Práca škodlivých programov je zvyčajne zameraná na získanie kontroly nad počítačom, jeho začlenenie do siete zombie alebo krádež osobných údajov. Nepozorný používateľ si dlho nemusí všimnúť, že je systém infikovaný. Ale ransomvérové ​​vírusy, najmä xtbl, fungujú úplne iným spôsobom. Robia používateľské súbory nepoužiteľnými tým, že ich zašifrujú najkomplexnejším algoritmom a požadujú od vlastníka veľkú sumu za schopnosť obnoviť informácie.

Príčina problému: vírus xtbl

Vírus xtbl ransomware dostal svoj názov podľa toho, že ním zašifrované používateľské dokumenty dostávajú príponu .xtbl. Kódovače zvyčajne nechávajú kľúč v tele súboru, takže univerzálny dekódovací program môže obnoviť informácie v ich pôvodnej podobe. Vírus je však určený na iné účely, a tak sa namiesto kľúča na obrazovke objaví ponuka na zaplatenie určitej sumy pomocou anonymných údajov o účte.

Ako funguje vírus xtbl

Vírus sa do počítača dostáva prostredníctvom e-mailových správ s infikovanými prílohami, ktorými sú súbory kancelárskych aplikácií. Keď používateľ otvorí obsah správy, malvér začne vyhľadávať fotografie, kľúče, videá, dokumenty atď. a potom ich pomocou originálneho komplexného algoritmu (hybridné šifrovanie) premení na úložiská xtbl.

Vírus používa systémové priečinky na ukladanie svojich súborov.

Vírus sa pridá do spúšťacieho zoznamu. Za týmto účelom pridáva položky do databázy Registry systému Windows v nasledujúcich častiach:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Infikovaný počítač funguje stabilne, systém „nepadá“, ale v RAM sa vždy nachádza malá aplikácia (alebo dve) s nezrozumiteľným názvom. A priečinky s pracovnými súbormi používateľa nadobúdajú zvláštny vzhľad.

Namiesto úvodnej obrazovky sa na pracovnej ploche zobrazí správa:

Vaše súbory boli zašifrované. Na ich dešifrovanie je potrebné poslať kód na e-mailovú adresu: [chránený e-mailom](kód nasleduje). Potom dostanete ďalšie pokyny. Nezávislé pokusy o dešifrovanie súborov povedú k ich úplnému zničeniu.

Rovnaký text je obsiahnutý vo vygenerovanom súbore Ako dešifrovať súbory.txt. E-mailová adresa, kód, požadovaná suma sa môžu líšiť.

Pomerne často niektorí podvodníci zarábajú na iných - číslo elektronickej peňaženky ransomvéru sa vloží do tela vírusu a nemá žiadny spôsob, ako dešifrovať súbory. Dôveryhodný používateľ teda po odoslaní peňazí nedostane nič na oplátku.

Prečo by ste nemali platiť ransomvér

Dohodnúť sa na spolupráci s vydieračmi nie je možné len kvôli morálnym zásadám. To je z praktického hľadiska nerozumné.

Ako chrániť váš systém pred vírusom

Univerzálne pravidlá na ochranu pred malvérom a minimalizáciu škôd pomôžu aj v tomto prípade.

Je možné obnoviť zašifrované informácie

Dobrá správa: obnova dát je možná. Zlé: nemôžete to urobiť sami. Dôvodom je zvláštnosť šifrovacieho algoritmu, ktorého výber kľúča vyžaduje oveľa viac zdrojov a nahromadených znalostí, ako má bežný používateľ. Našťastie, vývojári antivírusov považujú za vec cti vysporiadať sa s každým škodlivým programom, takže aj keď si momentálne nevedia poradiť s vaším ransomware, určite nájdu riešenie do mesiaca či dvoch. Budeme musieť byť trpezliví.

Z dôvodu potreby kontaktovať špecialistov sa mení algoritmus práce s infikovaným počítačom. Vo všeobecnosti platí, že čím menej zmien, tým lepšie. Antivírusy určujú spôsob liečby na základe všeobecných vlastností škodlivého programu, preto sú pre ne infikované súbory zdrojom dôležitých informácií. Mali by sa odstrániť až po vyriešení hlavného problému.

Druhým pravidlom je prerušiť prácu vírusu za každú cenu. Snáď ešte nepokazil všetky informácie a v RAM zostali stopy ransomvéru, pomocou ktorého ho možno identifikovať. Preto musíte okamžite vypnúť počítač zo siete a vypnúť prenosný počítač dlhým stlačením tlačidla siete. Tentoraz nebude fungovať štandardný postup „opatrného“ vypnutia, ktorý umožňuje správne dokončiť všetky procesy, pretože jedným z nich je kódovanie vašich informácií.

Obnova zašifrovaných súborov

Ak sa vám podarilo vypnúť počítač

Ak sa vám podarilo vypnúť počítač pred ukončením procesu šifrovania, nemusíte ho zapínať sami. Vezmite „pacienta“ priamo k špecialistom, prerušované kódovanie výrazne zvyšuje šance na uloženie osobných súborov. Tu môžete tiež skontrolovať pamäťové médium v ​​núdzovom režime a vytvoriť zálohy. S vysokou pravdepodobnosťou bude známy samotný vírus, takže liečba bude úspešná.

Ak je šifrovanie dokončené

Bohužiaľ, pravdepodobnosť úspešného prerušenia procesu šifrovania je veľmi malá. Zvyčajne má vírus čas na zakódovanie súborov a odstránenie nepotrebných stôp z počítača. A teraz máte dva problémy: Windows je stále infikovaný a osobné súbory sa stali znakovou sadou. Na vyriešenie druhého problému je potrebné využiť pomoc výrobcov antivírusového softvéru.

Dr.Web

Dr.Web Laboratory poskytuje svoje dešifrovacie služby bezplatne len majiteľom komerčných licencií. Inými slovami, ak ešte nie ste ich klientom, ale chcete obnoviť svoje súbory, budete si musieť program zakúpiť. Vzhľadom na súčasnú situáciu je to správna investícia.

Ďalším krokom je prejsť na webovú stránku výrobcu a vyplniť vstupný formulár.

Ak medzi zašifrovanými súbormi existujú kópie, ktoré boli uložené na externom médiu, ich prenos značne uľahčí prácu dekodérov.

Kaspersky

Spoločnosť Kaspersky Lab vyvinula vlastný nástroj na dešifrovanie s názvom RectorDecryptor, ktorý je možné stiahnuť do počítača z oficiálnej webovej stránky spoločnosti.

Každá verzia operačného systému, vrátane Windows 7, má svoj vlastný nástroj. Po načítaní stlačte tlačidlo „Spustiť kontrolu“.

Služby môžu chvíľu trvať, ak je vírus relatívne nový. V takom prípade spoločnosť zvyčajne pošle oznámenie. Niekedy môže dešifrovanie trvať niekoľko mesiacov.

Ostatné služby

Služieb s podobnými funkciami je čoraz viac, čo naznačuje dopyt po dešifrovacích službách. Algoritmus akcií je rovnaký: prejdite na stránku (napríklad https://decryptcryptolocker.com/), zaregistrujte sa a odošlite zašifrovaný súbor.

Dekódovacie programy

V sieti je množstvo „univerzálnych dekodérov“ (samozrejme platených), no ich užitočnosť je otázna. Samozrejme, ak samotní výrobcovia vírusov napíšu dekodér, bude úspešne fungovať, ale ten istý program bude pre ďalšiu škodlivú aplikáciu zbytočný. Okrem toho špecialisti, ktorí sa pravidelne stretávajú s vírusmi, majú zvyčajne kompletný balík potrebných nástrojov, takže s vysokou pravdepodobnosťou majú všetky pracovné programy. Kúpa takéhoto dekodéra bude pravdepodobne plytvanie peniazmi.

Ako dešifrovať súbory pomocou Kaspersky Lab - video

Samoobslužná obnova informácií

Ak z nejakého dôvodu nie je možné kontaktovať špecialistov tretích strán, môžete sa pokúsiť obnoviť informácie sami. Urobme rezerváciu, že v prípade zlyhania môžu byť súbory nenávratne stratené.

Obnova zmazaných súborov

Po zašifrovaní vírus vymaže pôvodné súbory. Windows 7 však ukladá všetky vymazané informácie na nejaký čas vo forme takzvanej tieňovej kópie.

ShadowExplorer

ShadowExplorer je nástroj určený na obnovu súborov z ich tieňových kópií.

PhotoRec

Bezplatná utilita PhotoRec funguje rovnakým spôsobom, ale v dávkovom režime.

Odstránenie vírusov

Odkedy sa vírus dostal do počítača, nainštalované bezpečnostné programy nezvládli svoju úlohu. Môžete skúsiť pomoc tretej strany.

Dôležité! Odstránenie vírusu vylieči počítač, ale neobnoví zašifrované súbory. Okrem toho inštalácia nového softvéru môže poškodiť alebo vymazať niektoré tieňové kópie súborov, ktoré sú potrebné na ich obnovenie. Preto je lepšie inštalovať aplikácie na iné disky.

Nástroj Kaspersky Virus Removal Tool

Bezplatný program známeho vývojára antivírusového softvéru, ktorý si môžete stiahnuť z webovej stránky Kaspersky Lab. Po spustení nástroja Kaspersky Virus Removal Tool vás okamžite vyzve na spustenie kontroly.

Po stlačení veľkého tlačidla na obrazovke „Spustiť skenovanie“ program spustí skenovanie počítača.

Zostáva počkať do konca skenovania a vymazať nájdených nepozvaných hostí.

Malwarebytes Anti-malware

Ďalší vývojár antivírusového softvéru, ktorý poskytuje bezplatnú verziu skenera. Algoritmus akcií je rovnaký:

Čo nerobiť

Vírus XTBL, podobne ako iné ransomvérové ​​vírusy, poškodzuje systém aj informácie o používateľovi. Na zníženie možného poškodenia by sa preto mali prijať niektoré preventívne opatrenia:

1. Nečakajte na koniec šifrovania. Ak sa šifrovanie súborov začalo pred vašimi očami, nečakajte, kým sa všetko skončí, alebo sa nepokúšajte prerušiť proces pomocou softvéru. Okamžite odpojte počítač a zavolajte servisného technika.
2. Nepokúšajte sa odstrániť vírus sami, ak môžete dôverovať profesionálom.
3. Neinštalujte systém až do konca liečby. Vírus bezpečne infikuje aj nový systém.
4. Nepremenovávajte šifrované súbory. To len skomplikuje prácu dekodéra.
5. Nepokúšajte sa čítať infikované súbory na inom počítači, kým sa vírus neodstráni. To môže šíriť infekciu.
6. Neplaťte vydieračov. Je to zbytočné a povzbudzuje to tvorcov vírusov a podvodníkov.
7. Nezabúdajte na prevenciu. Inštalácia antivírusu, pravidelné zálohovanie a vytváranie bodov obnovenia výrazne zníži potenciálne škody spôsobené škodlivým softvérom.

Vyliečenie počítača infikovaného vírusom ransomware je dlhý a nie vždy úspešný postup. Preto je také dôležité dodržiavať preventívne opatrenia pri získavaní informácií zo siete a práci s neoverenými externými médiami.

Pekný deň všetkým, moji milí priatelia a čitatelia môjho blogu. Dnes bude téma skôr smutná, pretože sa bude dotýkať vírusov. Poviem vám o prípade, ktorý sa nedávno stal v mojej práci. Zamestnanec s rozrušeným hlasom mi zavolal na oddelenie: „Dima, vírus zašifroval súbory v počítači: čo teraz robiť?“. Potom som si uvedomil, že puzdro vonia smažením, ale nakoniec som za ňou išiel.

Áno. Všetko sa ukázalo byť smutné. Väčšina súborov v počítači bola infikovaná, alebo skôr zašifrovaná: dokumenty balíka Office, súbory PDF, databázy 1C a mnoho ďalších. Vo všeobecnosti je zadok úplný. Ovplyvnené neboli pravdepodobne len archívy, aplikácie a textové dokumenty (no a ešte oveľa viac). Všetky tieto údaje zmenili svoje rozšírenie a tiež zmenili svoje názvy na niečo ako sjd7gy2HjdlVnsjds.
Na ploche a v priečinkoch sa tiež objavilo niekoľko rovnakých dokumentov README.txt, ktoré úprimne hovoria, že váš počítač je infikovaný, takže nemusíte nič robiť, nič nemazať, nekontrolovať antivírusový softvér, inak sa súbory byť vrátený.
Spis tiež hovorí, že títo milí ľudia budú môcť obnoviť všetko tak, ako to bolo. Aby to urobili, musia poslať kľúč od dokumentu na svoju poštu, potom dostanete potrebné pokyny. Nepíšu cenu, ale v skutočnosti sa ukazuje, že náklady na vrátenie sú niečo ako 20 000 rubľov.

Stoja vaše dáta za tie peniaze? Ste pripravení zaplatiť za odstránenie ransomvéru? Pochybujem. Čo potom treba urobiť? Povedzme si o tom neskôr. Medzitým začneme všetko po poriadku.

Odkiaľ to pochádza

Odkiaľ pochádza tento škaredý ransomware vírus? Všetko je tu veľmi jednoduché. Ľudia si to vyzdvihnú cez e-mail. Tento vírus spravidla preniká do organizácií, firemných poštových schránok, hoci nielen. Navonok to neberiete ako kaku, keďže neprichádza vo forme spamu, ale od skutočne existujúcej serióznej organizácie, napríklad sme dostali list od poskytovateľa Rostelecom z ich oficiálnej pošty.

List bol úplne obyčajný, ako „Nové tarify pre právnické osoby“. Vo vnútri je súbor PDF. A keď otvoríte tento súbor, otvoríte Pandorinu skrinku. Všetky dôležité súbory sú zašifrované a jednoduchými slovami sa menia na „tehly“. A antivírusy toto svinstvo nezachytia hneď.

Čo som urobil a čo nevyšlo

Prirodzene, u nás za to nikto nechcel zaplatiť 20 tisíc, keďže informácie nestáli toľko a navyše kontaktovať podvodníkov nebolo vôbec možné. A okrem toho nie je fakt, že za túto sumu vám odblokujú všetko.

Prešiel som nástrojom drweb cureit a našiel vírus, ale nedávalo to zmysel, pretože aj po víruse zostali súbory zašifrované. Odstránenie vírusu sa ukázalo byť jednoduché, no vyrovnať sa s následkami je oveľa ťažšie. Išiel som na fóra Doctor Web a Kaspersky a tam som našiel tému, ktorú som potreboval, a tiež som sa dozvedel, že ani tam, ani tam nemôžu pomôcť s dešifrovaním. Všetko bolo veľmi silne zašifrované.

Na druhej strane sa začali objavovať vyhľadávače s výsledkami, že niektoré spoločnosti dešifrujú súbory na platenom základe. No zaujalo ma to, najmä preto, že sa ukázalo, že spoločnosť je skutočná, skutočne existujúca. Na svojej stránke ponúkli, že zadarmo rozlúštia päť kúskov, aby ukázali svoje schopnosti. Vzal som a poslal som im podľa mňa 5 najdôležitejších súborov.
Po čase mi prišla odpoveď, že sa im všetko podarilo rozlúštiť a za kompletné dekódovanie odo mňa zoberú 22 tisíc. A tie spisy mi nechceli dať. Okamžite som teda predpokladal, že s najväčšou pravdepodobnosťou pracujú v tandeme s podvodníkmi. No, samozrejme, boli poslaní do pekla.

• pomocou programov "Recuva" a "RStudio"
• Prevádzkované rôznymi utilitami
• No, aby som sa upokojil, nedalo mi to skúsiť (hoci som veľmi dobre vedel, že to nepomôže), je to jednoducho všedné napravo. Brad samozrejme)

Nič z toho mi nefungovalo. Ale stále som našiel cestu von. \ R \ n \ r \ nSamozrejme, ak sa náhle vyskytne takáto situácia, pozrite sa, s akou príponou sú súbory šifrované. Potom prejdite na http://support.kaspersky.com/viruses/disinfection/10556 a pozrite sa, ktoré rozšírenia sú uvedené. Ak je vaše rozšírenie na zozname, použite tento nástroj.
Ale vo všetkých 3 prípadoch, ktoré som videl s týmto ransomware, žiadny z týchto nástrojov nepomohol. Konkrétne som sa stretol s vírusom "Da Vinciho kód" a "VAULT"... V prvom prípade sa zmenil názov aj prípona a v druhom len prípona. Vo všeobecnosti existuje veľa takýchto ransomware. Počujem takých bastardov ako xtbl, už žiadne výkupné, radšej volaj saul a mnoho iných.

Čo pomohlo

Počuli ste už o tieňových kópiách? Keď sa teda vytvorí bod obnovenia, automaticky sa vytvoria tieňové kópie vašich súborov. A ak sa niečo stalo s vašimi súbormi, vždy ich môžete vrátiť do okamihu, keď bol vytvorený bod obnovenia. Pomôže nám s tým jeden skvelý program na obnovu súborov z tieňových kópií.

Začať Stiahnuť ▼ a nainštalujte program "Shadow Explorer". Ak vás najnovšia verzia obťažuje (stane sa to), nainštalujte si predchádzajúcu.

Prejdite do Prieskumníka tieňov. Ako vidíme, hlavná časť programu je podobná prieskumníkovi, t.j. súbory a priečinky. Teraz venujte pozornosť ľavému hornému rohu. Tam vidíme písmeno lokálneho disku a dátum. Tento dátum znamená, že všetky súbory na jednotke C sú aktuálne v danom čase. Mám to 30. novembra. To znamená, že posledný bod obnovenia bol vytvorený 30. novembra.
Ak klikneme na rozbaľovací zoznam dátumov, uvidíme, pre ktoré čísla máme ešte tieňové kópie. A ak kliknete na rozbaľovací zoznam lokálnych jednotiek a vyberiete napríklad jednotku D, uvidíme dátum, kedy máme skutočné súbory. Ale pre pohon D body sa nevytvárajú automaticky, preto je potrebné túto položku zaregistrovať v nastaveniach. to veľmi jednoduché.
Ako vidíte, ak pre disk C Mám pomerne nedávny dátum, teda pre disk D posledný bod vznikol takmer pred rokom. No, potom to urobíme bod po bode:

Všetko. Teraz už zostáva len čakať na dokončenie exportu. A potom prejdeme do toho istého priečinka, ktorý ste si vybrali, a skontrolujeme všetky súbory z hľadiska otvárania a výkonu. Všetko je úžasné).
Viem, že internet ponúka ešte nejaké iné metódy, pomôcky a pod., ale o nich nebudem písať, pretože som sa s týmto problémom stretol už tretíkrát a ani raz, nič iné ako tieňové kópie mi nepomohlo. Aj keď možno len nemám také šťastie).

Ale žiaľ, naposledy sa nám podarilo obnoviť iba tie súbory, ktoré boli na disku C, keďže v predvolenom nastavení boli body vytvorené iba pre disk C. V dôsledku toho neexistovali žiadne tieňové kópie pre disk D. Samozrejme, musíte si tiež zapamätať, k akým bodom obnovenia môžu viesť, takže na to dávajte pozor.

A aby sa tieňové kópie vytvorili pre iné pevné disky, potrebujete ich tiež.

Profylaxia

Aby ste predišli problémom s zotavením, musíte urobiť profylaxiu. Aby ste to dosiahli, musíte dodržiavať nasledujúce pravidlá.

Mimochodom, raz tento vírus zašifroval súbory na USB flash disku, kde boli uložené naše kľúčové certifikáty pre digitálny podpis. Buďte teda veľmi opatrní aj pri flash diskoch.

S pozdravom Dmitrij Kostin.

Existuje široká škála škodlivých programov. Medzi nimi sú mimoriadne škaredé vírusy ransomware, ktoré, keď sa dostanú do počítača, začnú šifrovať používateľské súbory. V niektorých prípadoch existuje veľká šanca na dešifrovanie súborov, ale niekedy to nefunguje. Zvážime všetky potrebné opatrenia v prvom aj druhom prípade v prípadoch, keď.

Tieto vírusy sa môžu mierne líšiť, ale vo všeobecnosti sú ich akcie vždy rovnaké:

• nainštalovať do počítača;
• šifrovať všetky súbory, ktoré môžu mať akúkoľvek hodnotu (dokumenty, fotografie);
• pri pokuse o otvorenie týchto súborov požiadajte používateľa, aby vložil určitú sumu do peňaženky alebo účtu útočníka, inak sa prístup k obsahu nikdy neotvorí.

Vírusom šifrované súbory v xtbl

V súčasnosti sa vírus natoľko rozšíril, že dokáže zašifrovať súbory a zmeniť ich príponu na .xtbl, ako aj nahradiť ich názov úplne náhodnými znakmi.

Okrem toho je na viditeľnom mieste vytvorený špeciálny súbor s pokynmi. readme.txt... Útočník v ňom konfrontuje užívateľa so skutočnosťou, že všetky jeho dôležité dáta sú zašifrované a teraz nie je také jednoduché ich otvoriť, pričom to dopĺňa o to, že na vrátenie všetkého do predchádzajúceho stavu je potrebné vykonať určité akcie súvisiace s prevodom peňazí podvodníkovi (zvyčajne predtým musíte poslať určitý kód na jednu z navrhovaných e-mailových adries). Takéto správy sú často doplnené o dodatok, že keď sa pokúsite dešifrovať všetky svoje súbory sami, riskujete, že ich navždy stratíte.

Žiaľ, momentálne sa oficiálne nikomu nepodarilo .xtbl dešifrovať, ak sa objaví funkčný spôsob, určite o tom budeme v článku informovať. Medzi užívateľmi sú takí, ktorí mali podobnú skúsenosť s týmto vírusom a zaplatili podvodníkom požadovanú sumu, pričom na oplátku dostali dešifrovanie ich dokumentov. Ide ale o mimoriadne riskantný krok, pretože medzi kyberzločincami sa nájdu aj takí, ktorí si so sľubovaným dešifrovaním hlavu zvlášť nelámu, v konečnom dôsledku to budú peniaze fuč.

Čo potom robíš, pýtaš sa? Ponúkame niekoľko tipov, ktoré vám pomôžu získať všetky vaše dáta späť a zároveň sa nenecháte viesť podvodníkmi a dáte im svoje peniaze. A čo je teda potrebné urobiť:

1. Ak viete, ako pracovať v Správcovi úloh, okamžite prerušte šifrovanie súborov a zastavte podozrivý proces. Zároveň odpojte počítač od internetu – veľa ransomvéru potrebuje sieťové pripojenie.
2. Vezmite kúsok papiera a napíšte naň kód, ktorý sa ponúka na zaslanie útočníkom poštou (kúsok papiera, pretože súbor, do ktorého budete zapisovať, sa môže tiež stať nedostupným na čítanie).
3. Na odstránenie malvéru použite Malwarebytes Antimalware, skúšobnú verziu Kaspersky IS alebo CureIt Antivirus. Pre väčšiu spoľahlivosť je lepšie dôsledne používať všetky navrhované prostriedky. Hoci Kaspersky Anti-Virus nie je možné nainštalovať, ak systém už má jeden hlavný antivírus, v opačnom prípade môže dôjsť ku konfliktom softvéru. Všetky ostatné nástroje je možné použiť v akejkoľvek situácii.
4. Počkajte, kým jedna z antivírusových spoločností nevyvinie funkčný dešifrovač pre takéto súbory. Najúčinnejším spôsobom, ako to dosiahnuť, je spoločnosť Kaspersky Lab.
5. Okrem toho môžete poslať na [chránený e-mailom] kópiu súboru, ktorý bol zašifrovaný požadovaným kódom, a ak existuje, ten istý súbor v pôvodnej podobe. Je možné, že to môže urýchliť vývoj metódy na dešifrovanie súborov.

V žiadnom prípade nerobte:

• premenovanie týchto dokumentov;
• zmena ich rozšírenia;
• mazanie súborov.

Tieto trójske kone tiež šifrujú súbory používateľov a následne ich vydierajú. Šifrované súbory môžu mať zároveň nasledujúce prípony:

• .zamknuté
• .crypto
• .kraken
• .AES256 (nie nevyhnutne tento trójsky kôň, existujú aj iné, ktoré inštalujú rovnaké rozšírenie).
• [chránený e-mailom] _com
• .oshit
• Iné.

Našťastie už bol vytvorený špeciálny nástroj na dešifrovanie - RakhniDecryptor... Môžete si ho stiahnuť z oficiálnej webovej stránky.

Na tej istej stránke si môžete prečítať pokyny, ktoré podrobne a jasne ukazujú, ako použiť nástroj na dešifrovanie všetkých súborov, na ktorých Trojan pracoval. V zásade sa pre väčšiu spoľahlivosť oplatí vylúčiť položku na mazanie šifrovaných súborov. S najväčšou pravdepodobnosťou však vývojári urobili všetko, čo bolo v ich silách, aby nástroj vytvorili a nič neohrozuje integritu údajov.

Tí, ktorí používajú licencovaný antivírus Dr.Web, majú bezplatný prístup k dešifrovaniu od vývojárov http://support.drweb.com/new/free_unlocker/.

Iné typy ransomvérových vírusov

Niekedy môžete naraziť na iné vírusy, ktoré zašifrujú dôležité súbory a požadujú platbu za vrátenie všetkého do pôvodnej podoby. Ponúkame malý zoznam s nástrojmi na riešenie následkov najbežnejších vírusov. Tam sa tiež môžete zoznámiť s hlavnými znakmi, podľa ktorých môžete rozlíšiť konkrétny trójsky kôň.

Okrem toho by bolo dobrým spôsobom skenovanie počítača pomocou aplikácie Kaspersky Anti-Virus, ktorá rozpozná nepozvaného hosťa a priradí mu meno. Pod týmto názvom už preň môžete hľadať dekodér.

• Trojan-Ransom.Win32.Rector- typický ransomvérový scrambler, ktorý vyžaduje, aby ste posielali SMS alebo vykonávali iné akcie tohto druhu, dešifrovač berieme z tohto odkazu.
• Trojan-Ransom.Win32.Xorist- variácia predchádzajúceho Trojana, môžete získať dekodér s manuálom na jeho použitie.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- pre týchto chlapcov existuje aj špeciálna utilita, pozri odkaz.
• Trojan.Encoder858, Trojan.Encoder.741- tento malvér môže byť detekovaný utilitou CureIt. Majú podobné názvy, ale čísla na konci mena sa môžu líšiť. Hľadáme dekodér podľa názvu vírusu alebo, ak používate licencovaný Dr.Web, môžete použiť špeciálny zdroj.
• CryptoLacker- ak chcete získať svoje súbory späť, navštívte túto stránku a prostredníctvom nej vygenerujte špeciálny program na obnovenie vašich dokumentov.

Nedávno spoločnosť Kaspersky Lab v spolupráci so svojimi kolegami z Holandska vytvorila dešifrovací nástroj, ktorý umožňuje obnoviť súbory po tom, čo na ne zaútočil vírus. CoinVault.

V komentároch môžete zdieľať svoje metódy dešifrovania súborov, pretože tieto informácie budú užitočné pre ostatných používateľov, ktorí sa môžu stretnúť s takýmto škodlivým softvérom.

Bojujte proti novým vírusovým hrozbám - ransomware

Nedávno sme písali, že sieťou sa šíria nové hrozby – ransomvérové ​​vírusy alebo obšírnejšie vírusy šifrujúce súbory, viac sa o nich dočítate na našom webe na tomto odkaze.

V tejto téme vám povieme, ako môžete vrátiť údaje zašifrované vírusom, na tento účel použijeme dva dešifrovače, z antivírusových „Kaspersky“ a „Doctor Web“, sú to najefektívnejšie spôsoby vrátenia zašifrovaných informácií. .

1. Stiahnite si nástroje na dešifrovanie súborov z odkazov: Kaspersky a Dr.WEB

Alebo dešifrovače pre konkrétny typ šifrovaných súborov, ktoré sa nachádzajú.

2. Najprv sa pokúsime dešifrovať súbory pomocou programu od spoločnosti Kaspersky:

2.1. Spustite program Kaspersky Decryptor, ak požaduje nejakú akciu, napríklad povolenia na spustenie - spustite ho, ak žiada o aktualizáciu - aktualizujte, zvýši sa tým šanca na vrátenie zašifrovaných údajov

2.2. V zobrazenom okne programu na dešifrovanie súborov vidíme niekoľko tlačidiel. Nakonfigurujte ďalšie parametre a začnite kontrolovať.

2.3. Ak potrebujete vybrať ďalšie parametre a uviesť, kde hľadať šifrované súbory, a ak je to potrebné - odstrániť po dešifrovaní, neodporúčam vám vybrať túto možnosť, súbory nie sú vždy dešifrované správne!

2.4. Spustíme skenovanie a čakáme na dešifrovanie našich dát zašifrovaných vírusom.

3. Ak prvá metóda nefungovala. Snažíme sa dešifrovať súbory pomocou programu od Dr. WEB

3.1. Po stiahnutí dešifrovacej aplikácie ju vložte napríklad do koreňového adresára jednotky „C:“., takže súbor "te102decrypt.exe" by mal byť dostupný na "c: \ te102decrypt.exe"

3.2. Teraz prejdite na príkazový riadok(Štart-Hľadať-Zadajte „CMD“ bez úvodzoviek-Spustite stlačením Enter)

3.3. Ak chcete spustiť dešifrovanie súborov predpíšeme príkaz "c: \ te102decrypt.exe -k 86 -e (kód ransomvéru)"... Kód ransomvéru je prípona pripojená na koniec súboru, napríklad „ [chránený e-mailom] _45jhj "- píšte bez úvodzoviek a zátvoriek, dodržiavajte medzery. Mali by ste dostať niečo ako c: \ te102decrypt.exe -k 86 -e [chránený e-mailom] _45jhj

3.4. Stlačte Enter a počkajte, kým sa súbory dešifrujú ktoré boli zašifrované, v niektorých prípadoch sa vytvorí niekoľko kópií dešifrovaných súborov, pokúsite sa ich spustiť, tú kópiu dešifrovaného súboru, ktorá sa otvorí normálne - uložte, zvyšok sa dá vymazať.

Stiahnite si zvyšok dekodérov súborov:

Pozor: nezabudnite uložiť kópiu zašifrovaných súborov na externé médium alebo iný počítač. Dešifrovače uvedené nižšie nemusia dešifrovať súbory, ale iba ich pokaziť!

Najlepšie je spustiť decryptor na virtuálnom stroji alebo na špeciálne pripravenom počítači, po ktorom ste predtým stiahli niekoľko súborov.

Nižšie uvedené dekodéry fungujú takto: Napríklad vaše súbory sú zašifrované pomocou šifrovacieho nástroja amba a súbory vyzerali ako „Contract.doc.amba“ alebo „Account.xls.amba“, potom stiahneme dešifrovač pre súbory amba a spustíme ho, nájde všetky súbory s touto príponou a dešifrovať ich.ale opäť sa chráňte a predbežne zálohovať zašifrované súbory v opačnom prípade môžete navždy stratiť svoje nesprávne dešifrované údaje!

Ak nechcete riskovať, pošlite nám niekoľko súborov, keď nás predtým kontaktovali pomocou formulára spätnej väzby, spustíme dekodér na špeciálne pripravenom počítači izolovanom od internetu.

Prezentované súbory boli skontrolované najnovšou verziou Kaspersky Anti-Virus a najnovšími aktualizáciami databázy.

To, že je internet plný vírusov, už dnes nikoho neprekvapuje. Mnohí používatelia vnímajú situácie súvisiace s ich dopadom na systémy alebo osobné údaje, mierne povedané, prižmúria oči, ale len dovtedy, kým sa v systéme konkrétne neusídli šifrovací vírus. Väčšina bežných používateľov nevie, ako liečiť a dešifrovať dáta uložené na pevnom disku. Preto je tento kontingent „vedený“ k požiadavkám, ktoré predkladajú útočníci. Pozrime sa však, čo môžete urobiť, ak je takáto hrozba zistená alebo ako zabrániť jej vstupu do systému.

Čo je to ransomware vírus?

Tento typ hrozby využíva štandardné a neštandardné algoritmy šifrovania súborov, ktoré úplne menia ich obsah a blokujú prístup. Po vystavení vírusu bude napríklad absolútne nemožné otvoriť zašifrovaný textový súbor na čítanie alebo úpravu, ako aj prehrávanie multimediálneho obsahu (grafika, video alebo zvuk). Dokonca ani štandardné operácie na kopírovanie alebo presúvanie objektov nie sú dostupné.

Práve softvérová náplň vírusu je prostriedkom, ktorý šifruje dáta tak, že nie vždy je možné obnoviť ich pôvodný stav ani po odstránení hrozby zo systému. Takéto škodlivé programy zvyčajne vytvárajú svoje vlastné kópie a usadzujú sa veľmi hlboko v systéme, takže vírus na šifrovanie súborov môže byť niekedy úplne nemožné odstrániť. Odinštalovaním hlavného programu alebo odstránením hlavného tela vírusu sa používateľ nezbaví dopadu hrozby, nehovoriac o obnovení zašifrovaných informácií.

Ako sa hrozba dostane do systému?

Hrozby tohto typu sú spravidla zacielené väčšinou na veľké komerčné štruktúry a môžu preniknúť do počítačov cez poštové programy, keď si zamestnanec otvorí údajne priložený dokument v e-maile, ktorý je povedzme dodatkom k nejakej zmluve o spolupráci resp. plán na dodávku tovaru (obchodné ponuky s investíciami z pochybných zdrojov sú prvou cestou pre vírus).

Problém je v tom, že ransomvérový vírus na stroji, ktorý má prístup do lokálnej siete, sa dokáže prispôsobiť aj v ňom a vytvárať si vlastné kópie nielen v sieťovom prostredí, ale aj na správcovskom termináli, ak mu chýba potrebná ochrana vo forme antivírusového softvéru firewall alebo firewall.

Niekedy môžu takéto hrozby preniknúť aj do počítačových systémov bežných používateľov, o ktoré sa kyberzločinci vo všeobecnosti nezaujímajú. Stáva sa to v čase inštalácie niektorých programov stiahnutých z pochybných internetových zdrojov. Mnoho používateľov pri spustení sťahovania ignoruje upozornenia systému antivírusovej ochrany a počas procesu inštalácie nevenuje pozornosť návrhom na inštaláciu dodatočného softvéru, panelov alebo zásuvných modulov pre prehliadače a potom, povedzme, uhryznúť si lakte.

Odrody vírusov a trochu histórie

Hrozby tohto typu, najmä najnebezpečnejší ransomvérový vírus No_more_ransom, sa v zásade neklasifikujú len ako nástroje na šifrovanie údajov či blokovanie prístupu k nim. V skutočnosti sú všetky takéto škodlivé aplikácie klasifikované ako ransomware. Inými slovami, počítačoví zločinci požadujú určité množstvo peňazí za dešifrovanie informácií, pretože veria, že tento proces nebude možné vykonať bez počiatočného programu. Čiastočne je to tak.

Ak sa však ponoríte do histórie, všimnete si, že jedným z úplne prvých vírusov tohto typu, aj keď si nevyžadoval peniaze, bol neslávne známy applet I Love You, ktorý úplne zašifroval multimediálne súbory (hlavne hudobné skladby) v používateľských systémoch. . Dešifrovanie súborov po víruse ransomware sa v tom čase ukázalo ako nemožné. Teraz je to táto hrozba, s ktorou sa dá vyrovnať elementárnym spôsobom.

Vývoj samotných vírusov alebo použitých šifrovacích algoritmov však nezostáva stáť. Čo medzi vírusmi chýba - tu máte XTBL, CBF a Breaking_Bad a [chránený e-mailom] a kopu iných nepríjemných vecí.

Technika ovplyvňovania používateľských súborov

A ak sa až donedávna väčšina útokov uskutočňovala pomocou algoritmov RSA-1024 založených na šifrovaní AES s rovnakou bitovou rýchlosťou, ten istý ransomvérový vírus No_more_ransom je dnes prezentovaný v niekoľkých interpretáciách pomocou šifrovacích kľúčov založených na technológiách RSA-2048 a dokonca aj RSA-3072.

Problémy s dešifrovaním pre použité algoritmy

Problém je v tom, že moderné dešifrovacie systémy sú zoči-voči takémuto nebezpečenstvu bezmocné. Dešifrovanie súborov po víruse ransomware na báze AES256 je stále do istej miery podporované a s vyššou bitovou rýchlosťou kľúča takmer všetci vývojári len pokrčia plecami. To, mimochodom, oficiálne potvrdili aj špecialisti z Kaspersky Lab a Eset.

V najprimitívnejšej verzii je používateľ, ktorý kontaktoval službu podpory, požiadaný o zaslanie zašifrovaného súboru a jeho originálu na porovnanie a ďalšie operácie na určenie šifrovacieho algoritmu a metód obnovy. Ale spravidla to vo väčšine prípadov nefunguje. Vírus ransomware však dokáže dešifrovať súbory sám, ako sa verí, za predpokladu, že obeť súhlasí s podmienkami útočníkov a zaplatí určitú sumu v peniazoch. Takáto formulácia otázky však vyvoláva oprávnené pochybnosti. A preto.

Šifrovací vírus: ako vyliečiť a dešifrovať súbory a dá sa to urobiť?

Po vykonaní platby sa uvádza, že hackeri aktivujú dešifrovanie prostredníctvom vzdialeného prístupu k ich vírusu, ktorý sa nachádza v systéme, alebo prostredníctvom dodatočného apletu, ak bolo telo vírusu odstránené. Vyzerá to viac než pochybne.

Chcel by som tiež poznamenať, že internet je plný falošných príspevkov, v ktorých sa uvádza, že bola zaplatená požadovaná suma a údaje boli úspešne obnovené. Toto všetko je lož! A ozaj – kde je záruka, že po zaplatení sa šifrovací vírus v systéme znova neaktivuje? Nie je ťažké pochopiť psychológiu zlodejov: ak zaplatíte raz, zaplatíte znova. A ak hovoríme o obzvlášť dôležitých informáciách, ako je konkrétny komerčný, vedecký alebo vojenský vývoj, vlastníci takýchto informácií sú pripravení zaplatiť toľko, koľko je potrebné, ak len súbory zostanú nedotknuté a bezpečné.

Prvý prostriedok na odstránenie hrozby

Toto je povaha vírusu ransomware. Ako dezinfikovať a dešifrovať súbory po vystavení hrozbe? Áno, v žiadnom prípade, ak nie sú po ruke žiadne nástroje, ktoré tiež nie vždy pomôžu. Ale skúsiť to môžeš.

Predpokladajme, že sa v systéme objavil ransomvérový vírus. Ako dezinfikujem infikované súbory? Najprv by ste mali vykonať hĺbkovú kontrolu systému bez použitia technológie S.M.A.R.T., ktorá deteguje hrozby len pri poškodení zavádzacích sektorov a systémových súborov.

Je vhodné nepoužívať existujúci štandardný skener, ktorý už hrozbu minul, ale použiť prenosné nástroje. Najlepšou možnosťou by bolo zaviesť systém zo záchranného disku Kaspersky, ktorý sa môže spustiť ešte predtým, ako začne fungovať operačný systém.

Ale to je len polovica úspechu, pretože týmto spôsobom sa môžete zbaviť iba samotného vírusu. Ale s dekodérom to bude ťažšie. Ale o tom neskôr.

Existuje ďalšia kategória, do ktorej patria ransomvérové ​​vírusy. O tom, ako dešifrovať informácie, si povieme samostatne, ale nateraz sa pozastavme nad tým, že môžu v systéme úplne otvorene existovať vo forme oficiálne nainštalovaných programov a aplikácií (drzosť útočníkov nepozná hraníc, keďže hrozba áno ani sa nepokúšajte zamaskovať).

V tomto prípade by ste mali použiť sekciu programov a komponentov, kde sa vykonáva štandardná odinštalácia. Mali by ste však venovať pozornosť aj skutočnosti, že štandardný odinštalačný program systému Windows úplne neodstráni všetky programové súbory. Vírus ransom ransomware je schopný vytvárať svoje vlastné priečinky v koreňových adresároch systému (zvyčajne sú to adresáre Csrss, kde sa nachádza spustiteľný súbor csrss.exe s rovnakým názvom). Ako hlavné umiestnenie sa vyberú Windows, System32 alebo používateľské adresáre (Používatelia na systémovej jednotke).

Okrem toho vírus No_more_ransom ransomware zapisuje svoje vlastné kľúče do registra vo forme odkazu zdanlivo na oficiálnu systémovú službu Client Server Runtime Subsystem, čo je pre mnohých zavádzajúce, pretože táto služba by mala byť zodpovedná za interakciu medzi klientskym a serverovým softvérom. . Samotný kľúč sa nachádza v priečinku Run, do ktorého sa dostanete cez vetvu HKLM. Je jasné, že takéto kľúče budete musieť ručne vymazať.

Na uľahčenie môžete použiť pomocné programy ako iObit Uninstaller, ktoré automaticky vyhľadajú zvyšné súbory a kľúče databázy Registry (avšak iba vtedy, ak je vírus v systéme viditeľný ako nainštalovaná aplikácia). Ale to je to najjednoduchšie.

Riešenia ponúkané vývojármi antivírusového softvéru

Predpokladá sa, že dešifrovanie vírusu ransomware je možné vykonať pomocou špeciálnych nástrojov, aj keď ak máte technológie s 2048 alebo 3072 bitovým kľúčom, nemali by ste sa na ne spoliehať (okrem toho mnohé z nich po dešifrovaní vymažú súbory a potom obnovené súbory zmiznú v dôsledku chyby, prítomnosti tela vírusu, ktoré nebolo predtým odstránené).

Napriek tomu môžete skúsiť. Zo všetkých programov stojí za vyzdvihnutie RectorDecryptor a ShadowExplorer. Verí sa, že nič lepšie doteraz nebolo vytvorené. Problémom však môže byť aj to, že keď sa pokúsite použiť dešifrovač, nie je zaručené, že dezinfikované súbory nebudú odstránené. To znamená, že ak sa vírusu na začiatku nezbavíte, každý pokus o dešifrovanie bude odsúdený na neúspech.

Okrem vymazania zašifrovaných informácií môže byť aj fatálne – celý systém bude nefunkčný. Okrem toho je moderný ransomvérový vírus schopný ovplyvniť nielen dáta uložené na pevnom disku počítača, ale aj súbory v cloudovom úložisku. A tu neexistujú žiadne riešenia na obnovenie informácií. Navyše, ako sa ukázalo, mnohé služby prijímajú nedostatočne účinné ochranné opatrenia (rovnaký vstavaný OneDrive vo Windowse 10, ktorý je odhalený priamo z operačného systému).

Radikálne riešenie problému

Ako je už zrejmé, väčšina moderných metód nedáva pozitívny výsledok pri infekcii takýmito vírusmi. Samozrejme, ak existuje originál poškodeného súboru, možno ho poslať na vyšetrenie do antivírusového laboratória. Pravda, veľmi vážne sú aj pochybnosti o tom, že bežný používateľ vytvorí záložné kópie dát, ktoré po uložení na pevný disk môžu byť vystavené aj škodlivému kódu. A o skutočnosti, že používatelia kopírujú informácie na vymeniteľné médiá, aby sa predišlo problémom, vôbec nehovoríme.

Pre radikálne riešenie problému sa teda navrhuje záver: úplné formátovanie pevného disku a všetkých logických oddielov s vymazaním informácií. Čo teda robiť? Ak nechcete, aby sa vírus alebo jeho uložená kópia opäť aktivovala v systéme, budete musieť prispieť.

Na tento účel by ste nemali používať nástroje samotných systémov Windows (mám na mysli formátovanie virtuálnych oddielov, pretože pri pokuse o prístup na systémový disk bude vydaný zákaz). Je lepšie použiť zavádzanie z optických médií, ako sú LiveCD alebo inštalačné distribúcie, ako sú napríklad tie, ktoré sú vytvorené pomocou nástroja Media Creation Tool pre Windows 10.

Pred začatím formátovania, za predpokladu, že je vírus odstránený zo systému, sa môžete pokúsiť obnoviť integritu systémových komponentov pomocou príkazového riadka (sfc / scannow), čo však nebude mať žiadny vplyv na dešifrovanie a odomknutie údajov. Formát c: je preto jediným správnym možným riešením, či sa vám to páči alebo nie. Toto je jediný spôsob, ako sa úplne zbaviť tohto typu hrozby. Žiaľ, niet inej cesty! Dokonca aj liečba štandardnými nástrojmi, ktoré ponúka väčšina antivírusových balíkov, je bezmocná.

Namiesto doslovu

Z hľadiska navrhovania záverov môžeme len konštatovať, že dnes neexistuje jediné a univerzálne riešenie na elimináciu dôsledkov dopadu takýchto hrozieb (žiaľ, ale fakt - potvrdzuje to väčšina vývojárov a špecialistov antivírusového softvéru v oblasti kryptografie).

Zostáva nejasné, prečo vznik algoritmov založených na 1024-, 2048- a 3072-bitovom šifrovaní prešiel tými, ktorí sú priamo zapojení do vývoja a implementácie takýchto technológií? V skutočnosti je dnes algoritmus AES256 považovaný za najsľubnejší a najbezpečnejší. Všimnite si! 256! Tento systém, ako sa ukázalo, nie je vhodný pre moderné vírusy. Čo teda môžeme povedať o pokusoch o dešifrovanie ich kľúčov?

Nech je to akokoľvek, vyhnúť sa zavedeniu hrozby do systému je celkom jednoduché. V najjednoduchšom prípade by ste mali všetky prichádzajúce správy s prílohami v Outlooku, Thunderbirde a iných poštových klientoch kontrolovať antivírusom ihneď po prijatí a v žiadnom prípade neotvárať prílohy, kým sa kontrola nedokončí. Pri inštalácii niektorých programov by ste si tiež mali pozorne prečítať návrhy na inštaláciu dodatočného softvéru (zvyčajne sú napísané veľmi malým písmom alebo zamaskované ako štandardné doplnky, ako je aktualizácia Flash Player alebo niečo iné). Je lepšie aktualizovať komponenty médií prostredníctvom oficiálnych stránok. Len tak sa dá aspoň ako-tak zabrániť prieniku takýchto hrozieb do vlastného systému. Dôsledky môžu byť úplne nepredvídateľné, ak vezmeme do úvahy, že vírusy tohto typu sa okamžite šíria v lokálnej sieti. A pre spoločnosť sa takýto obrat udalostí môže zmeniť na skutočný kolaps všetkých podnikov.

Nakoniec by správca systému nemal nečinne sedieť. V takejto situácii je lepšie vylúčiť prostriedky ochrany softvéru. Ten istý firewall (firewall) by nemal byť softvér, ale „hardvér“ (samozrejme so sprievodným softvérom na palube). A je samozrejmé, že sa neoplatí šetriť ani na kúpe antivírusových balíkov. Je lepšie kúpiť si licencovaný balík a neinštalovať primitívne programy, ktoré údajne poskytujú ochranu v reálnom čase iba pred slovami vývojára.

A ak už do systému vstúpila hrozba, postupnosť akcií by mala zahŕňať odstránenie samotného tela vírusu a až potom pokusy o dešifrovanie poškodených údajov. V ideálnom prípade - úplné formátovanie (poznámka, nie rýchle s vymazaním obsahu, ale úplné formátovanie, najlepšie s obnovením alebo nahradením existujúceho systému súborov, zavádzacích sektorov a záznamov).