conținutul mesajului, malware-ul începe să caute fotografii, chei, videoclipuri, documente și așa mai departe, apoi, folosind un algoritm complex original (criptare hibridă), le transformă în stocări xtbl.

Virusul folosește folderele de sistem pentru a-și stoca fișierele.

Virusul se adaugă pe lista de pornire. Pentru a face acest lucru, el adaugă intrări în registrul Windows în următoarele secțiuni:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Computerul infectat funcționează stabil, sistemul nu „se prăbușește”, dar există întotdeauna o aplicație mică (sau două) cu un nume de neînțeles în RAM. Și folderele cu fișierele de lucru ale utilizatorului capătă un aspect ciudat.

În loc de un ecran de deschidere, pe desktop apare un mesaj:

Fișierele dvs. au fost criptate. Pentru a le decripta, trebuie să trimiteți codul la adresa de e-mail: [email protected](urmează codul). Veți primi apoi instrucțiuni suplimentare. Încercările independente de a decripta fișierele vor duce la distrugerea lor completă.

Același text este conținut în fișierul generat Cum să vă decriptați fișierele.txt. Adresa de e-mail, codul, suma solicitată pot varia.

Destul de des, unii escroci câștigă bani pe alții - numărul portofelului electronic de ransomware este inserat în corpul virusului, neavând nicio modalitate de a decripta fișierele. Deci un utilizator credul, după ce a trimis bani, nu primește nimic în schimb.

De ce nu ar trebui să plătiți ransomware

Este imposibil să fii de acord să cooperezi cu estorcatorii nu numai din cauza principiilor morale. Acest lucru este nerezonabil din punct de vedere practic.

Cum să vă protejați sistemul de un virus

Regulile universale pentru protejarea împotriva programelor malware și reducerea la minimum a daunelor vor ajuta și în acest caz.

Este posibil să recuperați informații criptate

Vești bune: recuperarea datelor este posibilă. Rău: nu poți face asta singur. Motivul pentru aceasta este particularitatea algoritmului de criptare, selecția cheii pentru care necesită mult mai multe resurse și cunoștințe acumulate decât are un utilizator obișnuit. Din fericire, dezvoltatorii de antivirus consideră că este o chestiune de onoare să se ocupe de fiecare program rău intenționat, așa că, chiar dacă în prezent nu pot face față cu ransomware-ul tău, cu siguranță vor găsi o soluție într-o lună sau două. Va trebui să avem răbdare.

Din cauza necesității de a contacta specialiști, algoritmul de lucru cu un computer infectat se schimbă. Ca regulă generală, cu cât sunt mai puține modificări, cu atât mai bine. Antivirusurile determină metoda de tratament pe baza caracteristicilor generice ale unui program rău intenționat; prin urmare, fișierele infectate sunt o sursă de informații importante pentru ei. Acestea ar trebui eliminate numai după rezolvarea problemei principale.

A doua regulă este întreruperea cu orice preț a funcționării virusului. Poate că încă nu a stricat toate informațiile, iar urme ale ransomware-ului rămân în memoria RAM, cu ajutorul căreia poate fi identificat. Prin urmare, trebuie să opriți imediat computerul din rețea și să opriți laptopul apăsând lung butonul de rețea. De data aceasta, procedura standard de oprire „atentă”, care face posibilă finalizarea corectă a tuturor proceselor, nu va funcționa, deoarece una dintre ele este codificarea informațiilor dvs.

Recuperarea fișierelor criptate

Dacă ați reușit să vă opriți computerul

Dacă ați reușit să opriți computerul înainte de sfârșitul procesului de criptare, atunci nu trebuie să îl porniți singur. Duceți „pacientul” direct la specialiști, codificarea întreruptă crește semnificativ șansele de salvare a fișierelor personale. Aici puteți verifica și mediul de stocare în modul sigur și puteți crea copii de rezervă. Cu o mare probabilitate, virusul în sine va fi cunoscut, astfel încât tratamentul pentru acesta va avea succes.

Dacă criptarea este completă

Din păcate, probabilitatea de a întrerupe cu succes procesul de criptare este foarte mică. De obicei, virusul are timp să codifice fișierele și să elimine urmele inutile de pe computer. Și acum aveți două probleme: Windows este încă infectat, iar fișierele personale au devenit un set de caractere. Pentru a rezolva a doua problemă, este necesar să folosiți ajutorul producătorilor de software antivirus.

Dr.Web

Laboratorul Dr.Web oferă serviciile sale de decriptare gratuit numai deținătorilor de licențe comerciale. Cu alte cuvinte, dacă nu sunteți încă clientul lor, dar doriți să vă restaurați fișierele, va trebui să cumpărați programul. Având în vedere situația actuală, aceasta este investiția potrivită.

Următorul pas este să accesați site-ul web al producătorului și să completați formularul de înscriere.

Dacă printre fișierele criptate există copii ale cărora au fost salvate pe medii externe, transferul lor va facilita foarte mult munca decodoarelor.

Kaspersky

Kaspersky Lab și-a dezvoltat propriul utilitar de decriptare numit RectorDecryptor, care poate fi descărcat pe un computer de pe site-ul oficial al companiei.

Fiecare versiune a sistemului de operare, inclusiv Windows 7, are propriul utilitar. După încărcare, apăsați butonul „Start check”.

Serviciile pot dura ceva timp dacă virusul este relativ nou. În acest caz, compania trimite de obicei o notificare. Uneori, decriptarea poate dura câteva luni.

Alte servicii

Există tot mai multe servicii cu funcții similare, ceea ce indică cererea de servicii de decriptare. Algoritmul acțiunilor este același: accesați site-ul (de exemplu, https://decryptolocker.com/), înregistrați-vă și trimiteți fișierul criptat.

Programe de decodor

Există o mulțime de „decodoare universale” (desigur, plătite) în rețea, dar utilitatea lor este discutabilă. Desigur, dacă producătorii de viruși scriu înșiși un decodor, acesta va funcționa cu succes, dar același program va fi inutil pentru o altă aplicație rău intenționată. În plus, specialiștii care se confruntă cu viruși în mod regulat au de obicei un pachet complet de utilități necesare, astfel încât au toate programele de lucru cu o mare probabilitate. Cumpărarea unui astfel de decodor este probabil o risipă de bani.

Cum să decriptați fișierele folosind Kaspersky Lab - video

Recuperarea informațiilor prin autoservire

Dacă din anumite motive este imposibil să contactați specialiști terți, puteți încerca să recuperați informațiile pe cont propriu. Să facem o rezervare că, în caz de eșec, fișierele se pot pierde definitiv.

Recuperarea fișierelor șterse

După criptare, virusul șterge fișierele originale. Cu toate acestea, Windows 7 stochează de ceva timp toate informațiile șterse sub forma unei așa-numite copii umbre.

ShadowExplorer

ShadowExplorer este un utilitar conceput pentru a recupera fișierele din copiile umbră ale acestora.

PhotoRec

Utilitarul gratuit PhotoRec funcționează în același mod, dar în modul lot.

Îndepărtarea virusului

De când virusul a intrat în computer, programele de securitate instalate nu au făcut față sarcinii lor. Puteți încerca ajutorul de la terți.

Important! Eliminarea virusului vindecă computerul, dar nu restaurează fișierele criptate. În plus, instalarea de software nou poate deteriora sau șterge unele copii umbră ale fișierelor care sunt necesare pentru restaurarea acestora. Prin urmare, este mai bine să instalați aplicații pe alte unități.

Instrumentul de eliminare a virusurilor Kaspersky

Program gratuit al unui dezvoltator binecunoscut de software antivirus, care poate fi descărcat de pe site-ul web Kaspersky Lab. După lansarea Kaspersky Virus Removal Tool, acesta vă solicită imediat să începeți scanarea.

După apăsarea butonului mare de pe ecran „Start Scan”, programul începe să scaneze computerul.

Rămâne să așteptați până la sfârșitul scanării și să ștergeți oaspeții neinvitați găsiți.

Malwarebytes Anti-malware

Un alt dezvoltator de software antivirus care oferă o versiune gratuită a scanerului. Algoritmul acțiunilor este același:

Ce sa nu faci

Virusul XTBL, ca și alți viruși ransomware, dăunează atât sistemului, cât și informațiilor utilizatorului. Prin urmare, pentru a reduce daunele potențiale, ar trebui luate câteva măsuri de precauție:

1. Nu așteptați sfârșitul criptării. Dacă criptarea fișierelor a început chiar sub ochii tăi, nu așteptați până când totul se va termina sau încercați să întrerupeți procesul cu ajutorul software-ului. Deconectați imediat computerul și sunați la un tehnician de service.
2. Nu încercați să eliminați singur virusul dacă aveți încredere în profesioniști.
3. Nu reinstalați sistemul până la sfârșitul tratamentului. Virusul va infecta în siguranță și noul sistem.
4. Nu redenumiți fișierele criptate. Acest lucru nu va face decât să complice munca decodorului.
5. Nu încercați să citiți fișierele infectate de pe alt computer până când virusul nu este îndepărtat. Acest lucru poate răspândi infecția.
6. Nu plătiți estorcatorii. Este inutil și încurajează creatorii de viruși și escrocii.
7. Nu uita de prevenire. Instalarea de antivirus, backup-uri regulate și crearea de puncte de restaurare vor reduce semnificativ daunele potențiale cauzate de malware.

Vindecarea unui computer infectat cu un virus ransomware este o procedură lungă și nu întotdeauna reușită. Prin urmare, este atât de important să respectați măsurile de precauție atunci când obțineți informații din rețea și lucrați cu medii externe neverificate.

O zi bună tuturor, dragii mei prieteni și cititori ai blogului meu. Astăzi subiectul va fi destul de trist, pentru că va atinge viruși. Vă voi povesti despre un caz care sa întâmplat nu cu mult timp în urmă la serviciul meu. Un angajat cu voce agitată m-a sunat în departament: „Dima, virusul are fișiere criptate pe computer: ce să faci acum?”. Atunci mi-am dat seama că carcasa mirosea a prăjit, dar până la urmă m-am dus să o văd.

Da. Totul s-a dovedit a fi trist. Majoritatea fișierelor de pe computer au fost infectate, sau mai degrabă criptate: documente Office, fișiere PDF, baze de date 1C și multe altele. În general, fundul este complet. Probabil că doar arhivele, aplicațiile și documentele text nu au fost afectate (bine, și mult mai mult). Toate aceste date și-au schimbat extensia și, de asemenea, și-au schimbat numele în ceva de genul sjd7gy2HjdlVnsjds.
De asemenea, pe desktop si in foldere au aparut mai multe documente identice README.txt.Se spun sincer ca computerul tau este infectat si ca sa nu faci nicio actiune, sa nu stergi nimic, sa nu verifici software-ul antivirus, altfel fisierele nu vor fi. fi returnat.
Fișierul mai spune că acești oameni drăguți vor putea să restabilească totul așa cum era. Pentru a face acest lucru, ei trebuie să trimită cheia din document pe poștă, după care veți primi instrucțiunile necesare. Ei nu scriu prețul, dar, de fapt, se dovedește că costul returului este cam de 20.000 de ruble.

Merită datele tale banii? Sunteți gata să plătiți pentru a elimina ransomware-ul? Mă îndoiesc. Atunci ce este de făcut? Să vorbim despre asta mai târziu. Între timp, să începem totul în ordine.

De unde vine

De unde vine acest virus ransomware urât? Totul este foarte simplu aici. Oamenii îl ridică prin e-mail. De regulă, acest virus pătrunde în organizații, în cutiile poștale corporative, deși nu numai. În aparență, nu îl iei drept kaku, deoarece nu vine sub formă de spam, ci de la o organizație serioasă cu adevărat existentă, de exemplu, am primit o scrisoare de la furnizorul Rostelecom din poșta lor oficială.

Scrisoarea era complet obișnuită, ca „Noi planuri tarifare pentru persoane juridice”. Înăuntru este un fișier PDF. Și când deschideți acel fișier, deschideți cutia Pandorei. Toate fișierele importante sunt criptate și se transformă în „cărămizi” în cuvinte simple. Iar antivirusurile nu prind prostiile astea imediat.

Ce am făcut și ce nu a funcționat

Desigur, la noi, nimeni nu a vrut să plătească 20 de mii pentru asta, deoarece informațiile nu au costat atât de mult și, în plus, contactarea escrocilor nu era deloc o opțiune. Și în plus, nu este un fapt că pentru această sumă vei fi deblocat totul.

Am trecut prin utilitarul drweb cureit și a găsit un virus, dar nu avea niciun sens din el, deoarece chiar și după virus fișierele au rămas criptate. Eliminarea virusului s-a dovedit a fi ușoară, dar a face față consecințelor este mult mai dificilă. Am fost pe forumurile Doctor Web și Kaspersky și acolo am găsit subiectul de care aveam nevoie și am învățat, de asemenea, că nici acolo, nici acolo nu pot ajuta la decriptare. Totul a fost foarte puternic criptat.

Pe de altă parte, au început să apară motoarele de căutare cu rezultate pe care unele companii decriptează fișierele pe bază de plată. Ei bine, m-a interesat, mai ales că firma s-a dovedit a fi reală, cu adevărat existentă. Pe site-ul lor, s-au oferit să descifreze cinci piese gratuit pentru a-și arăta abilitățile. Ei bine, le-am luat și le-am trimis cele mai importante 5 fișiere după părerea mea.
După ceva timp, am primit răspuns că au reușit să descifreze totul și că îmi vor lua 22 de mii pentru o decodare completă. Și nu au vrut să-mi dea dosarele. Așa că am presupus imediat că cel mai probabil lucrează în tandem cu escrocii. Ei bine, bineînțeles că au fost trimiși în iad.

• folosind programele „Recuva” și „RStudio”
• Rulate de diverse utilitare
• Ei bine, ca să mă liniștesc, nu m-am putut abține să nu încerc (deși știam perfect că acest lucru nu va ajuta) este pur și simplu banal la dreapta. Brad desigur)

Nimic din toate astea nu a funcționat pentru mine. Dar am găsit totuși o cale de ieșire. \ R \ n \ r \ nDesigur, dacă aveți brusc o astfel de situație, atunci uitați-vă la ce extensie sunt criptate fișierele. După aceea du-te la http://support.kaspersky.com/viruses/disinfection/10556și vedeți ce extensii sunt listate. Dacă extensia dvs. este pe listă, atunci utilizați acest utilitar.
Dar în toate cele 3 cazuri pe care le-am văzut cu aceste ransomware, niciunul dintre aceste utilitare nu a ajutat. Mai exact, m-am întâlnit cu un virus „Codul lui Da Vinci”și "SEIF"... În primul caz, atât numele, cât și extensia s-au schimbat, iar în al doilea doar extensia. În general, există o mulțime de astfel de ransomware. Aud nenorociți precum xtbl, nu mai mult răscumpărare, mai bine sunați pe Saul și mulți alții.

Ce a ajutat

Ați auzit vreodată de copii umbra? Deci, atunci când este creat un punct de restaurare, copiile umbră ale fișierelor dvs. sunt create automat. Și dacă s-a întâmplat ceva cu fișierele dvs., atunci le puteți returna oricând la momentul în care a fost creat punctul de restaurare. Un program grozav pentru recuperarea fișierelor din copii umbre ne va ajuta în acest sens.

A începe Descarcași instalați programul „Shadow Explorer”. Dacă cea mai recentă versiune vă deranjează (se întâmplă), atunci instalați-o pe cea anterioară.

Accesați Shadow Explorer. După cum putem vedea, partea principală a programului este similară cu exploratorul, adică. fișiere și foldere. Acum acordați atenție colțului din stânga sus. Acolo vedem litera și data unității locale. Această dată înseamnă că toate fișierele prezentate pe unitatea C sunt actualizate la acel moment. Il am pe 30 noiembrie. Aceasta înseamnă că ultimul punct de restaurare a fost creat pe 30 noiembrie.
Dacă facem clic pe lista derulantă de date, vom vedea pentru ce numere mai avem copii umbră. Și dacă faceți clic pe lista derulantă a unităților locale și selectați, de exemplu, unitatea D, atunci vom vedea data la care avem fișierele reale. Dar pentru condus D punctele nu sunt create automat, așa că acest articol trebuie înregistrat în setări. aceasta foarte usor de facut.
După cum puteți vedea, dacă pentru disc C Am o întâlnire destul de recentă, atunci pentru disc D ultimul punct a fost creat acum aproape un an. Ei bine, atunci o facem punct cu punct:

Tot. Acum nu mai rămâne decât să așteptați finalizarea exportului. Și apoi mergem la același folder pe care l-ați ales și verificăm toate fișierele pentru deschidere și performanță. Totul este minunat).
Știu că Internetul oferă și alte metode diferite, utilități etc., dar nu voi scrie despre ele, pentru că m-am confruntat deja cu această problemă pentru a treia oară și niciodată nu m-au ajutat nimic în afară de copiile umbre. Deși poate că nu sunt atât de norocos).

Dar, din păcate, ultima dată am reușit să recuperăm doar acele fișiere care se aflau pe unitatea C, deoarece în mod implicit punctele au fost create doar pentru unitatea C. În consecință, nu au existat copii umbră pentru unitatea D. Desigur, trebuie să vă amintiți, de asemenea, la ce puncte de restaurare pot duce, așa că fiți atenți și la asta.

Și pentru a putea fi create copii shadow pentru alte hard disk-uri, aveți nevoie și de ele.

Profilaxie

Pentru a preveni problemele de recuperare, trebuie să faceți profilaxie. Pentru a face acest lucru, trebuie să respectați următoarele reguli.

Apropo, odată ce acest virus a criptat fișierele pe o unitate flash USB, unde erau stocate certificatele noastre cheie pentru semnătura digitală. Așa că aveți mare grijă și cu unitățile flash.

Salutări, Dmitri Kostin.

Există o mare varietate de programe rău intenționate. Printre aceștia, există viruși ransomware extrem de urâți care, o dată pe computer, încep să cripteze fișierele utilizatorului. În unele cazuri, există șanse mari să vă decriptați fișierele, dar uneori nu funcționează. Vom avea în vedere toate acțiunile necesare, atât pentru primul, cât și pentru al doilea caz, în cazurile în care.

Acești viruși pot diferi ușor, dar, în general, acțiunile lor sunt întotdeauna aceleași:

• instalați pe un computer;
• criptați toate fișierele care pot avea orice valoare (documente, fotografii);
• atunci când încercați să deschideți aceste fișiere, solicitați utilizatorului să depună o anumită sumă în portofelul sau contul atacatorului, altfel accesul la conținut nu va fi deschis niciodată.

Fișiere criptate de viruși în xtbl

În prezent, un virus a devenit suficient de răspândit încât să poată cripta fișierele și să le schimbe extensia în .xtbl, precum și să le înlocuiască numele cu caractere complet aleatorii.

În plus, un fișier special cu instrucțiuni este creat într-un loc vizibil. citiți-mă.txt... În ea, atacatorul confruntă utilizatorul cu faptul că toate datele sale importante au fost criptate și acum nu este atât de ușor să le deschidă, completând acest lucru cu faptul că, pentru a readuce totul la starea anterioară, este necesar să efectuați anumite acțiuni legate de transferul de bani către fraudator (de obicei, înainte de aceasta, trebuie să trimiteți un anumit cod la una dintre adresele de e-mail sugerate). Adesea, astfel de mesaje sunt completate cu un postscript care, atunci când încercați să vă decriptați singur toate fișierele, riscați să le pierdeți pentru totdeauna.

Din păcate, în acest moment, oficial nimeni nu a reușit să decripteze .xtbl, dacă apare o modalitate de lucru, cu siguranță vom informa despre aceasta în articol. Printre utilizatori se numără cei care au avut o experiență similară cu acest virus și le-au plătit fraudătorilor suma cerută, primind în schimb decriptarea documentelor lor. Dar acesta este un pas extrem de riscant, pentru că printre atacatori se numără și cei care nu se vor deranja cu decriptarea promisă, până la urmă vor fi bani la gunoi.

Ce faci atunci, întrebi? Vă oferim câteva sfaturi pentru a vă ajuta să vă recuperați toate datele și, în același timp, să nu vă lăsați conduși de escroci și să le oferiți banii. Și deci ce trebuie făcut:

1. Dacă știți cum să lucrați în Task Manager, întrerupeți imediat criptarea fișierelor, oprind procesul suspect. În același timp, deconectați computerul de la Internet - multe ransomware au nevoie de o conexiune la rețea.
2. Luați o hârtie și scrieți pe ea codul care se oferă pentru a fi trimis infractorilor cibernetici prin poștă (copa de hârtie pentru că fișierul în care veți scrie poate deveni și el inaccesibil pentru citire).
3. Utilizați Malwarebytes Antimalware, o versiune de probă Kaspersky IS sau CureIt Antivirus pentru a elimina malware-ul. Pentru o mai mare fiabilitate, este mai bine să folosiți în mod constant toate mijloacele propuse. Deși Kaspersky Anti-Virus nu poate fi instalat dacă sistemul are deja un antivirus principal, în caz contrar pot apărea conflicte de software. Toate celelalte utilități pot fi utilizate în orice situație.
4. Așteptați până când una dintre companiile antivirus a dezvoltat un decriptor funcțional pentru astfel de fișiere. Cel mai eficient mod de a face acest lucru este Kaspersky Lab.
5. În plus, puteți trimite către [email protected] o copie a fișierului care a fost criptat cu codul necesar și, dacă există, același fișier în forma sa originală. Este posibil ca acest lucru să accelereze dezvoltarea unei metode de decriptare a fișierelor.

Nu faceți în nicio circumstanță:

• redenumirea acestor documente;
• modificarea expansiunii lor;
• ștergerea fișierelor.

Acești troieni criptează, de asemenea, fișierele utilizatorilor și apoi le extorcă. În același timp, fișierele criptate pot avea următoarele extensii:

• .încuiat
• .cripto
• .kraken
• .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
• [email protected] _com
• .oshit
• Alte.

Din fericire, un utilitar de decriptare dedicat a fost deja creat - RakhniDecryptor... Îl puteți descărca de pe site-ul oficial.

Pe același site, puteți citi instrucțiunile care arată în detaliu și clar cum să utilizați utilitarul pentru a decripta toate fișierele la care a lucrat troianul. În principiu, pentru o mai mare fiabilitate, merită să excludeți elementul pentru ștergerea fișierelor criptate. Dar cel mai probabil, dezvoltatorii au făcut tot posibilul pentru a crea utilitarul și nimic nu amenință integritatea datelor.

Cei care folosesc antivirus Dr.Web licențiat au acces gratuit la decriptare de la dezvoltatori http://support.drweb.com/new/free_unlocker/.

Alte tipuri de viruși ransomware

Uneori, puteți întâlni și alți viruși care criptează fișierele importante și solicită plata pentru returnarea totul la forma inițială. Oferim o mică listă cu utilități pentru a face față consecințelor celor mai obișnuiți viruși. Acolo vă puteți familiariza și cu principalele semne prin care puteți distinge un anumit program troian.

În plus, o modalitate bună ar fi să vă scanați computerul cu Kaspersky Anti-Virus, care va detecta oaspetele neinvitat și îi va atribui un nume. După acest nume, puteți deja să căutați un decodor pentru el.

• Trojan-Ransom.Win32.Rector- un scrambler tipic ransomware care vă cere să trimiteți SMS-uri sau să efectuați alte acțiuni de acest fel, luăm decriptorul de pe acest link.
• Trojan-Ransom.Win32.Xorist- o variantă a troianului precedent, puteți obține un decodor cu un manual pentru utilizarea acestuia.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- exista si un utilitar special pentru acesti baieti, vezi link-ul.
• Trojan.Encoder858, Trojan.Encoder.741- aceste programe malware pot fi detectate de utilitarul CureIt. Au nume similare, dar numerele de la sfârșitul numelui pot diferi. Căutăm decodorul după numele virusului sau, dacă folosești Dr.Web licențiat, poți folosi o resursă specială.
• CryptoLacker- pentru a vă recupera fișierele, vizitați acest site și prin el generează un program special pentru a vă recupera documentele.

Recent, Kaspersky Lab, în ​​cooperare cu colegii săi din Țările de Jos, a creat un decriptor care vă permite să recuperați fișierele după ce un virus a lucrat asupra lor. CoinVault.

În comentarii, puteți împărtăși metodele dvs. de decriptare a fișierelor, deoarece aceste informații vor fi utile altor utilizatori care ar putea întâlni astfel de software rău intenționat.

Luptă împotriva noilor amenințări viruși - ransomware

Am scris recent că noi amenințări se răspândesc în rețea - viruși ransomware sau, mai pe larg, viruși care criptează fișierele, puteți citi mai multe despre ele pe site-ul nostru la acest link.

În acest subiect, vă vom spune cum puteți recupera datele criptate de un virus, pentru aceasta vom folosi două decriptoare, din anti-virusul „Kaspersky” și „Doctor Web”, acestea sunt cele mai eficiente metode de returnare a informațiilor criptate. .

1. Descărcați utilitarele pentru decriptarea fișierelor din linkurile: Kaspersky și Dr.WEB

Sau decriptoare pentru tipul specific de fișiere criptate care sunt localizate.

2. În primul rând, vom încerca să decriptăm fișierele folosind un program de la Kaspersky:

2.1. Lansați programul Kaspersky Decryptor, dacă solicită o acțiune, de exemplu, permisiuni de lansare - lansați-l, dacă cere o actualizare - actualizați-l, acest lucru va crește șansele de a returna datele criptate

2.2. În fereastra apărută a programului de decriptare a fișierelor, vedem mai multe butoane. Configurați parametri suplimentari și începeți verificarea.

2.3. Dacă trebuie să selectați parametri suplimentari și să indicați unde să căutați fișierele criptate și, dacă este necesar - ștergeți după decriptare, nu vă sfătuiesc să selectați această opțiune, fișierele nu sunt întotdeauna decriptate corect!

2.4. Începem scanarea și așteptăm decriptarea datelor noastre criptate de virus.

3. Dacă prima metodă nu a funcționat. Încercăm să decriptăm fișierele folosind un program de la Dr. WEB

3.1. După ce ați descărcat aplicația de decriptare, puneți-o, de exemplu, în rădăcina unității „C:”., așa că fișierul „te102decrypt.exe” ar trebui să fie disponibil la „c:\te102decrypt.exe”

3.2. Acum accesați linia de comandă(Start-Căutare-Introduceți „CMD” fără ghilimele-rulați apăsând Enter)

3.3. Pentru a începe decriptarea fișierelor prescriem comanda „c:\te102decrypt.exe -k 86 -e (cod ransomware)”... Codul ransomware este o extensie atașată la sfârșitul fișierului, de exemplu " [email protected] _45jhj "- scrieți fără ghilimele și paranteze, observând spațiile. Ar trebui să obțineți ceva de genul c: \ te102decrypt.exe -k 86 -e [email protected] _45jhj

3.4. Apăsați Enter și așteptați ca fișierele să fie decriptate care au fost criptate, în unele cazuri, se creează mai multe copii ale fișierelor decriptate, încerci să le rulezi, acea copie a fișierului decriptat care se deschide normal - salvează, restul se poate șterge.

Descărcați restul decodoarelor de fișiere:

Atenţie: asigurați-vă că salvați o copie a fișierelor criptate pe un suport extern sau pe alt computer. Decriptoarele prezentate mai jos pot să nu decripteze fișierele, ci doar să le strice!

Cel mai bine este să rulați decriptorul pe o mașină virtuală sau pe un computer special pregătit, după ce ați descărcat anterior mai multe fișiere pe ele.

Decodoarele prezentate mai jos funcționează după cum urmează: De exemplu, fișierele dvs. sunt criptate cu instrumentul de criptare amba și fișierele au arătat ca „Contract.doc.amba” sau „Account.xls.amba”, apoi descarcăm decriptorul pentru fișierele amba și pur și simplu îl rulăm, acesta va găsi toate fișierele cu această extensie și decriptați-o, dar din nou, protejați-vă și în mod preliminar copia de rezervă a fișierelor criptateîn caz contrar, puteți pierde pentru totdeauna datele decriptate incorect!

Dacă nu doriți să riscați, atunci trimiteți-ne câteva fișiere, după ce ne-ați contactat în prealabil folosind formularul de feedback, vom lansa decodorul pe un computer special pregătit izolat de Internet.

Fișierele prezentate au fost verificate de cea mai recentă versiune de Kaspersky Anti-Virus și cu cele mai recente actualizări ale bazei de date.

Faptul că internetul este plin de viruși nu surprinde pe nimeni astăzi. Mulți utilizatori percep situații legate de impactul lor asupra sistemelor sau datelor personale, ca să spunem ușor, închizând ochii, dar numai până când virusul de criptare se instalează în mod specific în sistem. Majoritatea utilizatorilor obișnuiți nu știu cum să vindece și să decripteze datele stocate pe un hard disk. Prin urmare, acest contingent este „condus” la revendicările înaintate de atacatori. Dar haideți să vedem ce puteți face dacă o astfel de amenințare este detectată sau pentru a o împiedica să intre în sistem.

Ce este un virus ransomware?

Acest tip de amenințare utilizează algoritmi de criptare a fișierelor standard și non-standard care le modifică complet conținutul și blochează accesul. De exemplu, va fi absolut imposibil să deschideți un fișier text criptat pentru citire sau editare, precum și redarea conținutului multimedia (grafică, video sau audio) după expunerea la un virus. Nici măcar operațiunile standard pentru copierea sau mutarea obiectelor nu sunt disponibile.

Însuși umplerea software a virusului este mijlocul care criptează datele în așa fel încât să nu fie întotdeauna posibilă restabilirea stării lor inițiale chiar și după eliminarea amenințării din sistem. De obicei, astfel de programe rău intenționate își creează propriile copii și se instalează foarte adânc în sistem, astfel încât virusul de criptare a fișierelor poate fi uneori complet imposibil de eliminat. Prin dezinstalarea programului principal sau ștergerea corpului principal al virusului, utilizatorul nu scapă de impactul amenințării, darămite restabilirea informațiilor criptate.

Cum intră amenințarea în sistem?

De regulă, amenințările de acest tip vizează în mare parte structurile comerciale mari și pot pătrunde în computere prin programe de poștă atunci când un angajat deschide un document presupus atașat într-un e-mail, care este, să zicem, o completare la un fel de acord de cooperare sau planul de aprovizionare cu bunuri (ofertele comerciale cu investiții din surse dubioase sunt prima cale pentru virus).

Problema este că un virus ransomware de pe o mașină care are acces la o rețea locală este capabil să se adapteze și în acesta, creându-și propriile copii nu numai într-un mediu în rețea, ci și pe terminalul administratorului, dacă îi lipsește protecția necesară în sub formă de software antivirus.firewall sau firewall.

Uneori, astfel de amenințări pot pătrunde și în sistemele informatice ale utilizatorilor obișnuiți, care, în general, nu prezintă interes pentru infractorii cibernetici. Acest lucru se întâmplă în momentul instalării unor programe descărcate din resurse de internet dubioase. Mulți utilizatori, atunci când pornesc descărcarea, ignoră avertismentele sistemului de protecție antivirus, iar în timpul procesului de instalare nu acordă atenție sugestiilor de a instala software, panouri sau plug-in-uri suplimentare pentru browsere și apoi, pe măsură ce aceștia spune, mușcă-le din coate.

Soiuri de viruși și puțină istorie

Practic, amenințările de acest tip, în special cel mai periculos virus ransomware No_more_ransom, sunt clasificate nu doar ca instrumente pentru criptarea datelor sau blocarea accesului la acestea. De fapt, toate aceste aplicații rău intenționate sunt clasificate drept ransomware. Cu alte cuvinte, infractorii cibernetici cer o anumită sumă de bani pentru decriptarea informațiilor, crezând că acest proces va fi imposibil de realizat fără un program inițial. Acesta este parțial cazul.

Însă dacă ai săpa în istorie, vei observa că unul dintre primii viruși de acest tip, deși nu a impus cerințe de bani, a fost infamul applet I Love You, care a criptat complet fișierele multimedia (în principal melodii) în sistemele utilizatorilor. . Decriptarea fișierelor după virusul ransomware sa dovedit a fi imposibilă la acel moment. Acum, această amenințare poate fi abordată într-un mod elementar.

Dar dezvoltarea virușilor înșiși sau a algoritmilor de criptare utilizați nu stă pe loc. Ce lipsește printre viruși - aici aveți XTBL și CBF și Breaking_Bad și [email protected], și o grămadă de alte lucruri urâte.

Tehnica de influențare a fișierelor utilizator

Și dacă până de curând majoritatea atacurilor erau efectuate folosind algoritmi RSA-1024 bazați pe criptare AES cu același bitness, același virus ransomware No_more_ransom este astăzi prezentat în mai multe interpretări, folosind chei de criptare bazate pe tehnologiile RSA-2048 și chiar RSA-3072.

Probleme de decriptare pentru algoritmii utilizați

Problema este că sistemele moderne de decriptare sunt neputincioase în fața unui astfel de pericol. Decriptarea fișierelor după virusul ransomware bazat pe AES256 este încă oarecum acceptată și, cu o rată de biți mai mare a cheii, aproape toți dezvoltatorii ridică din umeri. Acest lucru, apropo, a fost confirmat oficial de specialiștii de la Kaspersky Lab și Eset.

În cea mai primitivă versiune, utilizatorului care a contactat serviciul de asistență i se cere să trimită un fișier criptat și originalul acestuia pentru comparare și operațiuni ulterioare pentru a determina algoritmul de criptare și metodele de recuperare. Dar, de regulă, în majoritatea cazurilor acest lucru nu funcționează. Dar virusul ransomware poate decripta fișierele singur, așa cum se crede, cu condiția ca victima să fie de acord cu termenii atacatorilor și să plătească o anumită sumă în termeni monetari. Cu toate acestea, o astfel de formulare a întrebării ridică îndoieli legitime. Si de aceea.

Virus de criptare: cum să vindeci și să decriptezi fișierele și se poate face?

După efectuarea plății, se spune că hackerii activează decriptarea prin acces de la distanță la virusul lor care se află pe sistem sau printr-un applet suplimentar dacă corpul virusului a fost eliminat. Pare mai mult decât îndoielnic.

De asemenea, aș dori să remarc faptul că Internetul este plin de postări false care spun că, se spune, a fost plătită suma necesară, iar datele au fost restaurate cu succes. Totul este o minciună! Și într-adevăr - unde este garanția că, după plată, virusul de criptare din sistem nu va fi activat din nou? Nu este greu de înțeles psihologia spărgătorilor: dacă plătești o dată, plătești din nou. Și dacă vorbim de informații deosebit de importante precum evoluții comerciale, științifice sau militare specifice, deținătorii unor astfel de informații sunt gata să plătească atât cât este necesar, pentru ca fișierele să rămână intacte și în siguranță.

Primul remediu pentru eliminarea amenințării

Aceasta este natura unui virus ransomware. Cum să dezinfectați și să decriptați fișierele după ce ați fost expus la o amenințare? Da, în niciun caz, dacă nu există instrumente la îndemână, care, de asemenea, nu ajută întotdeauna. Dar poți încerca.

Să presupunem că un virus ransomware a apărut pe sistem. Cum dezinfectez fișierele infectate? În primul rând, ar trebui să efectuați o scanare aprofundată a sistemului fără utilizarea tehnologiei S.M.A.R.T., care detectează amenințările numai atunci când sectoarele de boot și fișierele de sistem sunt deteriorate.

Este recomandabil să nu folosiți scanerul standard existent, care a ratat deja amenințarea, ci să folosiți utilități portabile. Cea mai bună opțiune ar fi pornirea de pe Kaspersky Rescue Disk, care poate porni chiar înainte ca sistemul de operare să înceapă să funcționeze.

Dar aceasta este doar jumătate din luptă, deoarece astfel poți scăpa doar de virusul în sine. Dar cu decodor va fi mai dificil. Dar mai multe despre asta mai târziu.

Există o altă categorie în care se încadrează virușii ransomware. Cum să decriptați informațiile se va spune separat, dar deocamdată să ne oprim asupra faptului că acestea pot exista complet deschis în sistem sub forma unor programe și aplicații instalate oficial (obrăznicia atacatorilor nu cunoaște limite, deoarece amenințarea nu are limite). nici măcar nu încearcă să se deghizeze).

În acest caz, ar trebui să utilizați secțiunea de programe și componente în care se efectuează dezinstalarea standard. Cu toate acestea, ar trebui să acordați atenție faptului că programul standard de dezinstalare Windows nu șterge complet toate fișierele de program. În special, virusul ransomware pentru răscumpărare este capabil să-și creeze propriile foldere în directoarele rădăcină a sistemului (de obicei, acestea sunt directoare Csrss, unde este prezent fișierul executabil csrss.exe cu același nume). Windows, System32 sau directoarele de utilizatori (Utilizatori de pe unitatea de sistem) sunt selectate ca locație principală.

În plus, virusul No_more_ransom ransomware își scrie propriile chei în registru sub forma unei legături aparent către serviciul oficial de sistem Client Server Runtime Subsystem, ceea ce este înșelător pentru mulți, deoarece acest serviciu ar trebui să fie responsabil pentru interacțiunea dintre software-ul client și server. . Cheia în sine se află în folderul Run, la care se poate ajunge prin filiala HKLM. Este clar că va trebui să ștergeți manual astfel de chei.

Pentru a fi mai ușor, puteți utiliza utilitare precum iObit Uninstaller, care caută automat fișierele rămase și cheile de registry (dar numai dacă virusul este vizibil în sistem ca aplicație instalată). Dar acesta este cel mai simplu lucru de făcut.

Soluții oferite de dezvoltatorii de software antivirus

Se crede că decriptarea virusului ransomware se poate face folosind utilități speciale, deși dacă aveți tehnologii cu o cheie de 2048 sau 3072 de biți, nu ar trebui să vă bazați pe ele (în plus, multe dintre ele șterg fișierele după decriptare, iar apoi fișierele restaurate dispar din cauza prezenței unui corp de virus care nu a fost eliminat înainte).

Cu toate acestea, puteți încerca. Dintre toate programele, RectorDecryptor și ShadowExplorer merită evidențiate. Se crede că până acum nu s-a creat nimic mai bun. Dar problema poate fi și că atunci când încercați să utilizați decriptorul, nu există nicio garanție că fișierele care sunt dezinfectate nu vor fi șterse. Adică, dacă nu scapi inițial de virus, orice încercare de decriptare va fi sortită eșecului.

Pe lângă ștergerea informațiilor criptate, aceasta poate fi, de asemenea, fatală - întregul sistem va fi inoperant. În plus, un virus ransomware modern este capabil să afecteze nu numai datele stocate pe hard diskul unui computer, ci și fișierele din stocarea în cloud. Și aici nu există soluții pentru a restabili informațiile. În plus, după cum sa dovedit, multe servicii iau măsuri de protecție insuficient de eficiente (același OneDrive încorporat în Windows 10, care este expus direct din sistemul de operare).

O soluție radicală a problemei

După cum este deja clar, majoritatea metodelor moderne nu dau un rezultat pozitiv atunci când sunt infectate cu astfel de viruși. Desigur, dacă există un original al fișierului deteriorat, acesta poate fi trimis spre examinare la un laborator antivirus. Adevărat, există și îndoieli foarte serioase că un utilizator obișnuit va crea copii de rezervă ale datelor care, atunci când sunt stocate pe un hard disk, pot fi, de asemenea, expuse unui cod rău intenționat. Și faptul că, pentru a evita problemele, utilizatorii copiază informații pe medii amovibile, nu vorbim deloc.

Astfel, pentru o soluție radicală a problemei, concluzia se sugerează: formatarea completă a hard disk-ului și a tuturor partițiilor logice cu ștergerea informațiilor. Deci ce să fac? Va trebui să donați dacă nu doriți ca virusul sau copia sa salvată să fie activată din nou în sistem.

Pentru a face acest lucru, nu ar trebui să utilizați instrumentele sistemelor Windows în sine (mă refer la formatarea partițiilor virtuale, deoarece va fi emisă o interdicție când încercați să accesați discul de sistem). Este mai bine să utilizați pornirea de pe medii optice, cum ar fi LiveCD-uri sau distribuții de instalare, cum ar fi cele create folosind Instrumentul de creare media pentru Windows 10.

Înainte de a începe formatarea, cu condiția ca virusul să fie eliminat din sistem, puteți încerca să restabiliți integritatea componentelor sistemului prin linia de comandă (sfc/scannow), dar acest lucru nu va avea niciun efect în ceea ce privește decriptarea și deblocarea datelor. Prin urmare, formatul c: este singura soluție corectă posibilă, indiferent dacă vă place sau nu. Acesta este singurul mod de a scăpa complet de acest tip de amenințare. Din păcate, nu există altă cale! Chiar și tratamentul cu instrumentele standard oferite de majoritatea pachetelor antivirus este neputincios.

În loc de postfață

În ceea ce privește sugerarea concluziilor, putem spune doar că nu există o soluție unică și universală pentru eliminarea consecințelor impactului unor astfel de amenințări astăzi (din păcate, dar un fapt - acest lucru este confirmat de majoritatea dezvoltatorilor și specialiștilor de software antivirus). în domeniul criptografiei).

Rămâne neclar de ce apariția algoritmilor bazați pe criptarea pe 1024, 2048 și 3072 de biți a trecut de cei care sunt direct implicați în dezvoltarea și implementarea unor astfel de tehnologii? Într-adevăr, astăzi algoritmul AES256 este considerat cel mai promițător și mai sigur. Înștiințare! 256! Acest sistem, după cum se dovedește, nu este potrivit pentru virușii moderni. Ce putem spune atunci despre încercările de a le decripta cheile?

Oricum ar fi, este destul de ușor să evitați introducerea unei amenințări în sistem. În cel mai simplu caz, ar trebui să scanați toate mesajele primite cu atașamente în Outlook, Thunderbird și alți clienți de e-mail cu antivirus imediat după primire și în niciun caz să deschideți atașamente până la finalizarea scanării. De asemenea, ar trebui să citiți cu atenție sugestiile pentru instalarea de software suplimentar atunci când instalați unele programe (de obicei sunt scrise cu litere foarte mici sau deghizate ca suplimente standard, cum ar fi actualizarea Flash Player sau altceva). Este mai bine să actualizați componentele media prin site-urile oficiale. Acesta este singurul mod de a preveni cel puțin cumva pătrunderea unor astfel de amenințări în propriul sistem. Consecințele pot fi complet imprevizibile, având în vedere că virușii de acest tip se răspândesc instantaneu în rețeaua locală. Iar pentru companie, o astfel de întorsătură a evenimentelor se poate transforma într-un adevărat colaps al tuturor întreprinderilor.

În cele din urmă, administratorul de sistem nu ar trebui să stea inactiv. Este mai bine să excludeți mijloacele de protecție software într-o astfel de situație. Același firewall (firewall) nu ar trebui să fie software, ci „hardware” (desigur, cu software însoțitor la bord). Și, de la sine înțeles, nici nu merită să economisiți la achiziționarea pachetelor antivirus. Este mai bine să cumpărați un pachet licențiat și să nu instalați programe primitive care se presupune că oferă protecție în timp real numai de cuvintele dezvoltatorului.

Și dacă o amenințare a intrat deja în sistem, secvența de acțiuni ar trebui să includă eliminarea însuși a corpului virusului și abia apoi încearcă să decripteze datele deteriorate. În mod ideal - formatare completă (rețineți, nu rapid cu ștergerea cuprinsului, dar formatare completă, de preferință cu restaurarea sau înlocuirea sistemului de fișiere existent, a sectoarelor de pornire și a înregistrărilor).