Fajl ransomware virusa je priložen. Nema šanse za spas: šta je ransomware virus i kako se nositi s njim

Ransomware hakeri su vrlo slični običnim ucjenjivačima. I u stvarnom svijetu i u sajber okruženju postoji jedan ili grupni objekat napada. Ili je ukraden ili nedostupan. Nadalje, počinioci koriste određena sredstva komunikacije sa žrtvama kako bi prenijeli svoje zahtjeve. Kompjuterski prevaranti obično biraju samo nekoliko formata za poruku o otkupnini, ali njene kopije mogu se naći na gotovo svakoj memorijskoj lokaciji na zaraženom sistemu. U slučaju porodice špijunskog softvera poznate kao Troldesh ili Shade, prevaranti imaju drugačiji pristup kada kontaktiraju žrtvu.

Pogledajmo pobliže ovu vrstu virusa za šifriranje, koja je namijenjena publici koja govori ruski. Većina sličnih infekcija detektuje raspored tastature na napadnutom računaru, a ako je jedan od jezika ruski, upad prestaje. Međutim, ransomware XTBL promiskuitetno: na nesreću korisnika, napad se sprovodi bez obzira na njihovu geografsku lokaciju i jezičke preferencije. Jasno oličenje ove svestranosti je upozorenje koje se pojavljuje kao pozadina radne površine, kao i TXT datoteka sa uputstvima za plaćanje otkupnine.

Virus XTBL se obično širi putem neželjene pošte. Poruke podsjećaju na pisma poznatih brendova ili jednostavno upadaju u oči, jer se u predmetu poruke koriste izrazi poput "Hitno!" ili "Važni finansijski dokumenti." Phishing trik će raditi kada primalac takve e-pošte. poruka će preuzeti ZIP datoteku koja sadrži JavaScript kod ili Docm objekt s potencijalno ranjivim makroom.

Nakon izvršenja osnovnog algoritma na kompromitovanom računaru, ransomware trojanac nastavlja da traži podatke koji bi mogli biti od vrednosti za korisnika. U tu svrhu, virus skenira lokalnu i vanjsku memoriju, istovremeno uspoređujući svaku datoteku sa skupom formata odabranih na osnovu ekstenzije objekta. Sve .jpg, .wav, .doc, .xls datoteke, kao i mnogi drugi objekti, šifrirani su korištenjem AES-256 simetričnog blok kripto algoritma.

Postoje dva aspekta ovog štetnog efekta. Prije svega, korisnik gubi pristup važnim podacima. Osim toga, nazivi datoteka su duboko kodirani, što rezultira besmislenim skupom heksadecimalnih znakova kao izlazom. Sve što objedinjuje imena zahvaćenih fajlova je ekstenzija xtbl koja im je dodata, tj. naziv sajber prijetnje. Nazivi šifriranih datoteka ponekad imaju poseban format. U nekim verzijama Troldesha, imena šifriranih objekata mogu ostati nepromijenjena, a na kraju se dodaje jedinstveni kod: [email protected], [email protected], ili [email protected]

Očigledno, napadači, nakon što su uveli adrese e-pošte. mail direktno u nazive datoteka, ukazati žrtvama kako da komuniciraju. E-mail je također naveden na drugom mjestu, naime u poruci o otkupnini koja se nalazi u datoteci “Readme.txt”. Takvi Notepad dokumenti će se pojaviti na radnoj površini, kao iu svim folderima sa kodiranim podacima. Ključna poruka je:

“Svi fajlovi su šifrirani. Da biste ih dešifrirali, potrebno je da pošaljete kod: [Vaša jedinstvena šifra] na adresu e-pošte [email protected] ili [email protected] Zatim dobijate sve neophodna uputstva. Pokušaji samostalnog dešifriranja neće dovesti do ničega, osim do nepovratnog gubitka informacija”

Adresa e-pošte može se promijeniti ovisno o grupi ransomwarea koja širi virus.

Što se tiče puta naprijed, općenito, prevaranti odgovaraju preporukom otkupnine, koja može biti 3 bitcoina ili neki drugi iznos u tom rasponu. Imajte na umu da niko ne može garantovati da će hakeri održati obećanje čak i nakon što dobiju novac. Za vraćanje pristupa .xtbl datotekama, pogođenim korisnicima se savjetuje da prvo isprobaju sve dostupne alternativne metode. U nekim slučajevima, podaci se mogu dovesti u red korištenjem servisa za sjenčano kopiranje volumena (Volume Shadow Copy), koji se pruža direktno u Windowsu, kao i programa za dešifriranje i oporavak podataka od dobavljača softvera trećih strana.

Uklonite XTBL ransomware automatskim čistačem

Izuzetno efikasan metod za rješavanje malvera općenito i ransomwarea posebno. Upotreba dokazanog zaštitnog kompleksa jamči temeljitost detekcije bilo koje komponente virusa, njihovo potpuno uklanjanje jednim klikom. Imajte na umu da govorimo o dva različita procesa: deinstaliranju infekcije i vraćanju datoteka na vaš PC. Međutim, prijetnju je svakako potrebno ukloniti, jer postoje informacije o uvođenju drugih kompjuterskih trojanaca uz njenu pomoć.

  1. . Nakon pokretanja softvera, kliknite na dugme Pokrenite skeniranje računara(Pokreni skeniranje).
  2. Instalirani softver će dati izvještaj o prijetnjama otkrivenim tokom skeniranja. Da biste uklonili sve pronađene prijetnje, odaberite opciju Fix Threats(Uklonite prijetnje). Predmetni zlonamjerni softver će biti u potpunosti uklonjen.

Vratite pristup šifrovanim datotekama sa ekstenzijom .xtbl

Kao što je napomenuto, XTBL ransomware zaključava datoteke sa jakim algoritmom šifriranja tako da se šifrirani podaci ne mogu nastaviti prelaskom prsta. čarobni štapić- ako ne uzmete u obzir plaćanje nečuvenog otkupa. Ali neke metode zaista mogu postati spas koji će vam pomoći da povratite važne podatke. U nastavku se možete upoznati sa njima.

Decryptor - program za automatski oporavak datoteka

Poznata je vrlo neobična okolnost. Ova infekcija uništava izvorne datoteke u nešifrovanom obliku. Proces iznuđivanja enkripcije stoga cilja na njihove kopije. Ovo omogućava softverske alate kao što je oporavak izbrisanih objekata, čak i ako je zagarantovana pouzdanost njihovog uklanjanja. Preporučljivo je pribjeći proceduri oporavka datoteka, čija je učinkovitost potvrđena više puta.

Volume Shadow Copies

Pristup se zasniva na Windows-baziranoj proceduri sigurnosne kopije datoteka koja se ponavlja na svakoj tački vraćanja. Važan uslov rad ovu metodu: Oporavak sistema mora biti aktiviran prije infekcije. Međutim, sve promjene napravljene u datoteci nakon točke vraćanja neće se odraziti na vraćenu verziju datoteke.

Backup

Ovo je najbolja od svih metoda bez otkupa. Ako je procedura za pravljenje rezervnih kopija podataka na eksternom serveru korišćena pre nego što je ransomware napao vaš računar, da biste vratili šifrovane datoteke, jednostavno morate da uđete u odgovarajući interfejs, izaberete potrebne datoteke i pokrenete mehanizam za oporavak podataka iz rezervne kopije. Prije izvođenja operacije, morate biti sigurni da je ransomware potpuno uklonjen.

Provjerite moguće prisustvo preostalih komponenti XTBL ransomware virusa

Ručno čišćenje je ispunjeno nedostajućim dijelovima ransomwarea koji mogu izbjeći brisanje u obliku skrivenih objekata operativni sistem ili unosi u registar. Da biste eliminirali rizik od djelomičnog očuvanja pojedinačnih zlonamjernih elemenata, skenirajte svoje računalo pomoću pouzdanog univerzalnog antivirusnog kompleksa.

je zlonamjerni program koji, kada se aktivira, šifrira sve lične datoteke, kao što su dokumenti, fotografije itd. Broj ovakvih programa je veoma velik i svakim danom se povećava. Nedavno smo naišli na desetine ransomware opcija: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, itd., f. Svrha takvog ransomwarea je da natjera korisnike da kupe, često za veliku količinu novca, program i ključ potrebne za dešifriranje vlastitih datoteka.

Naravno, možete oporaviti šifrirane datoteke jednostavnim praćenjem instrukcija koje kreatori virusa ostavljaju na zaraženom računalu. Ali najčešće je cijena dešifriranja vrlo značajna, također morate znati da neki virusi šifriranja šifriraju datoteke na takav način da ih je kasnije jednostavno nemoguće dešifrirati. I naravno, jednostavno je neugodno plaćati restauraciju vlastitih datoteka.

U nastavku ćemo detaljnije govoriti o ransomware virusima, kako oni prodiru u računar žrtve, kao i kako ukloniti ransomware virus i vratiti datoteke šifrirane njime.

Kako virus ransomware ulazi u računar

Virus ransomwarea se obično širi putem Email. Pismo sadrži zaražene dokumente. Ove e-poruke se šalju u ogromnu bazu podataka e-mail adresa. Autori ovog virusa koriste obmanjujuća zaglavlja i sadržaj mejlova, pokušavajući da prevare korisnika da otvori dokument priložen uz e-poštu. Neka pisma obaveštavaju o potrebi plaćanja računa, druga nude da vidite najnoviji cenovnik, treća otvaraju smešnu fotografiju itd. U svakom slučaju, rezultat otvaranja priložene datoteke bit će zaraza računala ransomware virusom.

Šta je ransomware virus

Ransomware virus je zlonamjerni program koji inficira moderne verzije operativnih sistema. Windows porodice, kao što su Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ovi virusi pokušavaju da koriste što jače načine šifriranja, na primjer, RSA-2048 sa dužinom ključa od 2048 bita, što praktično eliminira mogućnost odabir ključa za samostalno dešifriranje datoteka.

Dok inficira računar, virus ransomware koristi sistemski direktorij %APPDATA% za pohranjivanje vlastitih datoteka. Da bi se automatski pokrenuo kada uključite računar, ransomware kreira unos u Windows registar: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\CurrentVersion\RunOnce.

Odmah nakon pokretanja, virus skenira sve dostupne diskove, uključujući mrežu i pohranu u oblaku, kako bi odredio koje će datoteke biti šifrirane. Virus ransomware koristi ekstenziju naziva datoteke kao način da odredi grupu datoteka koje će biti šifrirane. Gotovo sve vrste datoteka su šifrirane, uključujući one uobičajene kao što su:

0, .1, .1., .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, novčanik, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wp, .wp, .wp, .wp .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Odmah nakon što je datoteka šifrirana, ona dobija novu ekstenziju, koja se često može koristiti za identifikaciju imena ili tipa enkriptora. Neke vrste ovog zlonamjernog softvera također mogu promijeniti nazive šifriranih datoteka. Virus tada kreira tekstualni dokument s imenima poput HELP_YOUR_FILES, README, koji sadrži upute za dešifriranje šifriranih datoteka.

Tokom svog rada, ransomware pokušava blokirati mogućnost oporavka datoteka pomoću SVC sistema ( kopije u senci datoteke). Da bi to učinio, virus u komandnom načinu poziva uslužni program za administriranje sjenčanih kopija datoteka s ključem koji pokreće proceduru potpuno uklanjanje. Stoga je gotovo uvijek nemoguće oporaviti datoteke korištenjem njihovih kopija u sjeni.

Virus ransomware aktivno koristi taktiku zastrašivanja tako što žrtvi daje vezu do opisa algoritma za šifriranje i prikazuje prijeteću poruku na radnoj površini. Na taj način pokušava natjerati korisnika zaraženog računara da bez oklevanja pošalje ID računara na e-mail adresu autora virusa, kako bi pokušao da vrati svoje fajlove. Odgovor na takvu poruku najčešće je iznos otkupnine i adresa e-novčanik.

Da li je moj računar zaražen virusom ransomware?

Lako je utvrditi je li računalo zaraženo ransomware virusom ili ne. Obratite pažnju na ekstenzije vaših ličnih datoteka kao što su dokumenti, fotografije, muzika itd. Ako se ekstenzija promijenila ili su vaše lične datoteke nestale, ostavljajući za sobom mnogo datoteka nepoznatih imena, onda je računar zaražen. Osim toga, znak zaraze je prisustvo datoteke s imenom HELP_YOUR_FILES ili README u vašim direktorijima. Ova datoteka će sadržavati upute za dešifriranje datoteka.

Ako sumnjate da ste otvorili pismo zaraženo ransomware virusom, ali još nema simptoma zaraze, nemojte isključivati ​​ili ponovo pokretati računalo. Slijedite korake opisane u ovom priručniku, odjeljak. Još jednom, veoma je važno da ne isključite računar, kod nekih vrsta ransomware-a, proces šifrovanja fajla se aktivira prvi put kada se računar uključi nakon infekcije!

Kako dešifrirati datoteke šifrirane virusom ransomware?

Ako se ova nesreća dogodila, onda nema potrebe za panikom! Ali morate znati da u većini slučajeva nema besplatnog dešifratora. Razlog za to su jaki algoritmi šifriranja koje koristi takav zlonamjerni softver. To znači da je gotovo nemoguće dešifrirati datoteke bez privatnog ključa. Upotreba metode odabira ključa također nije opcija, zbog velike dužine ključa. Stoga je, nažalost, samo plaćanje autorima virusa cjelokupnog traženog iznosa jedini način da pokušate dobiti ključ za dešifriranje.

Naravno, ne postoji apsolutno nikakva garancija da će nakon uplate autori virusa stupiti u kontakt i dati ključ potreban za dešifriranje vaših datoteka. Osim toga, morate shvatiti da plaćajući novac programerima virusa, sami ih tjerate na stvaranje novih virusa.

Kako ukloniti ransomware virus?

Prije nego što nastavite s ovim, morate znati da kada počnete uklanjati virus i pokušavate to učiniti samooporavka datoteke, blokirate mogućnost dešifriranja datoteka plaćajući autorima virusa iznos koji su tražili.

Kaspersky Virus Removal Alat i Malwarebytes Anti-malware mogu otkriti različite vrste aktivnog ransomwarea i lako će ih ukloniti s vašeg računala, ALI ne mogu oporaviti šifrirane datoteke.

5.1. Uklonite ransomware pomoću Kaspersky Virus Removal Tool

Program je prema zadanim postavkama konfiguriran za oporavak svih vrsta datoteka, ali da biste ubrzali rad, preporučuje se da ostavite samo one vrste datoteka koje trebate oporaviti. Kada završite sa odabirom, pritisnite dugme OK.

Na dnu prozora QPhotoRec pronađite dugme Pregledaj i kliknite na njega. Morate odabrati direktorij u koji će se sačuvati oporavljeni fajlovi. Preporučljivo je koristiti disk koji ne sadrži šifrirane datoteke koje zahtijevaju oporavak (možete koristiti USB fleš disk ili eksterni disk).

Da biste započeli proceduru pretraživanja i vraćanja originalnih kopija šifriranih datoteka, kliknite na dugme Traži. Ovaj proces traje dosta dugo, stoga budite strpljivi.

Kada se pretraga završi, kliknite na dugme Prekini. Sada otvorite mapu koju ste odabrali za spremanje oporavljenih datoteka.

Fascikla će sadržavati direktorije pod nazivom recup_dir.1, recup_dir.2, recup_dir.3 i tako dalje. Što više datoteka program pronađe, to će biti više direktorija. Da biste pronašli datoteke koje su vam potrebne, provjerite sve direktorije jedan po jedan. Da biste lakše pronašli datoteku koja vam je potrebna među velikim brojem oporavljenih, koristite ugrađeni Windows sistem pretraživanja (po sadržaju datoteke), a također ne zaboravite na funkciju sortiranja datoteka u direktorijima. Možete odabrati datum kada je datoteka izmijenjena kao parametar sortiranja, budući da QPhotoRec pokušava vratiti ovo svojstvo prilikom vraćanja datoteke.

Kako spriječiti da se računar zarazi ransomware virusom?

Većina modernih antivirusnih programa već ima ugrađen sistem zaštite od prodora i aktivacije ransomware virusa. Stoga, ako vaš računar nema antivirusni program, obavezno ga instalirajte. Kako ga odabrati možete saznati čitajući ovo.

Osim toga, postoje specijalizirani zaštitni programi. Na primjer, ovo je CryptoPrevent, više detalja.

Nekoliko završnih riječi

Slijedeći ovo uputstvo, vaš računar će biti očišćen od ransomware virusa. Ako imate pitanja ili vam je potrebna pomoć, kontaktirajte nas.

Pozdrav svima, danas ću vam reći kako dešifrirati datoteke nakon virusa u Windowsu. Jedan od najproblematičnijih zlonamjernih programa današnjice je trojanac ili virus koji šifrira datoteke na disku korisnika. Neke od ovih datoteka se mogu dešifrirati, a neke još ne. U članku ću opisati moguće algoritme djelovanja u obje situacije.

Postoji nekoliko modifikacija ovog virusa, ali opšta suština posla je da se nakon instalacije na vašem računaru vaš dokument, slika i druge potencijalno važne datoteke šifruju sa promjenom ekstenzije, nakon čega dobijate poruku u kojoj se navodi da su sve vaše datoteke su šifrirane, a da biste ih dešifrirali, morate poslati određeni iznos napadaču.

Fajlovi na računaru su šifrovani u xtbl

Jedna od najnovijih varijanti virusa ransomware šifrira datoteke, zamjenjujući ih datotekama s ekstenzijom .xtbl i imenom koje se sastoji od nasumično odabranog skupa znakova.

U isto vrijeme, računar hostuje tekstualnu datoteku readme.txt sa sljedećim sadržajem: “Vaši fajlovi su šifrirani. Da biste ih dešifrirali, morate poslati kod na e-mail adresu [email protected], [email protected] ili [email protected] Zatim ćete dobiti sva potrebna uputstva. Pokušaji da sami dešifrujete datoteke dovest će do nepovratnog gubitka informacija ”(adresa e-pošte i tekst mogu se razlikovati).

Nažalost, trenutno ne postoji način za dešifrovanje .xtbl (čim se pojavi, uputstva će biti ažurirana). Neki korisnici koji su imali zaista važne informacije na svom računaru javljaju na antivirusnim forumima da su poslali 5.000 rubalja ili drugu potrebnu sumu autorima virusa i dobili dešifrator, ali to je vrlo rizično: možda nećete dobiti ništa.

Šta ako su datoteke šifrirane u .xtbl? Moje preporuke su sledeće (ali se razlikuju od onih na mnogim drugim tematskim sajtovima, gde se npr. preporučuje da se računar odmah isključi iz električne mreže ili da se ne uklanja virus. Po mom mišljenju, ovo je nepotrebno, a pod nekim okolnostima možda je čak i štetno, ali na vama je.):

  1. Ako znate kako, prekinuti proces šifriranja uklanjanjem odgovarajućih zadataka u upravitelju zadataka, isključivanjem računara s interneta (ovo može biti neophodno stanje enkripcija)
  2. Zapamtite ili zapišite kod koji napadači traže da se pošalje na e-mail adresu (ali ne u tekstualnu datoteku na računaru, za svaki slučaj, da ni on ne bude šifrovan).
  3. Koristite Malwarebytes Antimalware, probnu verziju Kaspersky Internet Security ili Dr.Web Cure It da biste uklonili virus koji šifrira datoteke (svi ovi alati to dobro rade). Savjetujem vam da naizmjence koristite prvi i drugi proizvod sa liste (međutim, ako imate instaliran antivirus, instaliranje drugog "odozgo" je nepoželjno, jer može dovesti do problema s vašim računalom.)
  4. Pričekajte da se pojavi dešifrator neke antivirusne kompanije. U prvom planu je Kaspersky Lab.
  5. Također možete poslati primjer šifrirane datoteke i potreban kod na [email protected], ako imate nešifrovanu kopiju iste datoteke, pošaljite i nju. U teoriji, ovo može ubrzati izgled dekodera.

Šta ne treba raditi:

  • Preimenujte šifrirane datoteke, promijenite ekstenziju i izbrišite ih ako su vam važne.

Ovo je, možda, sve što mogu reći o šifrovanim datotekama sa ekstenzijom .xtbl u ovom trenutku.

Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni

Sljedeći trojanac šifrira datoteke i instalira ekstenzije sa ove liste:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (ne nužno ovaj trojanac, postoje i drugi koji instaliraju istu ekstenziju).
  • [email protected] _com
  • .oshit
  • I drugi.

Za dešifriranje datoteka nakon rada ovih virusa, Kaspersky web stranica ima besplatni uslužni program RakhniDecryptor dostupan na službenoj web stranici http://support.kaspersky.ru/viruses/dizinfection/10556.

Tu je i detaljna instrukcija kako koristiti ovaj uslužni program, koja pokazuje kako oporaviti šifrirane datoteke, iz koje bih, za svaki slučaj, uklonio stavku "Izbriši šifrirane datoteke nakon uspješnog dešifriranja" (iako mislim da će sve biti u redu s instalirana opcija).

Ako imate licencu za Dr.Web anti-virus, možete koristiti besplatnu dešifriranje od ove kompanije na http://support.drweb.com/new/free_unlocker/

Više varijanti ransomware virusa

Manje uobičajeni, ali postoje i sljedeći trojanci koji šifriraju datoteke i zahtijevaju novac za dešifriranje. Dostavljene veze ne sadrže samo uslužne programe za vraćanje vaših datoteka, već i opis znakova koji će vam pomoći da utvrdite da imate ovaj određeni virus. Iako je generalno najbolji način da skenirate sistem pomoću Kaspersky Anti-Virus-a, saznate ime trojanca prema klasifikaciji ove kompanije, a zatim potražite uslužni program po ovom imenu.

  • Trojan-Ransom.Win32.Rector - besplatni RectorDecryptor uslužni program za dešifriranje i vodič za korištenje dostupan ovdje: http://support.kaspersky.ru/viruses/dizinfection/4264
  • Trojan-Ransom.Win32.Xorist je sličan trojanac koji se pojavljuje u prozoru tražeći od vas da pošaljete plaćeni SMS ili kontaktirate e-poštu za upute za dešifriranje. Upute za oporavak šifriranih datoteka i uslužni program XoristDecryptor za to možete pronaći na http://support.kaspersky.ru/viruses/dizinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor uslužni program http://support.kaspersky.ru/viruses/dizinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i drugi sa istim imenom (kada pretražujete kroz Dr.Web antivirus ili uslužni program Cure It) i različitim brojevima - pokušajte da potražite trojanski naziv na Internetu. Za neke od njih postoje uslužni programi za dešifriranje iz Dr.Web-a, također, ako niste mogli pronaći uslužni program, ali postoji Dr.Web licenca, možete koristiti službenu stranicu http://support.drweb.com/new/ free_unlocker/
  • CryptoLocker - za dešifriranje datoteka nakon što CryptoLocker radi, možete koristiti stranicu http://decryptolocker.com - nakon slanja uzorka datoteke, dobit ćete ključ i uslužni program za oporavak vaših datoteka.

well from Najnovije vijesti- Kaspersky Lab, zajedno sa službenicima za sprovođenje zakona iz Holandije, razvio je Ransomware Decryptor (http://noransom.kaspersky.com) za dešifrovanje datoteka nakon CoinVaulta, ali ovaj ransomware još nije pronađen na našim geografskim širinama.

Usput, ako se iznenada pokaže da imate nešto za dodati (jer možda nemam vremena pratiti što se događa s metodama dešifriranja), javite mi u komentarima, ove informacije će biti korisne drugim korisnicima koji su se susreli problem.

Tipično, zlonamjerni softver radi kako bi stekao kontrolu nad računarom, uključio ga u zombi mrežu ili ukrao lične podatke. Nepažljiv korisnik možda neće dugo primijetiti da je sistem zaražen. Ali ransomware, posebno xtbl, radi na potpuno drugačiji način. Oni čine korisničke datoteke neupotrebljivim tako što ih šifriraju najsloženijim algoritmom i zahtijevaju veliku svotu od vlasnika za mogućnost povrata informacija.

Uzrok problema: xtbl virus

Xtbl ransomware virus je dobio ime po tome što korisnički dokumenti šifrirani njime dobijaju ekstenziju .xtbl. Tipično, koderi ostavljaju ključ u tijelu datoteke tako da univerzalni program za dešifriranje može vratiti informacije u njihov izvorni oblik. Međutim, virus je dizajniran za druge svrhe, pa se umjesto ključa na ekranu pojavljuje ponuda za plaćanje određenog iznosa korištenjem anonimnih podataka.

Kako radi xtbl virus

Virus ulazi u računar putem e-mail poruka sa zaraženim prilozima, a to su datoteke kancelarijske aplikacije. Nakon što korisnik otvori sadržaj poruke, zlonamjerni softver počinje tražiti fotografije, ključeve, video zapise, dokumente i tako dalje, a zatim ih pomoću originalnog složenog algoritma (hibridna enkripcija) pretvara u xtbl skladišta.

Virus koristi sistemske fascikle za skladištenje svojih datoteka.

Virus se dodaje na startup listu. Da bi to uradio, dodaje unose u Windows registar pod odjeljcima:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Zaraženi računar radi stabilno, sistem se ne ruši, već ulazi ram memorija uvijek postoji mala aplikacija (ili dvije) s nerazumljivim imenom. A fascikle sa radnim fajlovima korisnika poprimaju čudan izgled.

Sljedeća poruka se pojavljuje na radnoj površini umjesto početnog ekrana:

Vaši fajlovi su šifrirani. Da biste ih dešifrirali, morate poslati kod na e-mail adresu: [email protected](šifra slijedi). Tada ćete dobiti daljnje upute. Samostalni pokušaji dešifriranja datoteka dovest će do njihovog potpunog uništenja.

Isti tekst je sadržan u generiranoj datoteci Kako dešifrirati vaše files.txt. Adresa e-pošte, kod, traženi iznos se mogu promijeniti.

Nerijetko neki prevaranti zarađuju na drugima - broj elektronskog novčanika iznuđivača ubacuje se u tijelo virusa, koji nema načina za dešifriranje datoteka. Dakle, lakovjerni korisnik koji šalje novac ne dobija ništa zauzvrat.

Zašto ne biste trebali plaćati iznuđivače

Nemoguće je pristati na saradnju sa iznuđivačima ne samo zbog moralnih principa. Ovo je takođe nerazumno sa praktične tačke gledišta.

  • Prijevara. Nije sigurno da će napadači moći dešifrirati vaše datoteke. Ni jedna od navodno dešifriranih fotografija koja vam je vraćena ne služi kao dokaz – možda je jednostavno original ukraden prije šifriranja. Uplaćeni novac će biti beskorisan.
  • Mogućnost ponavljanja. Potvrđujući svoju spremnost da platite, postat ćete poželjniji plijen za drugi napad. Možda će sljedeći put vaši fajlovi imati drugačiju ekstenziju i druga poruka će se pojaviti na uvodnom ekranu, ali novac će ići istim ljudima.
  • Povjerljivost. Dok su fajlovi, iako šifrovani, na vašem računaru. Pregovaranjem sa "poštenim negativcima" bićete primorani da im pošaljete sve svoje lične podatke. Algoritam ne predviđa dobijanje ključa i nezavisnu dešifrovanje, već samo slanje datoteka u dekoder.
  • Kompjuterska infekcija. Vaš računar je još uvijek zaražen, tako da dešifriranje datoteka nije potpuno rješenje problema.

    • Kako zaštititi svoj sistem od virusa

    Univerzalna pravila protiv zlonamjernog softvera i minimiziranja štete pomoći će i u ovom slučaju.

  • Čuvajte se nasumičnih veza. Nema potrebe za otvaranjem e-pošte primljenih od nepoznatih pošiljatelja, uključujući reklame i bonus ponude. U ekstremnim slučajevima, možete ih pročitati tako što ćete prvo spremiti prilog na disk i provjeriti ga antivirusom.
  • Uživajte u zaštiti. Antivirusni programi biblioteke zlonamjernih kodova se stalno popunjavaju, tako da trenutna verzija defanzivca neće pustiti većinu virusa u vaš računar.
  • Distribuirajte pristup. Virus će uzrokovati mnogo veću štetu ako uđe račun administrator. Bolje je raditi u ime korisnika, čime se dramatično sužava mogućnost infekcije.
  • Stvoriti rezervne kopije. Važne informacije treba redovno praviti rezervne kopije na spoljnim medijima koji se čuvaju odvojeno od računara. Također, ne zaboravite kreirati sigurnosne kopije Windows tačaka vraćanja.

    • Da li je moguće povratiti šifrirane informacije

    Dobra vijest je da je oporavak podataka moguć. Loša vijest: ne možete to učiniti sami. Razlog tome je posebnost algoritma za šifriranje, za odabir ključa za koji je potrebno mnogo više resursa i akumuliranog znanja od običan korisnik. Srećom, antivirusni programeri smatraju da je stvar časti nositi se sa svakim zlonamjernim softverom, pa čak i ako trenutno ne mogu izaći na kraj s vašim ransomwareom, sigurno će pronaći rješenje za mjesec ili dva. Morat ćete biti strpljivi.

    Zbog potrebe kontaktiranja stručnjaka, algoritam za rad sa zaraženim računarom se mijenja. Opšte pravilo: što manje promjena, to bolje. Antivirusi određuju način liječenja prema "generičkim karakteristikama" zlonamjernog programa, stoga su zaražene datoteke izvor za njih važna informacija. Morate ih ukloniti tek nakon što riješite glavni problem.

    Drugo pravilo: zaustaviti virus po svaku cijenu. Možda još nije pokvario sve informacije, a tragovi enkriptora su ostali u RAM-u, s kojim ga možete identificirati. Stoga morate odmah isključiti računar iz mreže, a laptop isključiti dugim pritiskom na dugme za mrežu. Ovaj put, standardna "nježna" procedura isključivanja, koja omogućava da svi procesi napuste graciozan, neće raditi, jer jedan od njih kodira vaše podatke.

    Vraćanje šifriranih datoteka

    Ako ste isključili računar

    Ako ste uspjeli isključiti računalo prije završetka procesa šifriranja, onda ga ne morate sami uključivati. "Bolesne" odmah odnesite specijalistima, prekinuto kodiranje značajno povećava šanse za spremanje ličnih datoteka. Ovdje također možete siguran način provjerite svoje medije za pohranu i napravite sigurnosne kopije. Sa velikom vjerovatnoćom, sam virus će biti poznat, pa će liječenje biti uspješno.

    Ako je šifriranje završeno

    Nažalost, šansa za uspješno prekidanje procesa šifriranja je vrlo mala. Obično virus ima vremena da kodira datoteke i ukloni nepotrebne tragove sa računara. I sada imate dva problema: Windows je i dalje zaražen, a lične datoteke su se pretvorile u skup znakova. Da biste riješili drugi problem, trebate koristiti pomoć proizvođača antivirusnog softvera.

    Dr. Web

    Dr.Web Lab pruža svoje usluge dešifriranja besplatno samo vlasnicima komercijalnih licenci. Drugim riječima, ako još niste njihov kupac, ali želite oporaviti svoje datoteke, morat ćete kupiti program. S obzirom na trenutnu situaciju, ovo je prava investicija.

    Sljedeći korak je odlazak na web stranicu proizvođača i popunjavanje formulara za prijavu.

    Ako među šifriranim datotekama ima onih čije su kopije pohranjene na vanjskim medijima, njihov prijenos će uvelike olakšati rad dekodera.

    Kaspersky

    Kaspersky Lab je razvio sopstveni uslužni program za dešifrovanje pod nazivom RectorDecryptor, koji se može preuzeti na računar sa zvaničnog sajta kompanije.

    Svaka verzija operativnog sistema, uključujući Windows 7, ima svoj uslužni program. Nakon preuzimanja, pritisnite dugme na ekranu „Pokreni skeniranje“.

    Rad službi može biti odložen neko vrijeme ako je virus relativno nov. U tom slučaju kompanija obično šalje obavijest. Ponekad dešifriranje može potrajati nekoliko mjeseci.

    Ostale usluge

    Sve je više servisa sa sličnim funkcijama, što ukazuje na potražnju za uslugama dešifriranja. Algoritam radnji je isti: idemo na stranicu (na primjer, https://decryptolocker.com/), registriramo se i šaljemo šifriranu datoteku.

    Programi dekodera

    Postoji mnogo ponuda „univerzalnih dekodera“ (naravno, plaćenih) na mreži, ali je njihova korisnost upitna. Naravno, ako sami proizvođači virusa napišu dekriptor, on će uspješno raditi, ali isti program će biti beskoristan za drugu zlonamjernu aplikaciju. Osim toga, stručnjaci koji se redovno bave virusima obično imaju kompletan paket potrebnih uslužnih programa, tako da postoji velika vjerovatnoća da će imati sve radne programe. Kupovina takvog dekodera će vjerovatno biti gubitak novca.

    Kako dešifrirati datoteke koristeći Kaspersky Lab - video

    Samooporavak informacija

    Ako iz nekog razloga ne možete kontaktirati stručnjake treće strane, možete pokušati sami povratiti informacije. Rezervisaćemo da u slučaju kvara fajlovi mogu biti trajno izgubljeni.

    Oporavak izbrisanih datoteka

    Nakon šifriranja, virus briše originalne datoteke. Međutim, Windows 7 pohranjuje sve izbrisane informacije neko vrijeme u obliku takozvane kopije u sjeni.

    shadowexplorer

    ShadowExplorer je uslužni program dizajniran za vraćanje datoteka iz njihovih kopija u sjeni.

  • Da biste instalirali, idite na web stranicu programera i preuzmite arhivu, nakon što je raspakirate izvršni modulće biti pohranjen u fascikli ShadowExplorerPortable s istim imenom. Prečica za brzo pokretanje će se pojaviti na radnoj površini.
  • Nadalje, sve radnje su intuitivne. Pokrenite program i u gornjem lijevom prozoru odaberite disk na kojem su podaci pohranjeni i datum kreiranja sjene kopije. Potreban vam je najnoviji datum.
  • Sada pronađite odjeljak koji je sadržavao radne datoteke i kliknite na njega desni klik miševi. U otkrivenom kontekstni meni odaberite Izvezi, a zatim odredite putanju za spremanje oporavljenih datoteka. Program će pronaći sve postojeće kopije u senci u ovoj fascikli i izvesti ih kako je predviđeno.

    • PhotoRec

    Besplatni uslužni program PhotoRec radi na istom principu, ali u batch modu.

  • Preuzmite arhivu sa web stranice programera i raspakirajte je na disk. Izvršni fajl se zove QPhotoRec_Win.
  • Kada se pokrene, aplikacija će prikazati listu svih dostupnih disk uređaja u dijaloškom okviru. Odaberite onu gdje su pohranjene šifrirane datoteke i odredite putanju za spremanje vraćenih kopija.

    Za skladištenje je bolje koristiti eksterne medije, kao što je USB fleš disk, jer je svako upisivanje na disk opasno brisanjem zasjenjenih kopija.

  • Nakon što odaberete željene direktorije, pritisnite dugme za okvir Formati datoteka.
  • Padajući meni je lista tipova datoteka koje aplikacija može oporaviti. Prema zadanim postavkama, postoji kvačica pored svake, međutim, da biste ubrzali rad, možete ukloniti dodatne "ptice", ostavljajući samo one koje odgovaraju tipovima datoteka koje se vraćaju. Kada završite sa odabirom, pritisnite dugme OK na ekranu.
  • Kada se izbor završi, dugme za pretragu na ekranu postaje dostupno. Kliknite na njega. Postupak oporavka je dugotrajan proces, stoga budite strpljivi.
  • Nakon što sačekate da se proces završi, pritisnite dugme Quit na ekranu i izađite iz programa.
  • Obnovljene datoteke se nalaze u prethodno navedenom direktoriju i podijeljene u foldere s istim nazivima recup_dir.1, recup_dir.2, recup_dir.3 i tako dalje. Prođite kroz svaki redom i vratite im originalna imena.

    • Virus Removal

    Pošto je virus došao na računar, instalirani sigurnosni programi nisu se nosili sa svojim zadatkom. Možete pokušati potražiti pomoć izvana.

    Bitan! Uklanjanje virusa liječi računar, ali ne vraća šifrovane datoteke. Osim toga, instaliranje novog softvera može oštetiti ili izbrisati neke od zasjenjenih kopija datoteka potrebnih za njihovo vraćanje. Stoga je bolje instalirati aplikacije na druge diskove.

    Kaspersky Virus Removal Tool

    Besplatan program poznatog programera antivirusnog softvera, koji se može preuzeti sa Kaspersky Lab web stranice. Nakon pokretanja Kaspersky Virus Removal Tool, on će vas odmah pitati da pokrenete skeniranje.

    Nakon pritiska na veliko dugme na ekranu "Pokreni skeniranje", program počinje da skenira računar.

    Ostaje pričekati kraj skeniranja i ukloniti pronađene nepozvane goste.

    Malwarebytes Anti-malware

    Još jedan programer antivirusnog softvera koji nudi besplatna verzija skener. Algoritam akcija je isti:

  • Preuzmite instalacionu datoteku za Malwarebytes Anti-malware sa službene web stranice proizvođača, a zatim pokrenite instalacijski program tako što ćete odgovoriti na pitanja i kliknuti na dugme "Dalje".
  • Glavni prozor će od vas tražiti da odmah ažurirate program (korisna procedura za ažuriranje virusnih baza podataka). Nakon toga pokrenite provjeru klikom na odgovarajuće dugme.
  • Malwarebytes Anti-malware skenira sistem korak po korak, prikazujući srednje rezultate na ekranu.
  • Pronađeni virusi, uključujući ransomware, prikazani su u završnom prozoru. Riješite ih se pritiskom na dugme "Izbriši odabrano" na ekranu.

    Da biste ispravno uklonili neke zlonamjerne aplikacije Malwarebytes Anti-malware će od vas zatražiti da ponovo pokrenete sistem, morate se složiti s tim. Nakon nastavka Windows radi antivirus će nastaviti sa čišćenjem.

    • Šta ne treba raditi

    Virus XTBL, kao i drugi ransomware virusi, oštećuje i sistem i korisničke informacije. Stoga, da biste smanjili moguću štetu, potrebno je poduzeti neke mjere opreza:

    1. Nemojte čekati da se šifriranje završi. Ako je šifriranje datoteke počelo pred vašim očima, ne biste trebali čekati kako će se završiti ili pokušavati programski prekinuti proces. Odmah isključite napajanje računara i pozovite stručnjake.
    2. Ne pokušavajte sami ukloniti virus ako možete vjerovati profesionalcima.
    3. Nemojte ponovo instalirati sistem do kraja tretmana. Virus će sigurno zaraziti i novi sistem.
    4. Nemojte preimenovati šifrovane datoteke. Ovo će samo zakomplicirati rad dekodera.
    5. Ne pokušavajte čitati zaražene datoteke na drugom računaru dok se virus ne ukloni. To može dovesti do širenja infekcije.
    6. Ne plaćajte iznuđivače. Ovo je beskorisno i potiče kreatore virusa i prevarante.
    7. Ne zaboravite na prevenciju. Antivirusna instalacija, redovna backup, stvaranje tačaka vraćanja značajno će smanjiti moguću štetu od zlonamjernog softvera.

    Liječenje računara zaraženog ransomware virusom je duga i ne uvijek uspješna procedura. Stoga je veoma važno poduzeti mjere opreza kada primate informacije s mreže i radite s neprovjerenim vanjskim medijima.

    Ako je sistem zaražen zlonamjernim softverom iz Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, ili Trojan-Ransom porodice Win32.CryptXXX, sve datoteke na računaru će biti šifrirane na sljedeći način:

    • Kada je Trojan-Ransom.Win32.Rannoh zaražen, imena i ekstenzije će se mijenjati prema obrascu zaključanom-<оригинальное_имя>.<4 произвольных буквы>.
    • Kada je Trojan-Ransom.Win32.Cryakl zaražen, oznaka (CRYPTENDBLACKDC) se dodaje na kraj sadržaja datoteka.
    • Kada je Trojan-Ransom.Win32.AutoIt zaražen, ekstenzija se mijenja prema predlošku<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
      Na primjer, [email protected] _.RZWDTDIC.
    • Kada je Trojan-Ransom.Win32.CryptXXX zaražen, ekstenzija se mijenja prema predlošcima<оригинальное_имя>.crypt,<оригинальное_имя>.crypz i<оригинальное_имя>.cryp1.

    Uslužni program RannohDecryptor dizajniran je za dešifriranje datoteka nakon infekcije s Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.CWin32 , Trojan- Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX verzije 1, 2 i 3.

    Kako izliječiti sistem

    Da biste izliječili zaraženi sistem:

    1. Preuzmite datoteku RannohDecryptor.zip.
    2. Pokrenite datoteku RannohDecryptor.exe na zaraženom računaru.
    3. U glavnom prozoru kliknite Započni verifikaciju.
    1. Navedite putanju do šifrirane i nešifrirane datoteke.
      Ako je datoteka šifrirana pomoću Trojan-Ransom.Win32.CryptXXX, navedite najveće datoteke. Dešifriranje će biti dostupno samo za datoteke jednake ili manje veličine.
    2. Pričekajte do kraja pretraživanja i dešifriranja šifriranih datoteka.
    3. Ponovo pokrenite računar ako je potrebno.
    4. nakon zaključavanja-<оригинальное_имя>.<4 произвольных буквы>Da biste izbrisali kopiju šifriranih datoteka tipa uspješnog dešifriranja, odaberite .

    Ako je datoteku šifrirao Trojan-Ransom.Win32.Cryakl, uslužni program će sačuvati datoteku na njenoj staroj lokaciji s ekstenzijom .decryptedKLR.original_extension. Ako ste izabrali Izbrišite šifrirane datoteke nakon uspješnog dešifriranja, dešifrovanu datoteku će uslužni program spremiti s originalnim imenom.

    1. Po defaultu, uslužni program šalje izvještaj o operaciji u root sistemski disk(disk na kojem je instaliran OS).

      Naziv izvještaja je sljedeći: UtilityName.Version_Date_Time_log.txt

      Na primjer, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    Na sistemu zaraženom Trojan-Ransom.Win32.CryptXXX, uslužni program skenira ograničen broj formata datoteka. Kada korisnik odabere datoteku na koju utiče CryptXXX v2, oporavak ključa može potrajati dugo. U tom slučaju, uslužni program prikazuje upozorenje.



    Učitavanje...
    Top