Хакерите на Ransomware са много подобни на обикновените изнудвачи. Както в реалния свят, така и в киберсредата има единичен или групов обект на атака. То е или откраднато, или недостъпно. Освен това извършителите използват определени средства за комуникация с жертвите, за да предадат своите искания. Компютърните измамници обикновено избират само няколко формата за бележка за откуп, но копия могат да бъдат намерени в почти всяко място в паметта на заразена система. В случая със семейството на шпионски софтуер, известно като Troldesh или Shade, измамниците използват различен подход, когато се свързват с жертва.
Нека разгледаме по-отблизо този щам на вируса ransomware, който е насочен към рускоезичната аудитория. Повечето подобни инфекции откриват клавиатурната подредба на атакувания компютър и ако един от езиците е руски, проникването спира. Въпреки това, ransomware XTBLбезразборен: за съжаление на потребителите, атаката се разгръща независимо от тяхното географско местоположение и езикови предпочитания. Ясно въплъщение на тази гъвкавост е предупреждението, което се появява като фон на работния плот, както и TXT файл с инструкции за плащане на откупа.
Вирусът XTBL обикновено се разпространява чрез спам. Съобщенията напомнят на писма от известни марки или просто хващат окото, тъй като темата на съобщението използва изрази като "Спешно!" или „Важни финансови документи“. Фишингът ще работи, когато получателят на такъв имейл. съобщение ще изтегли ZIP файл, съдържащ JavaScript код или Docm обект с потенциално уязвим макрос.
След като изпълни основния алгоритъм на компрометирания компютър, ransomware троянецът продължава да търси данни, които биха могли да бъдат от полза за потребителя. За тази цел вирусът сканира локалната и външната памет, като едновременно сравнява всеки файл с набор от формати, избрани въз основа на разширението на обекта. Всички .jpg, .wav, .doc, .xls файлове, както и много други обекти, са криптирани с помощта на AES-256 симетричен блоков крипто алгоритъм.
Има два аспекта на този вреден ефект. На първо място, потребителят губи достъп до важни данни. Освен това имената на файловете са дълбоко кодирани, което води до безсмислен набор от шестнадесетични знаци като изход. Всичко, което обединява имената на засегнатите файлове, е добавеното към тях разширение xtbl, т.е. името на кибер заплахата. Имената на криптирани файлове понякога имат специален формат. В някои версии на Troldesh имената на криптирани обекти може да останат непроменени и в края се добавя уникален код: [защитен с имейл], [защитен с имейл], или [защитен с имейл]
Очевидно нападателите, като са въвели имейл адреси. поща директно в имената на файловете, посочете на жертвите как да общуват. Имейлът е посочен и другаде, а именно в бележката за откуп, съдържаща се във файла „Readme.txt“. Такива документи на Notepad ще се показват на работния плот, както и във всички папки с кодирани данни. Ключовото послание е:
„Всички файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода: [Вашият уникален шифър] на имейл адреса [защитен с имейл]или [защитен с имейл]След това ще получите всички необходими инструкции. Опитите да дешифрирате сами няма да доведат до нищо, освен до безвъзвратна загуба на информация“
Имейл адресът може да се промени в зависимост от групата рансъмуер, разпространяваща вируса.
Що се отнася до пътя напред, най-общо казано, измамниците отговарят, като препоръчват откуп, който може да бъде 3 биткойна или друга сума в този диапазон. Моля, имайте предвид, че никой не може да гарантира, че хакерите ще изпълнят обещанието си дори след като получат парите. За да възстановят достъпа до .xtbl файлове, на засегнатите потребители се препоръчва първо да изпробват всички налични алтернативни методи. В някои случаи данните могат да бъдат подредени с помощта на услугата за копиране в сянка на обема (Volume Shadow Copy), предоставена директно в операционната система Windows, както и декриптори и програми за възстановяване на данни от доставчици на софтуер на трети страни.
Премахнете XTBL ransomware с автоматичен почистващ препарат
Изключително ефективен метод за справяне със злонамерен софтуер като цяло и рансъмуер в частност. Използването на доказан защитен комплекс гарантира задълбочено откриване на всякакви вирусни компоненти, пълното им отстраняване с едно щракване. Моля, имайте предвид, че говорим за два различни процеса: деинсталиране на инфекцията и възстановяване на файлове на вашия компютър. Заплахата обаче със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с негова помощ.
- . След като стартирате софтуера, щракнете върху бутона Стартирайте сканирането на компютъра(Започни сканиране).
- Инсталираният софтуер ще предостави отчет за заплахите, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Поправете заплахи(Премахни заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.
Възстановете достъпа до криптирани файлове с разширение .xtbl
Както беше отбелязано, XTBL ransomware заключва файлове със силен алгоритъм за криптиране, така че криптираните данни не могат да бъдат възстановени с вълна на магическа пръчка - ако не вземете предвид плащането на нечуван откуп. Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.
Decryptor - програма за автоматично възстановяване на файлове
Известно е много необичайно обстоятелство. Тази инфекция изтрива оригиналните файлове в некриптирана форма. По този начин процесът на изнудващо криптиране е насочен към техни копия. Това дава възможност за софтуерни инструменти като възстановяване на изтрити обекти, дори ако надеждността на тяхното премахване е гарантирана. Силно препоръчително е да се прибегне до процедурата за възстановяване на файлове, чиято ефективност е потвърдена повече от веднъж. 
Обемни сенчести копия
Подходът се основава на базирана на Windows процедура за архивиране на файлове, която се повтаря при всяка точка на възстановяване. Важно условие за работа на този метод: функцията „Възстановяване на системата“ трябва да бъде активирана преди инфекцията. Въпреки това, всички промени, направени във файла след точката за възстановяване, няма да бъдат отразени във възстановената версия на файла.
Архивиране
Това е най-добрият от всички методи без изкупуване. Ако процедурата за архивиране на данни на външен сървър е била използвана преди рансъмуерът да атакува вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, да изберете необходимите файлове и да стартирате механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че ransomware е напълно премахнат.
Проверете за възможно наличие на остатъчни компоненти на вируса XTBL ransomware
Ръчното почистване е изпълнено с риск от липсващи части от ransomware, които могат да избегнат премахването под формата на скрити обекти на операционната система или записи в регистъра. За да премахнете риска от частично запазване на отделни злонамерени елементи, сканирайте компютъра си с надежден универсален антивирусен комплекс.
е злонамерена програма, която при активиране криптира всички лични файлове, като документи, снимки и др. Броят на подобни програми е много голям и се увеличава всеки ден. Съвсем наскоро се натъкнахме на десетки опции за ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_ffcode, и т.н., f. Целта на такъв ransomware е да принуди потребителите да купуват, често за голяма сума пари, програмата и ключа, необходими за декриптиране на собствените им файлове.
Разбира се, можете да възстановите криптирани файлове, просто като следвате инструкциите, които създателите на вируси оставят на заразения компютър. Но най-често цената на декриптирането е много значителна, също така трябва да знаете, че някои вируси за криптиране криптират файлове по такъв начин, че е просто невъзможно да ги декриптирате по-късно. И разбира се, просто е неприятно да плащате за възстановяване на вашите собствени файлове.
По-долу ще говорим по-подробно за ransomware вирусите, как те проникват в компютъра на жертвата, както и как да премахнете вируса ransomware и да възстановите криптираните от него файлове.
Как вирусът за рансъмуер влиза в компютър
Вирусът за рансъмуер обикновено се разпространява по имейл. Писмото съдържа заразени документи. Тези имейли се изпращат до огромна база данни от имейл адреси. Авторите на този вирус използват подвеждащи заглавки и съдържание на имейли, опитвайки се да подмамят потребителя да отвори документа, прикачен към имейла. Някои писма информират за необходимостта от плащане на сметката, други предлагат да видите най-новата ценова листа, трети отварят забавна снимка и т.н. Във всеки случай резултатът от отварянето на прикачения файл ще бъде заразяването на компютъра с вирус за рансъмуер.
Какво е ransomware вирус
Вирусът за рансъмуер е злонамерена програма, която заразява съвременни версии на семейството на операционните системи Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Тези вируси се опитват да използват възможно най-силните режими на криптиране, като RSA -2048 с дължината на ключа е 2048 бита, което на практика изключва възможността за избор на ключ за самостоятелно декриптиране на файлове.
Докато заразява компютър, вирусът ransomware използва системната директория %APPDATA%, за да съхранява свои собствени файлове. За да се стартира автоматично, когато компютърът е включен, ransomware създава запис в системния регистър на Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Веднага след стартирането, вирусът сканира всички налични дискове, включително мрежово и облачно хранилище, за да определи кои файлове ще бъдат криптирани. Вирусът за рансъмуер използва разширението на името на файла като начин да определи групата файлове, които ще бъдат криптирани. Почти всички типове файлове са криптирани, включително такива често срещани като:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wp, .w p. .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Веднага след като файлът е криптиран, той получава ново разширение, което често може да се използва за идентифициране на името или типа на криптора. Някои видове от този зловреден софтуер могат също да променят имената на криптирани файлове. След това вирусът създава текстов документ с имена като HELP_YOUR_FILES, README, който съдържа инструкции за декриптиране на криптираните файлове.
По време на своята работа вирусът ransomware се опитва да блокира възможността за възстановяване на файлове с помощта на системата SVC (сенчести копия на файлове). За да направи това, вирусът в команден режим извиква помощната програма за администриране на сенчести копия на файлове с ключ, който стартира процедурата за пълното им премахване. По този начин почти винаги е невъзможно да се възстановят файлове с помощта на техните сенчести копия.
Вирусът ransomware активно използва тактики за сплашване, като дава на жертвата връзка към описание на алгоритъма за криптиране и показва заплашително съобщение на работния плот. Той се опитва по този начин да принуди потребителя на заразения компютър да изпрати без колебание идентификатора на компютъра на имейл адреса на автора на вируса, за да се опита да върне своите файлове. Отговорът на подобно съобщение най-често е сумата на откупа и адресът на електронния портфейл.
Компютърът ми заразен ли е с вирус за рансъмуер?
Доста лесно е да се определи дали компютърът е заразен с ransomware вирус или не. Обърнете внимание на разширенията на вашите лични файлове като документи, снимки, музика и т.н. Ако разширението се е променило или личните ви файлове са изчезнали, оставяйки след себе си много файлове с неизвестни имена, тогава компютърът е заразен. Освен това признак на инфекция е наличието на файл с име HELP_YOUR_FILES или README във вашите директории. Този файл ще съдържа инструкции за декриптиране на файловете.
Ако подозирате, че сте отворили писмо, заразено с ransomware вирус, но все още няма симптоми на инфекция, тогава не изключвайте и не рестартирайте компютъра си. Следвайте стъпките, описани в това ръководство, раздел. Още веднъж, много е важно да не изключвате компютъра, при някои видове ransomware процесът на криптиране на файлове се активира при първото включване на компютъра след заразяване!
Как да декриптирате файлове, криптирани от вирус за рансъмуер?
Ако това нещастие се случи, тогава няма нужда да се паникьосвате! Но трябва да знаете, че в повечето случаи няма безплатен декриптор. Причината за това са силните алгоритми за криптиране, използвани от такъв зловреден софтуер. Това означава, че е почти невъзможно да се декриптират файлове без частен ключ. Използването на метода за избор на ключ също не е опция, поради голямата дължина на ключа. Следователно, за съжаление, само плащането на цялата поискана сума на авторите на вируса е единственият начин да се опитате да получите ключа за декриптиране.
Разбира се, няма абсолютно никаква гаранция, че след плащане авторите на вируса ще се свържат и ще предоставят ключа, необходим за декриптиране на вашите файлове. Освен това трябва да разберете, че като плащате пари на разработчиците на вируси, вие сами ги подтиквате да създават нови вируси.
Как да премахнете вируса ransomware?
Преди да продължите с това, трябва да знаете, че когато започнете да премахвате вируса и се опитвате да възстановите файловете сами, вие блокирате възможността за декриптиране на файловете, като плащате на авторите на вируса сумата, която са поискали.
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могат да открият различни видове активен рансъмуер и лесно ще ги премахнат от компютъра ви, НО не могат да възстановят криптирани файлове.
5.1. Премахнете ransomware с Kaspersky Virus Removal Tool
По подразбиране програмата е конфигурирана да възстановява всички видове файлове, но за да се ускори работата, се препоръчва да оставите само типовете файлове, които трябва да възстановите. Когато приключите с избора си, натиснете бутона OK.
В долната част на прозореца QPhotoRec намерете бутона Преглед и щракнете върху него. Трябва да изберете директория, където ще бъдат записани възстановените файлове. Препоръчително е да използвате диск, който не съдържа криптирани файлове, които изискват възстановяване (можете да използвате USB флаш устройство или външно устройство).
За да започнете процедурата по търсене и възстановяване на оригиналните копия на криптирани файлове, щракнете върху бутона Търсене. Този процес отнема доста време, така че бъдете търпеливи.
Когато търсенето приключи, щракнете върху бутона Quit. Сега отворете папката, която сте избрали да запазите възстановените файлове.
Папката ще съдържа директории с имена recup_dir.1, recup_dir.2, recup_dir.3 и така нататък. Колкото повече файлове открие програмата, толкова повече директории ще има. За да намерите нужните файлове, проверете всички директории една по една. За да улесните намирането на необходимия файл сред голям брой възстановени, използвайте вградената система за търсене на Windows (по съдържанието на файла), а също така не забравяйте за функцията за сортиране на файлове в директории. Можете да изберете датата, на която файлът е променен като параметър за сортиране, тъй като QPhotoRec се опитва да възстанови това свойство при възстановяване на файл.
Как да предотвратим заразяване на компютър с вирус за рансъмуер?
Повечето съвременни антивирусни програми вече имат вградена система за защита срещу проникване и активиране на ransomware вируси. Ето защо, ако компютърът ви няма антивирусна програма, не забравяйте да я инсталирате. Можете да разберете как да го изберете, като прочетете това.
Освен това има специализирани защитни програми. Например, това е CryptoPrevent, повече подробности.
Няколко последни думи
Следвайки тази инструкция, компютърът ви ще бъде изчистен от вируса за рансъмуер. Ако имате въпроси или се нуждаете от помощ, моля свържете се с нас.
Здравейте на всички, днес ще ви кажа как да декриптирате файлове след вирус в Windows. Един от най-проблемните зловреден софтуер днес е троянски кон или вирус, който криптира файлове на устройството на потребителя. Някои от тези файлове могат да бъдат декриптирани, а някои все още не. В статията ще опиша възможните алгоритми на действия и в двете ситуации.
Има няколко модификации на този вирус, но общата същност на работата е, че след инсталирането на вашия компютър, вашият документ, изображение и други потенциално важни файлове се криптират с промяна в разширението, след което получавате съобщение, че всички вашите файлове са криптирани и за да ги дешифрирате, трябва да изпратите определена сума на нападателя.
Файловете на компютъра са криптирани в xtbl
Един от най-новите варианти на вируса ransomware криптира файлове, като ги заменя с файлове с разширение .xtbl и име, състоящо се от произволен набор от знаци.
В същото време на компютъра се поставя текстов файл readme.txt със следното съдържание: „Вашите файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода на имейл адреса [защитен с имейл], [защитен с имейл]или [защитен с имейл]След това ще получите всички необходими инструкции. Опитите да дешифрирате файловете сами ще доведат до безвъзвратна загуба на информация ”(имейл адресът и текстът може да се различават).
За съжаление в момента няма начин за декриптиране на .xtbl (веднага щом се появи, инструкциите ще бъдат актуализирани). Някои потребители, които са имали наистина важна информация на компютъра си, съобщават на антивирусни форуми, че са изпратили 5000 рубли или друга необходима сума на авторите на вируса и са получили декриптор, но това е много рисковано: може да не получите нищо.
Ами ако файловете са криптирани в .xtbl? Моите препоръки са следните (но се различават от тези в много други тематични сайтове, където например препоръчват незабавно да изключите компютъра от електрическата мрежа или да не премахвате вируса. Според мен това е излишно и при някои обстоятелства може дори да е вредно, но зависи от вас.):
- Ако знаете как, прекъснете процеса на криптиране, като премахнете съответните задачи в диспечера на задачите, като изключите компютъра от интернет (това може да е необходимо условие за криптиране)
- Запомнете или запишете кода, който нападателите изискват да бъде изпратен на имейл адреса (но не и в текстов файл на компютъра, за всеки случай, за да не е криптиран и той).
- Използвайте Malwarebytes Antimalware, пробна версия на Kaspersky Internet Security или Dr.Web Cure It, за да премахнете вирус, който криптира файлове (всички тези инструменти се справят добре с това). Съветвам ви да използвате първия и втория продукт от списъка на свой ред (ако обаче имате инсталиран антивирус, инсталирането на втория „отгоре“ е нежелателно, тъй като може да доведе до проблеми с компютъра ви.)
- Изчакайте да се появи декриптор от някоя антивирусна компания. На преден план тук е Kaspersky Lab.
- Можете също да изпратите пример за криптиран файл и необходимия код на [защитен с имейл], ако имате нешифровано копие на същия файл, моля, изпратете и него. На теория това може да ускори появата на декодера.
Какво да не се прави:
- Преименувайте криптирани файлове, променете разширението и ги изтрийте, ако са важни за вас.
Това, може би, е всичко, което мога да кажа за криптирани файлове с разширение .xtbl към този момент.
Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni
Следният троянски кон криптира файлове и инсталира разширения от този списък:
- .заключен
- .crypto
- .kraken
- .AES256 (не е задължително този троянски кон, има и други, които инсталират същото разширение).
- [защитен с имейл] _com
- .oshit
- И други.
За да декриптирате файлове след действието на тези вируси, уебсайтът на Kaspersky разполага с безплатна помощна програма RakhniDecryptor на официалната страница http://support.kaspersky.ru/viruses/dizinfection/10556.
Има и подробна инструкция как да използвате тази помощна програма, показваща как да възстановите криптирани файлове, от която за всеки случай бих премахнал елемента „Изтриване на криптирани файлове след успешно декриптиране“ (въпреки че мисля, че всичко ще бъде наред с инсталираната опция).
Ако имате лиценз за Dr.Web антивирус, можете да използвате безплатното декриптиране от тази компания на http://support.drweb.com/new/free_unlocker/
Още варианти на вируса ransomware
По-рядко, но има и следните троянски коне, които криптират файлове и изискват пари за декриптиране. Предоставените връзки съдържат не само помощни програми за връщане на вашите файлове, но и описание на признаците, които ще ви помогнат да определите, че имате този конкретен вирус. Въпреки че като цяло най-добрият начин е да сканирате системата с помощта на Kaspersky Anti-Virus, да разберете името на троянския кон според класификацията на тази компания и след това да потърсите помощната програма с това име.
- Trojan-Ransom.Win32.Rector - безплатна помощна програма за декриптиране на RectorDecryptor и ръководство за употреба, достъпни тук: http://support.kaspersky.ru/viruses/dizinfection/4264
- Trojan-Ransom.Win32.Xorist е подобен троянски кон, който изскача прозорец с молба да изпратите платен SMS или да се свържете с имейл за инструкции за декриптиране. Инструкции за възстановяване на криптирани файлове и помощната програма XoristDecryptor за това можете да намерите на http://support.kaspersky.ru/viruses/dizinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - помощна програма RannohDecryptor http://support.kaspersky.ru/viruses/dizinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и други със същото име (при търсене през антивирусната програма Dr.Web или помощната програма Cure It) и различни номера - опитайте да потърсите в интернет името на троянски кон. За някои от тях има помощни програми за декриптиране от Dr.Web, също така, ако не можете да намерите помощната програма, но има лиценз за Dr.Web, можете да използвате официалната страница http://support.drweb.com/new/ free_unlocker/
- CryptoLocker - за декриптиране на файлове, след като CryptoLocker работи, можете да използвате сайта http://decryptolocker.com - след като изпратите примерен файл, ще получите ключ и помощна програма за възстановяване на вашите файлове.
Е, от последните новини – Kaspersky Lab, съвместно със служители на реда от Холандия, разработиха Ransomware Decryptor (http://noransom.kaspersky.com) за декриптиране на файлове след CoinVault, но този ransomware все още не е намерен в нашите географски ширини.
Между другото, ако изведнъж се окаже, че имате какво да добавите (защото може да нямам време да следя какво се случва с методите за декриптиране), уведомете ме в коментарите, тази информация ще бъде полезна за други потребители, които имат срещнаха проблем.
Обикновено зловредният софтуер работи, за да получи контрол над компютър, да го включи в зомбита мрежа или да открадне лични данни. Невнимателният потребител може да не забележи дълго време, че системата е заразена. Но ransomware, по-специално xtbl, работи по съвсем различен начин. Те правят потребителските файлове неизползваеми, като ги криптират с най-сложния алгоритъм и изискват голяма сума от собственика за възможността да възстанови информацията.
Причина за проблема: xtbl вирус
Вирусът xtbl ransomware получи името си от факта, че криптираните от него потребителски документи получават разширението .xtbl. Обикновено енкодерите оставят ключ в тялото на файла, така че универсалната програма за декриптиране да може да възстанови информацията в оригиналния й вид. Вирусът обаче е предназначен за други цели, така че вместо ключ на екрана се появява предложение за плащане на определена сума с помощта на анонимни данни.
Как работи xtbl вирусът
Вирусът влиза в компютъра чрез имейл съобщения със заразени прикачени файлове, които са файлове на офис приложения. След като потребителят отвори съдържанието на съобщението, зловредният софтуер започва да търси снимки, ключове, видеоклипове, документи и т.н., след което използва оригиналния сложен алгоритъм (хибридно криптиране) ги превръща в xtbl хранилища.
Вирусът използва системни папки, за да съхранява своите файлове.
Вирусът се добавя към стартовия списък. За да направи това, той добавя записи в системния регистър на Windows под секциите:
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Заразеният компютър работи стабилно, системата не се „срива“, но малко приложение (или две) с неразбираемо име постоянно е в RAM паметта. А папките с работните файлове на потребителя придобиват странен вид.
Следното съобщение се появява на работния плот вместо началния екран:
Вашите файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода на имейл адреса: [защитен с имейл](кодът следва). След това ще получите допълнителни инструкции. Самостоятелните опити за декриптиране на файлове ще доведат до пълното им унищожаване.
Същият текст се съдържа в генерирания файл Как да декриптирате вашите files.txt. Имейл адресът, кодът, исканата сума може да се променят.
Доста често някои измамници правят пари на други - номерът на електронния портфейл на изнудвачите се вкарва в тялото на вируса, което няма начин да декриптира файлове. Така че лековерният потребител, който изпраща пари, не получава нищо в замяна.
Защо не трябва да плащате на изнудвачите
Невъзможно е да се съгласим да си сътрудничим с изнудвачи не само поради морални принципи. Това също е неразумно от практическа гледна точка.
Как да защитите системата си от вирус
Универсалните правила за анти-зловреден софтуер и минимизиране на щетите ще помогнат и в този случай.
Възможно ли е да се възстанови криптирана информация
Добрата новина е, че възстановяването на данни е възможно. Лошата новина: не можете да го направите сами. Причината за това е особеността на алгоритъма за криптиране, изборът на ключа към който изисква много повече ресурси и натрупани знания, отколкото има обикновеният потребител. За щастие разработчиците на антивирусни програми смятат, че е въпрос на чест да се справят с всеки злонамерен софтуер, така че дори и да не могат да се справят с вашия рансъмуер в момента, определено ще намерят решение след месец-два. Ще трябва да бъдете търпеливи.
Поради необходимостта да се свържете със специалисти, алгоритъмът за работа със заразен компютър се променя. Общо правило: колкото по-малко промени, толкова по-добре.Антивирусите определят метода на лечение според „генеричните характеристики“ на зловредната програма, така че заразените файлове са източник на важна информация за тях. Трябва да ги премахнете само след решаване на основния проблем.
Второто правило: спрете вируса на всяка цена. Може би той все още не е развалил цялата информация и следите от криптора са останали в RAM паметта, с която можете да го идентифицирате. Ето защо трябва незабавно да изключите компютъра от мрежата и да изключите лаптопа чрез продължително натискане на бутона за мрежа. Този път стандартната "нежна" процедура за изключване, която позволява на всички процеси да излязат грациозно, няма да работи, тъй като един от тях кодира вашата информация.
Възстановяване на криптирани файлове
Ако сте изключили компютъра си
Ако сте успели да изключите компютъра преди края на процеса на криптиране, тогава не е необходимо да го включвате сами. Заведете "болните" незабавно на специалисти, прекъснатото кодиране значително увеличава шансовете за запазване на лични файлове. Тук можете също така безопасно да проверите носителя си за съхранение и да създадете резервни копия. С голяма вероятност самият вирус ще бъде известен, така че лечението за него ще бъде успешно.
Ако криптирането е завършено
За съжаление, шансът за успешно прекъсване на процеса на криптиране е много малък. Обикновено вирусът има време да кодира файловете и да премахне ненужните следи от компютъра. И сега имате два проблема: Windows все още е заразен, а личните файлове са се превърнали в набор от знаци. За да разрешите втория проблем, трябва да използвате помощта на производителите на антивирусен софтуер.
д-р Уеб
Dr.Web Lab предоставя услугите си за декриптиране безплатно само на собственици на търговски лицензи. С други думи, ако все още не сте техен клиент, но искате да възстановите вашите файлове, ще трябва да закупите програмата. Предвид настоящата ситуация, това е правилната инвестиция.
Следващата стъпка е да отидете на уебсайта на производителя и да попълните формуляра за вход.
Ако сред криптираните файлове има такива, чиито копия се съхраняват на външен носител, тяхното прехвърляне значително ще улесни работата на декодерите.
Касперски
Kaspersky Lab разработи своя собствена програма за декриптиране, наречена RectorDecryptor, която може да бъде изтеглена на компютър от официалния уебсайт на компанията.
Всяка версия на операционната система, включително Windows 7, има своя собствена помощна програма. След като го изтеглите, натиснете екранния бутон „Стартиране на сканирането“.
Работата на услугите може да се забави за известно време, ако вирусът е сравнително нов. В този случай компанията обикновено изпраща уведомление. Понякога декриптирането може да отнеме няколко месеца.
Други услуги
Има все повече услуги с подобни функции, което показва търсенето на услуги за декриптиране. Алгоритъмът на действията е същият: отиваме на сайта (например https://decryptolocker.com/), регистрираме се и изпращаме криптирания файл.
Програми за декодиране
В мрежата има много предложения за „универсални декодери“ (разбира се, платени), но полезността им е съмнителна. Разбира се, ако самите производители на вируси напишат декриптор, той ще работи успешно, но същата програма ще бъде безполезна за друго злонамерено приложение. Освен това специалистите, които редовно се занимават с вируси, обикновено имат пълен пакет от необходими помощни програми, така че има голяма вероятност да имат всички работещи програми. Купуването на такъв декодер вероятно ще бъде загуба на пари.
Как да декриптирате файлове с помощта на Kaspersky Lab - видео
Самовъзстановяване на информация
Ако по някаква причина не можете да се свържете със специалисти на трети страни, можете да опитате да възстановите информацията сами. Ще направим резервация, че в случай на неуспех файловете могат да бъдат загубени завинаги.
Възстановяване на изтрити файлове
След криптиране вирусът изтрива оригиналните файлове. Въпреки това Windows 7 съхранява цялата изтрита информация за известно време под формата на така нареченото копие в сянка.
shadowexplorer
ShadowExplorer е помощна програма, предназначена за възстановяване на файлове от техните сенчести копия.
PhotoRec
Безплатната помощна програма PhotoRec работи на същия принцип, но в пакетен режим.
За съхранение е по-добре да използвате външен носител, като например USB флаш устройство, тъй като всяко записване на диска е опасно чрез изтриване на сенчести копия.
Премахване на вируси
Тъй като вирусът попадна на компютъра, инсталираните програми за защита не се справиха със задачата си. Можете да опитате да получите помощ отвън.
Важно! Премахването на вируса лекува компютъра, но не възстановява криптирани файлове. В допълнение, инсталирането на нов софтуер може да повреди или изтрие някои от сенчести копия на файлове, необходими за възстановяването им. Ето защо е по-добре да инсталирате приложения на други устройства.
Инструмент за премахване на вируси на Kaspersky
Безплатна програма от известен разработчик на антивирусен софтуер, която може да бъде изтеглена от уебсайта на Kaspersky Lab. След стартиране на Kaspersky Virus Removal Tool, той незабавно ви подканва да започнете сканирането.
След натискане на големия екранен бутон "Стартиране на сканиране", програмата започва да сканира компютъра.
Остава да изчакаме края на сканирането и да премахнем намерените неканени гости.
Malwarebytes Анти-зловреден софтуер
Друг разработчик на антивирусен софтуер, който предоставя безплатна версия на скенера. Алгоритъмът на действията е същият:
За да премахнете правилно някои злонамерени приложения, Malwarebytes Anti-malware ще ви подкани да рестартирате системата, трябва да се съгласите с това. След като Windows се поднови, антивирусната програма ще продължи да почиства.
Какво да не се прави
Вирусът XTBL, подобно на други вируси за рансъмуер, уврежда както системата, така и потребителската информация. Ето защо, за да се намалят възможните щети, трябва да се вземат някои предпазни мерки:
- Не чакайте криптирането да приключи. Ако криптирането на файлове е започнало пред очите ви, не трябва да чакате как ще завърши или да се опитвате да прекъснете процеса програмно. Незабавно изключете захранването на компютъра и се обадете на специалисти.
- Не се опитвайте да премахнете вируса сами, ако можете да се доверите на професионалисти.
- Не преинсталирайте системата до края на лечението. Вирусът безопасно ще зарази и новата система.
- Не преименувайте криптирани файлове. Това само ще усложни работата на декодера.
- Не се опитвайте да четете заразени файлове на друг компютър, докато вирусът не бъде премахнат. Това може да доведе до разпространение на инфекцията.
- Не плащайте на изнудвачи. Това е безполезно и насърчава създателите на вируси и измамниците.
- Не забравяйте за превенцията. Инсталирането на антивирусна програма, редовното архивиране, създаването на точки за възстановяване значително ще намали възможните щети от зловреден софтуер.
Лечението на компютър, заразен с ransomware вирус, е дълга и не винаги успешна процедура. Ето защо е толкова важно да се вземат предпазни мерки при получаване на информация от мрежата и работа с непроверени външни носители.
Ако системата е заразена със зловреден софтуер от Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, или Семейства Trojan-Ransom Win32.CryptXXX, всички файлове на компютъра ще бъдат криптирани, както следва:
- Когато Trojan-Ransom.Win32.Rannoh е заразен, имената и разширенията ще се променят според заключения модел-<оригинальное_имя>.<4 произвольных буквы>.
- Когато Trojan-Ransom.Win32.Cryakl е заразен, в края на съдържанието на файловете се добавя знак (CRYPTENDBLACKDC).
- Когато Trojan-Ransom.Win32.AutoIt е заразен, разширението се променя според шаблона<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
Например, [защитен с имейл] _.RZWDTDIC. - Когато Trojan-Ransom.Win32.CryptXXX е заразен, разширението се променя според шаблоните<оригинальное_имя>.crypt,<оригинальное_имя>.crypz и<оригинальное_имя>.cryp1.
Помощната програма RannohDecryptor е предназначена да дешифрира файлове след заразяване с Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.CWin32 , Trojan- Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версии 1, 2 и 3.
Как да излекуваме системата
За да излекувате заразена система:
- Изтеглете файла RannohDecryptor.zip.
- Стартирайте файла RannohDecryptor.exe на заразената машина.
- В главния прозорец щракнете Започнете проверката.
- Посочете пътя към криптирания и некриптирания файл.
Ако файлът е криптиран с Trojan-Ransom.Win32.CryptXXX, посочете най-големите файлове. Декриптирането ще бъде достъпно само за файлове с еднакъв или по-малък размер. - Изчакайте до края на търсенето и декриптирането на криптирани файлове.
- Рестартирайте компютъра си, ако е необходимо.
- след заключен-<оригинальное_имя>.<4 произвольных буквы>За да изтриете копие на криптирани файлове от тип успешно декриптиране, изберете .
Ако файлът е бил криптиран от Trojan-Ransom.Win32.Cryakl, помощната програма ще запази файла на старото му местоположение с разширението .decryptedKLR.original_extension. Ако сте избрали Изтрийте криптирани файлове след успешно декриптиране, декриптираният файл ще бъде записан от помощната програма с оригиналното име.
- По подразбиране помощната програма извежда отчета за операцията в корена на системното устройство (устройството, на което е инсталирана ОС).
Името на отчета е както следва: UtilityName.Version_Date_Time_log.txt
Например C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
На система, заразена с Trojan-Ransom.Win32.CryptXXX, помощната програма сканира ограничен брой файлови формати. Когато потребител избере файл, засегнат от CryptXXX v2, възстановяването на ключ може да отнеме много време. В този случай помощната програма показва предупреждение.
Зареждане...