Die Datei des Ransomware-Virus ist angehängt. Keine Chance auf Rettung: Was ist ein Ransomware-Virus und wie geht man damit um?

Ransomware-Hacker sind normalen Erpressern sehr ähnlich. Sowohl in der realen Welt als auch in der Cyberumgebung gibt es ein einziges Oder Gruppenobjekt Anschläge. Es wird entweder gestohlen oder unzugänglich gemacht. Darüber hinaus nutzen die Täter bestimmte Kommunikationsmittel mit den Opfern, um ihre Forderungen zu übermitteln. Computerbetrüger wählen normalerweise nur wenige Formate für eine Lösegeldforderung aus, aber Kopien davon können an fast jedem Speicherort eines infizierten Systems gefunden werden. Im Fall der als Troldesh oder Shade bekannten Spyware-Familie verfolgen Betrüger einen anderen Ansatz, wenn sie ein Opfer kontaktieren.

Werfen wir einen genaueren Blick auf diesen Stamm des Verschlüsselungsvirus, der sich an ein russischsprachiges Publikum richtet. Die meisten ähnlichen Infektionen erkennen das Tastaturlayout auf dem angegriffenen PC, und wenn eine der Sprachen Russisch ist, stoppt das Eindringen. Allerdings Ransomware XTBL Promiscuous: Unglücklicherweise für die Benutzer wird der Angriff unabhängig von ihrem geografischen Standort und ihrer bevorzugten Sprache eingesetzt. Eine klare Verkörperung dieser Vielseitigkeit ist eine Warnung, die als Desktop-Hintergrund erscheint, sowie eine TXT-Datei mit Anweisungen zur Zahlung des Lösegelds.

Der XTBL-Virus wird normalerweise durch Spam verbreitet. Die Nachrichten erinnern an Briefe bekannter Marken oder fallen einfach ins Auge, da der Betreff der Nachricht Ausdrücke wie „Dringend!“ verwendet. oder "Wichtige Finanzdokumente". Phishing-Trick funktioniert, wenn der Empfänger einer solchen E-Mail. message lädt eine ZIP-Datei herunter, die JavaScript-Code oder ein Docm-Objekt mit einem potenziell anfälligen Makro enthält.

Nachdem der grundlegende Algorithmus auf dem kompromittierten PC ausgeführt wurde, sucht der Ransomware-Trojaner nach Daten, die für den Benutzer von Wert sein könnten. Zu diesem Zweck scannt der Virus den lokalen und externen Speicher und vergleicht gleichzeitig jede Datei mit einer Reihe von Formaten, die basierend auf der Erweiterung des Objekts ausgewählt werden. Alle .jpg-, .wav-, .doc-, .xls-Dateien sowie viele andere Objekte werden mit dem AES-256-Verschlüsselungsalgorithmus für symmetrische Blöcke verschlüsselt.

Es gibt zwei Aspekte dieser schädlichen Wirkung. Zunächst einmal verliert der Nutzer den Zugriff auf wichtige Daten. Außerdem werden Dateinamen tief kodiert, was zu einem unsinnigen Satz hexadezimaler Zeichen als Ausgabe führt. Alles, was die Namen der betroffenen Dateien vereint, ist die ihnen hinzugefügte xtbl-Erweiterung, d.h. der Name der Cyberbedrohung. Die Namen verschlüsselter Dateien haben manchmal ein spezielles Format. In einigen Versionen von Troldesh können die Namen verschlüsselter Objekte unverändert bleiben und am Ende wird ein eindeutiger Code hinzugefügt: [E-Mail geschützt], [E-Mail geschützt], oder [E-Mail geschützt]

Offensichtlich haben Angreifer E-Mail-Adressen eingeführt. E-Mail direkt in Dateinamen, geben Sie den Opfern an, wie sie kommunizieren sollen. Die E-Mail ist auch an anderer Stelle aufgeführt, nämlich in der in der Datei „Readme.txt“ enthaltenen Lösegeldforderung. Solche Notepad-Dokumente erscheinen auf dem Desktop sowie in allen Ordnern mit verschlüsselten Daten. Die Kernbotschaft lautet:

„Alle Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code: [Your unique cipher] an die E-Mail-Adresse senden [E-Mail geschützt] oder [E-Mail geschützt] Als nächstes bekommst du alles notwendige Anweisungen. Selbstentschlüsselungsversuche führen zu nichts, außer zum unwiederbringlichen Informationsverlust“

Die E-Mail-Adresse kann sich je nach Ransomware-Gruppe ändern, die den Virus verbreitet.

Was das weitere Vorgehen betrifft, reagieren die Betrüger im Allgemeinen, indem sie ein Lösegeld empfehlen, das 3 Bitcoins oder ein anderer Betrag in diesem Bereich sein kann. Bitte beachten Sie, dass niemand garantieren kann, dass die Hacker ihr Versprechen auch nach Erhalt des Geldes halten. Um den Zugriff auf .xtbl-Dateien wiederherzustellen, wird betroffenen Benutzern empfohlen, zunächst alle verfügbaren alternativen Methoden auszuprobieren. In einigen Fällen können Daten mithilfe des direkt in Windows bereitgestellten Volumenschattenkopie-Dienstes (Volume Shadow Copy) sowie mit Entschlüsselungs- und Dvon Software-Drittanbietern in Ordnung gebracht werden.

Entfernen Sie XTBL-Ransomware mit automatischem Reiniger

Eine äußerst effektive Methode zum Umgang mit Malware im Allgemeinen und Ransomware im Besonderen. Die Verwendung eines bewährten Schutzkomplexes garantiert die Gründlichkeit der Erkennung aller Viruskomponenten und deren vollständige Entfernung mit einem Klick. Bitte beachten Sie, dass es sich um zwei verschiedene Prozesse handelt: die Deinstallation der Infektion und die Wiederherstellung von Dateien auf Ihrem PC. Allerdings muss die Bedrohung auf jeden Fall entfernt werden, da es Informationen über die Einschleppung anderer Computertrojaner mit ihrer Hilfe gibt.

1. . Klicken Sie nach dem Start der Software auf die Schaltfläche Starten Sie den Computer-Scan(Scan starten).
2. Die installierte Software erstellt einen Bericht über Bedrohungen, die während des Scans erkannt wurden. Um alle gefundenen Bedrohungen zu entfernen, wählen Sie die Option Bedrohungen beheben(Bedrohungen beseitigen). Die betreffende Malware wird vollständig entfernt.

Stellen Sie den Zugriff auf verschlüsselte Dateien mit der Erweiterung .xtbl wieder her

Wie bereits erwähnt, sperrt die XTBL-Ransomware Dateien mit einem starken Verschlüsselungsalgorithmus, sodass verschlüsselte Daten nicht mit einem Wisch fortgesetzt werden können. Zauberstab- wenn Sie die Zahlung eines unerhörten Lösegeldes nicht berücksichtigen. Aber einige Methoden können wirklich zu einem Lebensretter werden, der Ihnen hilft, wichtige Daten wiederherzustellen. Nachfolgend können Sie sich mit ihnen vertraut machen.

Decryptor - Programm zur automatischen Wiederherstellung von Dateien

Ein sehr ungewöhnlicher Umstand ist bekannt. Diese Infektion zerstört Quelldaten in unverschlüsselter Form. Der erpresserische Verschlüsselungsprozess zielt also auf Kopien davon ab. Dies ermöglicht Software-Tools beispielsweise die Wiederherstellung gelöschter Objekte, auch wenn die Zuverlässigkeit ihrer Entfernung gewährleistet ist. Es wird dringend empfohlen, auf das Dateiwiederherstellungsverfahren zurückzugreifen, dessen Wirksamkeit mehr als einmal bestätigt wurde.

Volumenschattenkopien

Der Ansatz basiert auf einem Windows-basierten Dateisicherungsverfahren, das bei jedem Wiederherstellungspunkt wiederholt wird. Wichtige Bedingung arbeiten diese Methode: Die Systemwiederherstellung muss vor der Infektion aktiviert werden. Alle Änderungen, die nach dem Wiederherstellungspunkt an der Datei vorgenommen wurden, werden jedoch nicht in der wiederhergestellten Version der Datei widergespiegelt.

Sicherung

Dies ist die beste aller Nicht-Buyout-Methoden. Wenn das Verfahren zum Sichern von Daten auf einem externen Server verwendet wurde, bevor die Ransomware Ihren Computer angegriffen hat, müssen Sie zum Wiederherstellen verschlüsselter Dateien einfach die entsprechende Schnittstelle aufrufen, die erforderlichen Dateien auswählen und den Daaus dem Backup starten. Bevor Sie die Operation durchführen, müssen Sie sicherstellen, dass die Ransomware vollständig entfernt wurde.

Suchen Sie nach möglichen Restkomponenten des XTBL-Ransomware-Virus

Die manuelle Reinigung ist voller fehlender Ransomware, die das Löschen in Form von heimlichen Objekten verhindern kann Betriebssystem oder Registry-Einträge. Um das Risiko einer teilweisen Erhaltung einzelner bösartiger Elemente auszuschließen, scannen Sie Ihren Computer mit einer zuverlässigen universellen Antiviren-Suite.

ist ein Schadprogramm, das bei Aktivierung alle persönlichen Dateien wie Dokumente, Fotos usw. verschlüsselt. Die Zahl solcher Programme ist sehr groß und nimmt täglich zu. Erst kürzlich sind wir auf Dutzende von Ransomware-Optionen gestoßen: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff usw. Der Zweck solcher Ransomware besteht darin, Benutzer zu zwingen, das Programm und den Schlüssel zu kaufen, die zum Entschlüsseln ihrer eigenen Dateien erforderlich sind, oft für eine große Menge Geld.

Natürlich können Sie verschlüsselte Dateien wiederherstellen, indem Sie einfach den Anweisungen folgen, die die Ersteller des Virus auf dem infizierten Computer hinterlassen. Aber meistens sind die Kosten für die Entschlüsselung sehr hoch, Sie müssen auch wissen, dass einige Verschlüsselungsviren Dateien so verschlüsseln, dass es einfach unmöglich ist, sie später zu entschlüsseln. Und natürlich ist es einfach unangenehm, für die Wiederherstellung der eigenen Dateien zu bezahlen.

Im Folgenden werden wir ausführlicher über Ransomware-Viren sprechen, wie sie in den Computer des Opfers eindringen, sowie wie man den Ransomware-Virus entfernt und von ihm verschlüsselte Dateien wiederherstellt.

Wie ein Ransomware-Virus in einen Computer eindringt

Ein Ransomware-Virus wird normalerweise verbreitet Email. Der Brief enthält infizierte Dokumente. Diese E-Mails werden an eine riesige Datenbank mit E-Mail-Adressen gesendet. Die Autoren dieses Virus verwenden irreführende Kopfzeilen und Inhalte von E-Mails und versuchen, den Benutzer dazu zu bringen, das an die E-Mail angehängte Dokument zu öffnen. Einige Briefe informieren über die Notwendigkeit, die Rechnung zu bezahlen, andere bieten an, die neueste Preisliste einzusehen, andere öffnen ein lustiges Foto usw. In jedem Fall ist das Ergebnis des Öffnens der angehängten Datei die Infektion des Computers mit einem Ransomware-Virus.

Was ist ein Ransomware-Virus

Ein Ransomware-Virus ist ein bösartiges Programm, das moderne Versionen von Betriebssystemen infiziert. Windows-Familien, wie Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Diese Viren versuchen, möglichst starke Verschlüsselungsmodi zu verwenden, z. B. RSA-2048 mit einer Schlüssellänge von 2048 Bit, wodurch die Möglichkeit einer Auswahl eines Schlüssels, um Dateien selbst zu entschlüsseln.

Beim Infizieren eines Computers verwendet der Ransomware-Virus das Systemverzeichnis %APPDATA%, um seine eigenen Dateien zu speichern. Um sich beim Einschalten des Computers automatisch selbst zu starten, erstellt die Ransomware einen Eintrag in Windows-Registrierung: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Unmittelbar nach dem Start scannt der Virus alle verfügbaren Laufwerke, einschließlich Netzwerk- und Cloud-Speicher, um festzustellen, welche Dateien verschlüsselt werden. Der Ransomware-Virus verwendet die Dateinamenerweiterung, um die Gruppe der zu verschlüsselnden Dateien zu bestimmen. Fast alle Arten von Dateien werden verschlüsselt, einschließlich solcher gebräuchlicher wie:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, Brieftasche, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Unmittelbar nachdem die Datei verschlüsselt wurde, erhält sie eine neue Erweiterung, die häufig verwendet werden kann, um den Namen oder Typ des Verschlüsselers zu identifizieren. Einige Arten dieser Malware können auch die Namen verschlüsselter Dateien ändern. Der Virus erstellt dann ein Textdokument mit Namen wie HELP_YOUR_FILES, README, das Anweisungen zum Entschlüsseln der verschlüsselten Dateien enthält.

Während des Betriebs versucht die Ransomware, die Möglichkeit der Wiederherstellung von Dateien mithilfe des SVC-Systems zu blockieren ( Schattenkopien Dateien). Dazu ruft der Virus im Befehlsmodus das Dienstprogramm zum Verwalten von Schattenkopien von Dateien mit dem Schlüssel auf, der die Prozedur startet vollständige Entfernung. Daher ist es fast immer unmöglich, Dateien mithilfe ihrer Schattenkopien wiederherzustellen.

Der Ransomware-Virus verwendet aktiv Angsttaktiken, indem er dem Opfer einen Link zu einer Beschreibung des Verschlüsselungsalgorithmus gibt und eine Drohnachricht auf dem Desktop anzeigt. Es versucht auf diese Weise, den Benutzer des infizierten Computers zu zwingen, die Computer-ID ohne zu zögern an die E-Mail-Adresse des Virenautors zu senden, um zu versuchen, seine Dateien zurückzusenden. Die Antwort auf eine solche Nachricht ist meistens die Höhe des Lösegeldes und die Adresse E-Wallet.

Ist mein Computer mit einem Ransomware-Virus infiziert?

Es ist ziemlich einfach festzustellen, ob ein Computer mit einem Ransomware-Virus infiziert ist oder nicht. Achten Sie auf die Endungen Ihrer persönlichen Dateien wie Dokumente, Fotos, Musik etc. Wenn sich die Erweiterung geändert hat oder Ihre persönlichen Dateien verschwunden sind und viele Dateien mit unbekannten Namen zurückbleiben, ist der Computer infiziert. Darüber hinaus ist das Vorhandensein einer Datei mit dem Namen HELP_YOUR_FILES oder README in Ihren Verzeichnissen ein Zeichen für eine Infektion. Diese Datei enthält Anweisungen zum Entschlüsseln der Dateien.

Wenn Sie vermuten, dass Sie einen mit einem Ransomware-Virus infizierten Brief geöffnet haben, aber noch keine Infektionssymptome vorliegen, schalten Sie Ihren Computer nicht aus und starten Sie ihn nicht neu. Befolgen Sie die in diesem Handbuch beschriebenen Schritte, Abschnitt. Noch einmal, es ist sehr wichtig, den Computer nicht auszuschalten, bei einigen Arten von Ransomware wird der Dateiverschlüsselungsprozess aktiviert, wenn der Computer nach der Infektion zum ersten Mal eingeschaltet wird!

Wie entschlüsselt man Dateien, die von einem Ransomware-Virus verschlüsselt wurden?

Wenn dieses Unglück passiert ist, besteht kein Grund zur Panik! Aber Sie müssen wissen, dass es in den meisten Fällen keinen kostenlosen Entschlüsseler gibt. Der Grund dafür sind die starken Verschlüsselungsalgorithmen, die von dieser Malware verwendet werden. Das bedeutet, dass es fast unmöglich ist, Dateien ohne einen privaten Schlüssel zu entschlüsseln. Die Verwendung der Schlüsselauswahlmethode ist aufgrund der großen Länge des Schlüssels ebenfalls keine Option. Daher ist es leider die einzige Möglichkeit, den Entschlüsselungsschlüssel zu erhalten, indem man den Autoren des Virus nur den gesamten angeforderten Betrag zahlt.

Natürlich gibt es absolut keine Garantie dafür, dass sich die Autoren des Virus nach der Zahlung mit Ihnen in Verbindung setzen und den Schlüssel bereitstellen, der zum Entschlüsseln Ihrer Dateien erforderlich ist. Darüber hinaus müssen Sie verstehen, dass Sie durch die Zahlung von Geld an Virenentwickler diese selbst dazu drängen, neue Viren zu entwickeln.

Wie entferne ich den Ransomware-Virus?

Bevor Sie damit fortfahren, müssen Sie wissen, wann Sie einen Virus entfernen und versuchen, dies zu tun Selbsterholung Dateien blockieren Sie die Möglichkeit, Dateien zu entschlüsseln, indem Sie den Autoren des Virus den geforderten Betrag zahlen.

Kaspersky Virenentfernung Das Tool und Malwarebytes Anti-Malware können verschiedene Arten von aktiver Ransomware erkennen und diese leicht von Ihrem Computer entfernen, ABER sie können keine verschlüsselten Dateien wiederherstellen.

5.1. Entfernen Sie Ransomware mit dem Kaspersky Virus Removal Tool

Standardmäßig ist das Programm so konfiguriert, dass es alle Dateitypen wiederherstellt, aber um die Arbeit zu beschleunigen, wird empfohlen, nur die Dateitypen zu belassen, die Sie wiederherstellen müssen. Wenn Sie Ihre Auswahl abgeschlossen haben, drücken Sie die OK-Taste.

Suchen Sie unten im QPhotoRec-Fenster nach der Schaltfläche Durchsuchen und klicken Sie darauf. Sie müssen ein Verzeichnis auswählen, in dem die wiederhergestellten Dateien gespeichert werden. Es ist ratsam, eine Festplatte zu verwenden, die keine verschlüsselten Dateien enthält, die wiederhergestellt werden müssen (Sie können ein USB-Flash-Laufwerk oder ein externes Laufwerk verwenden).

Um das Verfahren zum Suchen und Wiederherstellen der Originalkopien verschlüsselter Dateien zu starten, klicken Sie auf die Schaltfläche Suchen. Dieser Vorgang dauert ziemlich lange, seien Sie also geduldig.

Wenn die Suche beendet ist, klicken Sie auf die Schaltfläche Beenden. Öffnen Sie nun den Ordner, den Sie zum Speichern der wiederhergestellten Dateien ausgewählt haben.

Der Ordner enthält Verzeichnisse mit den Namen recup_dir.1, recup_dir.2, recup_dir.3 und so weiter. Je mehr Dateien das Programm findet, desto mehr Verzeichnisse gibt es. Um die benötigten Dateien zu finden, überprüfen Sie alle Verzeichnisse nacheinander. Um das Auffinden der benötigten Datei unter einer großen Anzahl wiederhergestellter Dateien zu erleichtern, verwenden Sie das integrierte Windows-Suchsystem (nach dem Inhalt der Datei) und vergessen Sie auch nicht die Funktion zum Sortieren von Dateien in Verzeichnissen. Sie können das Änderungsdatum der Datei als Sortierparameter auswählen, da QPhotoRec versucht, diese Eigenschaft beim Wiederherstellen einer Datei wiederherzustellen.

Wie kann man verhindern, dass ein Computer mit einem Ransomware-Virus infiziert wird?

Die meisten modernen Antivirenprogramme verfügen bereits über ein eingebautes Schutzsystem gegen das Eindringen und die Aktivierung von Ransomware-Viren. Wenn Ihr Computer also nicht über ein Antivirenprogramm verfügt, installieren Sie es unbedingt. Sie können herausfinden, wie Sie es auswählen, indem Sie dies lesen.

Darüber hinaus gibt es spezialisierte Schutzprogramme. Dies ist zum Beispiel CryptoPrevent, mehr Details.

Ein paar abschließende Worte

Wenn Sie dieser Anweisung folgen, wird Ihr Computer von dem Ransomware-Virus befreit. Wenn Sie Fragen haben oder Hilfe benötigen, kontaktieren Sie uns bitte.

Hallo allerseits, heute erkläre ich Ihnen, wie Sie Dateien nach einem Virus in Windows entschlüsseln. Eine der problematischsten Malware heutzutage ist ein Trojaner oder Virus, der Dateien auf dem Laufwerk eines Benutzers verschlüsselt. Einige dieser Dateien können entschlüsselt werden, andere noch nicht. In dem Artikel werde ich mögliche Aktionsalgorithmen in beiden Situationen beschreiben.

Es gibt mehrere Modifikationen dieses Virus, aber die allgemeine Essenz der Arbeit besteht darin, dass nach der Installation auf Ihrem Computer Ihr Dokument, Bild und andere potenziell wichtige Dateien mit einer Änderung der Erweiterung verschlüsselt werden, woraufhin Sie eine Meldung erhalten, die dies alles besagt Ihre Dateien wurden verschlüsselt, und um sie zu entschlüsseln, müssen Sie einen bestimmten Betrag an den Angreifer senden.

Dateien auf dem Computer werden in xtbl verschlüsselt

Eine der neuesten Varianten des Ransomware-Virus verschlüsselt Dateien und ersetzt sie durch Dateien mit der Erweiterung .xtbl und einem Namen, der aus zufälligen Zeichen besteht.

Gleichzeitig hostet der Computer Textdatei readme.txt mit folgendem Inhalt: „Ihre Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code an die E-Mail-Adresse senden [E-Mail geschützt], [E-Mail geschützt] oder [E-Mail geschützt] Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, die Dateien selbst zu entschlüsseln, führen zu unwiederbringlichem Informationsverlust“ (E-Mail-Adresse und Text können abweichen).

Leider gibt es derzeit keine Möglichkeit, .xtbl zu entschlüsseln (sobald es erscheint, wird die Anleitung aktualisiert). Einige Benutzer, die wirklich wichtige Informationen auf ihrem Computer hatten, berichten in Antivirus-Foren, dass sie 5.000 Rubel oder einen anderen erforderlichen Betrag an die Autoren des Virus geschickt und einen Entschlüsseler erhalten haben, aber das ist sehr riskant: Sie erhalten möglicherweise nichts.

Was wäre, wenn die Dateien in .xtbl verschlüsselt wären? Meine Empfehlungen lauten wie folgt (aber sie unterscheiden sich von denen auf vielen anderen Themenseiten, wo beispielsweise empfohlen wird, den Computer sofort vom Netz zu nehmen oder den Virus nicht zu entfernen. Dies ist meiner Meinung nach unnötig und unter Umständen es kann sogar schädlich sein, aber es liegt an Ihnen.):

1. Wenn Sie wissen, wie, unterbrechen Sie den Verschlüsselungsvorgang, indem Sie die entsprechenden Aufgaben im Task-Manager entfernen und den Computer vom Internet trennen (dies kann sein notwendige Bedingung Verschlüsselung)
2. Merken oder notieren Sie sich den Code, den die Angreifer an die E-Mail-Adresse senden wollen (aber nicht in eine Textdatei auf dem Computer, nur für den Fall, damit sie auch nicht verschlüsselt ist).
3. Verwenden Sie Malwarebytes Antimalware, eine Testversion von Kaspersky Internet Security oder Dr.Web Cure It, um einen Virus zu entfernen, der Dateien verschlüsselt (alle diese Tools leisten gute Arbeit). Ich rate Ihnen, das erste und zweite Produkt aus der Liste abwechselnd zu verwenden (wenn Sie jedoch ein Antivirenprogramm installiert haben, ist die Installation des zweiten „von oben“ unerwünscht, da dies zu Problemen mit Ihrem Computer führen kann.)
4. Warten Sie, bis ein Entschlüsseler von einem Antivirus-Unternehmen erscheint. An vorderster Front steht hier Kaspersky Lab.
5. Sie können auch ein Beispiel einer verschlüsselten Datei und den erforderlichen Code an senden [E-Mail geschützt], wenn Sie eine unverschlüsselte Kopie derselben Datei haben, senden Sie diese bitte ebenfalls. Theoretisch kann dies das Erscheinen des Decoders beschleunigen.

Was nicht zu tun ist:

• Benennen Sie verschlüsselte Dateien um, ändern Sie die Erweiterung und löschen Sie sie, wenn sie für Sie wichtig sind.

Das ist vielleicht alles, was ich zum jetzigen Zeitpunkt über verschlüsselte Dateien mit der Erweiterung .xtbl sagen kann.

Trojan-Ransom.Win32.Aura und Trojan-Ransom.Win32.Rakhni

Der folgende Trojaner verschlüsselt Dateien und installiert Erweiterungen aus dieser Liste:

• .gesperrt
• .Krypto
• .Krake
• .AES256 (nicht unbedingt dieser Trojaner, es gibt andere, die dieselbe Erweiterung installieren).
• [E-Mail geschützt] _com
• .Scheiße
• Und andere.

Um Dateien nach dem Betrieb dieser Viren zu entschlüsseln, hat die Kaspersky-Website kostenloses Dienstprogramm RakhniDecryptor ist auf der offiziellen Website http://support.kaspersky.ru/viruses/desinfektion/10556 verfügbar.

Es gibt auch eine detaillierte Anleitung zur Verwendung dieses Dienstprogramms, die zeigt, wie verschlüsselte Dateien wiederhergestellt werden können, aus denen ich für alle Fälle den Punkt „Verschlüsselte Dateien nach erfolgreicher Entschlüsselung löschen“ entfernen würde (obwohl ich denke, dass damit alles in Ordnung sein wird die installierte Option).

Wenn Sie eine Lizenz für Dr.Web Antivirus haben, können Sie die kostenlose Entschlüsselung von diesem Unternehmen unter http://support.drweb.com/new/free_unlocker/ verwenden.

Weitere Varianten des Ransomware-Virus

Weniger verbreitet, aber es gibt auch die folgenden Trojaner, die Dateien verschlüsseln und für die Entschlüsselung Geld verlangen. Die bereitgestellten Links enthalten nicht nur Dienstprogramme zum Zurücksenden Ihrer Dateien, sondern auch eine Beschreibung der Anzeichen, anhand derer Sie feststellen können, dass Sie diesen bestimmten Virus haben. Obwohl es im Allgemeinen am besten ist, das System mit Kaspersky Anti-Virus zu scannen, den Namen des Trojaners gemäß der Klassifizierung dieses Unternehmens herauszufinden und dann nach dem Dienstprogramm mit diesem Namen zu suchen.

• Trojan-Ransom.Win32.Rector – kostenloses RectorDecryptor-Entschlüsselungsprogramm und Bedienungsanleitung, verfügbar hier: http://support.kaspersky.ru/viruses/desinfektion/4264
• Trojan-Ransom.Win32.Xorist ist ein ähnlicher Trojaner, der ein Fenster öffnet, in dem Sie aufgefordert werden, eine kostenpflichtige SMS zu senden oder eine E-Mail zu kontaktieren, um Anweisungen zur Entschlüsselung zu erhalten. Anleitungen zum Wiederherstellen verschlüsselter Dateien und das Dienstprogramm XoristDecryptor dafür finden Sie unter http://support.kaspersky.ru/viruses/desinfektion/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – RannohDecryptor-Hilfsprogramm http://support.kaspersky.ru/viruses/desinfektion/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 und andere mit demselben Namen (bei der Suche über Dr.Web Antivirus oder das Dienstprogramm Cure It) und unterschiedlichen Nummern – versuchen Sie, im Internet nach dem Namen des Trojaners zu suchen. Für einige von ihnen gibt es Entschlüsselungsprogramme von Dr.Web. Wenn Sie das Dienstprogramm nicht finden konnten, aber eine Dr.Web-Lizenz vorhanden ist, können Sie die offizielle Seite http://support.drweb.com/new/ verwenden. free_unlocker/
• CryptoLocker - Um Dateien zu entschlüsseln, nachdem CryptoLocker funktioniert, können Sie die Website http://decryptcryptolocker.com verwenden - nach dem Senden einer Beispieldatei erhalten Sie einen Schlüssel und ein Dienstprogramm zum Wiederherstellen Ihrer Dateien.

gut ab neuesten Nachrichten- Kaspersky Lab hat zusammen mit Strafverfolgungsbeamten aus den Niederlanden Ransomware Decryptor (http://noransom.kaspersky.com) entwickelt, um Dateien nach CoinVault zu entschlüsseln, aber diese Ransomware ist in unseren Breitengraden noch nicht zu finden.

Übrigens, wenn sich plötzlich herausstellt, dass Sie etwas hinzuzufügen haben (weil ich möglicherweise keine Zeit habe, zu überwachen, was mit Entschlüsselungsmethoden passiert), lassen Sie es mich in den Kommentaren wissen, diese Informationen werden für andere Benutzer nützlich sein, die darauf gestoßen sind ein Problem.

Üblicherweise versucht Malware, die Kontrolle über einen Computer zu erlangen, ihn in ein Zombie-Netzwerk einzubinden oder persönliche Daten zu stehlen. Ein unaufmerksamer Benutzer bemerkt möglicherweise lange Zeit nicht, dass das System infiziert ist. Aber Ransomware, insbesondere xtbl, funktioniert ganz anders. Sie machen Benutzerdateien unbrauchbar, indem sie sie mit dem komplexesten Algorithmus verschlüsseln und vom Eigentümer eine große Summe für die Möglichkeit verlangen, Informationen wiederherzustellen.

Ursache des Problems: xtbl-Virus

Der xtbl-Ransomware-Virus hat seinen Namen von der Tatsache, dass von ihm verschlüsselte Benutzerdokumente die Erweiterung .xtbl erhalten. Typischerweise hinterlassen Codierer einen Schlüssel im Hauptteil der Datei, damit das universelle Entschlüsselungsprogramm die Informationen in ihrer ursprünglichen Form wiederherstellen kann. Der Virus ist jedoch für andere Zwecke konzipiert, sodass anstelle eines Schlüssels ein Angebot auf dem Bildschirm erscheint, einen bestimmten Betrag mit anonymen Daten zu bezahlen.

Funktionsweise des xtbl-Virus

Der Virus dringt über E-Mail-Nachrichten mit infizierten Anhängen, bei denen es sich um Dateien handelt, in den Computer ein Office-Anwendungen. Nachdem der Benutzer den Inhalt der Nachricht geöffnet hat, beginnt die Malware mit der Suche nach Fotos, Schlüsseln, Videos, Dokumenten usw. und verwandelt sie dann mithilfe des ursprünglichen komplexen Algorithmus (Hybridverschlüsselung) in xtbl-Speicher.

Der Virus verwendet Systemordner, um seine Dateien zu speichern.

Der Virus fügt sich der Startliste hinzu. Dazu fügt es Einträge in der Windows-Registrierung unter den Abschnitten hinzu:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Der infizierte Rechner läuft stabil, das System stürzt nicht ab, sondern in Arbeitsspeicher Es gibt immer eine kleine Anwendung (oder zwei) mit einem unverständlichen Namen. Und die Ordner mit den Arbeitsdateien des Benutzers sehen seltsam aus.

Auf dem Desktop erscheint anstelle des Begrüßungsbildschirms die folgende Meldung:

Ihre Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code an die E-Mail-Adresse senden: [E-Mail geschützt](Code folgt). Sie erhalten dann weitere Anweisungen. Unabhängige Versuche, Dateien zu entschlüsseln, führen zu ihrer vollständigen Zerstörung.

Derselbe Text ist in der generierten Datei How to decrypt your files.txt enthalten. E-Mail-Adresse, Code und angeforderter Betrag können sich ändern.

Sehr oft verdienen einige Betrüger Geld mit anderen - die Nummer der elektronischen Brieftasche von Erpressern wird in den Körper des Virus eingefügt, der keine Möglichkeit hat, Dateien zu entschlüsseln. Ein leichtgläubiger Benutzer, der Geld sendet, bekommt also nichts zurück.

Warum Sie Erpresser nicht bezahlen sollten

Es ist nicht nur aus moralischen Gründen unmöglich, einer Zusammenarbeit mit Erpressern zuzustimmen. Dies ist auch aus praktischer Sicht nicht zumutbar.

So schützen Sie Ihr System vor einem Virus

Auch in diesem Fall helfen universelle Anti-Malware- und Schadensminimierungsregeln.

Ist es möglich, verschlüsselte Informationen wiederherzustellen?

Die gute Nachricht ist, dass eine Datenwiederherstellung möglich ist. Die schlechte Nachricht: Sie können es nicht alleine schaffen. Der Grund dafür ist die Besonderheit des Verschlüsselungsalgorithmus, dessen Auswahl des Schlüssels viel mehr Ressourcen und gesammeltes Wissen erfordert als regelmäßiger Benutzer. Glücklicherweise betrachten es die Antiviren-Entwickler als Ehrensache, sich mit jeder Malware auseinanderzusetzen. Selbst wenn sie Ihre Ransomware im Moment nicht bewältigen können, werden sie in ein oder zwei Monaten definitiv eine Lösung finden. Wird sich gedulden müssen.

Aufgrund der Notwendigkeit, Spezialisten zu kontaktieren, ändert sich der Algorithmus für die Arbeit mit einem infizierten Computer. Generell gilt: Je weniger Änderungen, desto besser. Antivirenprogramme bestimmen die Behandlungsmethode nach den „generischen Merkmalen“ eines Schadprogramms, daher sind infizierte Dateien eine Quelle für sie wichtige Informationen. Sie müssen sie erst entfernen, nachdem Sie das Hauptproblem gelöst haben.

Die zweite Regel: Stoppen Sie das Virus um jeden Preis. Vielleicht hat er noch nicht alle Informationen verdorben, und Spuren des Verschlüsselers sind im RAM geblieben, mit denen Sie ihn identifizieren können. Daher müssen Sie den Computer sofort aus dem Netzwerk ausschalten und den Laptop durch langes Drücken der Netzwerktaste ausschalten. Diesmal funktioniert die standardmäßige "sanfte" Abschaltprozedur, die es allen Prozessen ermöglicht, sich ordnungsgemäß zu beenden, nicht, da einer von ihnen Ihre Informationen verschlüsselt.

Verschlüsselte Dateien wiederherstellen

Wenn Sie Ihren Computer ausgeschaltet haben

Wenn es Ihnen gelungen ist, den Computer vor dem Ende des Verschlüsselungsvorgangs auszuschalten, müssen Sie ihn nicht selbst einschalten. Bringen Sie die "Kranken" sofort zu Spezialisten, eine unterbrochene Codierung erhöht die Chancen, persönliche Dateien zu retten, erheblich. Hier können Sie auch SicherheitsmodusÜberprüfen Sie Ihre Speichermedien und erstellen Sie Backups. Mit hoher Wahrscheinlichkeit wird das Virus selbst bekannt sein, sodass die Behandlung erfolgreich sein wird.

Wenn die Verschlüsselung abgeschlossen ist

Leider ist die Chance, den Verschlüsselungsprozess erfolgreich zu unterbrechen, sehr gering. Normalerweise hat der Virus Zeit, die Dateien zu verschlüsseln und unnötige Spuren vom Computer zu entfernen. Und jetzt haben Sie zwei Probleme: Windows ist immer noch infiziert, und persönliche Dateien haben sich in eine Reihe von Zeichen verwandelt. Um das zweite Problem zu lösen, müssen Sie die Hilfe der Hersteller von Antivirensoftware in Anspruch nehmen.

Dr Web

Dr.Web Lab stellt seine Entschlüsselungsdienste nur Inhabern kommerzieller Lizenzen kostenlos zur Verfügung. Mit anderen Worten, wenn Sie noch kein Kunde sind, aber Ihre Dateien wiederherstellen möchten, müssen Sie das Programm kaufen. Angesichts der aktuellen Situation ist dies die richtige Investition.

Der nächste Schritt ist, auf die Website des Herstellers zu gehen und das Eingabeformular auszufüllen.

Wenn sich unter den verschlüsselten Dateien solche befinden, deren Kopien auf externen Medien gespeichert sind, wird ihre Übertragung die Arbeit von Decodern erheblich erleichtern.

Kaspersky

Kaspersky Lab hat ein eigenes Entschlüsselungsprogramm namens RectorDecryptor entwickelt, das von der offiziellen Website des Unternehmens auf einen Computer heruntergeladen werden kann.

Jede Version des Betriebssystems, einschließlich Windows 7, verfügt über ein eigenes Dienstprogramm. Drücken Sie nach dem Herunterladen die Schaltfläche „Scan starten“ auf dem Bildschirm.

Die Arbeit der Dienste kann sich um einige Zeit verzögern, wenn das Virus relativ neu ist. In diesem Fall sendet das Unternehmen normalerweise eine Benachrichtigung. Manchmal kann die Entschlüsselung mehrere Monate dauern.

Andere Dienstleistungen

Es gibt immer mehr Dienste mit ähnlichen Funktionen, was auf die Nachfrage nach Entschlüsselungsdiensten hinweist. Der Aktionsalgorithmus ist derselbe: Wir gehen auf die Website (z. B. https://decryptcryptolocker.com/), registrieren uns und senden die verschlüsselte Datei.

Decoder-Programme

Es gibt viele Angebote von „Universaldecodern“ (natürlich kostenpflichtige) im Netzwerk, aber ihre Nützlichkeit ist zweifelhaft. Wenn die Virenhersteller selbst einen Entschlüsseler schreiben, wird dieser natürlich erfolgreich funktionieren, aber dasselbe Programm wird für eine andere bösartige Anwendung nutzlos sein. Darüber hinaus verfügen Spezialisten, die sich regelmäßig mit Viren befassen, normalerweise über ein vollständiges Paket der erforderlichen Dienstprogramme, sodass sie mit hoher Wahrscheinlichkeit über alle funktionierenden Programme verfügen. Der Kauf eines solchen Decoders ist wahrscheinlich eine Geldverschwendung.

So entschlüsseln Sie Dateien mit Kaspersky Lab - Video

Selbstwiederherstellung von Informationen

Wenn Sie sich aus irgendeinem Grund nicht an Spezialisten von Drittanbietern wenden können, können Sie versuchen, die Informationen selbst wiederherzustellen. Wir behalten uns vor, dass die Dateien im Fehlerfall dauerhaft verloren gehen können.

Gelöschte Dateien wiederherstellen

Nach der Verschlüsselung löscht der Virus die Originaldateien. Allerdings speichert Windows 7 alle gelöschten Informationen für einige Zeit in Form einer sogenannten Schattenkopie.

Schattenforscher

ShadowExplorer ist ein Dienstprogramm zum Wiederherstellen von Dateien aus ihren Schattenkopien.

PhotoRec

Das kostenlose Dienstprogramm PhotoRec funktioniert nach dem gleichen Prinzip, jedoch im Stapelmodus.

Virenentfernung

Seit der Virus auf den Computer gelangte, wurden die installierten Sicherheitsprogramme ihrer Aufgabe nicht gerecht. Sie können versuchen, sich Hilfe von außen zu holen.

Wichtig! Das Entfernen des Virus heilt den Computer, stellt jedoch keine verschlüsselten Dateien wieder her. Darüber hinaus kann die Installation neuer Software einige der Schattenkopien von Dateien beschädigen oder löschen, die zu ihrer Wiederherstellung benötigt werden. Daher ist es besser, Anwendungen auf anderen Laufwerken zu installieren.

Tool zum Entfernen von Kaspersky-Viren

Ein kostenloses Programm eines bekannten Antiviren-Softwareentwicklers, das von der Kaspersky-Lab-Website heruntergeladen werden kann. Nach dem Start von Kaspersky Virus Removal Tool werden Sie sofort aufgefordert, den Scan zu starten.

Nach dem Drücken der großen On-Screen-Schaltfläche „Scan starten“ beginnt das Programm mit dem Scannen des Computers.

Es bleibt das Ende des Scans abzuwarten und die gefundenen ungebetenen Gäste zu entfernen.

Malwarebytes Anti-Malware

Ein weiterer Entwickler von Antivirensoftware, der Folgendes anbietet Freie Version Scanner. Der Aktionsalgorithmus ist derselbe:

Was nicht zu tun ist

Der XTBL-Virus beschädigt wie andere Ransomware-Viren sowohl das System als auch die Benutzerinformationen. Um mögliche Schäden zu reduzieren, sollten daher einige Vorsichtsmaßnahmen getroffen werden:

1. Warten Sie nicht, bis die Verschlüsselung abgeschlossen ist. Wenn die Dateiverschlüsselung vor Ihren Augen begonnen hat, sollten Sie nicht darauf warten, wie sie endet, oder versuchen, den Prozess programmgesteuert zu unterbrechen. Schalten Sie den Computer sofort aus und rufen Sie Spezialisten an.
2. Versuchen Sie nicht, den Virus selbst zu entfernen, wenn Sie Fachleuten vertrauen können.
3. Installieren Sie das System erst am Ende der Behandlung neu. Der Virus wird sicher auch das neue System infizieren.
4. Benennen Sie verschlüsselte Dateien nicht um. Dies erschwert nur die Arbeit des Decoders.
5. Versuchen Sie nicht, infizierte Dateien auf einem anderen Computer zu lesen, bis der Virus entfernt ist. Dies kann zur Verbreitung von Infektionen führen.
6. Zahlen Sie keine Erpresser. Dies ist nutzlos und ermutigt Virenersteller und Betrüger.
7. Vergessen Sie nicht die Prävention. Antivirus-Installation, regelmäßig Sicherung, wird das Erstellen von Wiederherstellungspunkten den möglichen Schaden durch Malware erheblich reduzieren.

Die Behandlung eines mit einem Ransomware-Virus infizierten Computers ist ein langwieriger und nicht immer erfolgreicher Vorgang. Daher ist es so wichtig, Vorsichtsmaßnahmen zu treffen, wenn Sie Informationen aus dem Netzwerk erhalten und mit nicht verifizierten externen Medien arbeiten.

Wenn das System mit Malware von Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom-Familien Win32.CryptXXX werden alle Dateien auf dem Computer wie folgt verschlüsselt:

• Wenn Trojan-Ransom.Win32.Rannoh infiziert ist, ändern sich die Namen und Erweiterungen gemäß dem gesperrten Muster.<оригинальное_имя>.<4 произвольных буквы>.
• Wenn Trojan-Ransom.Win32.Cryakl infiziert ist, wird am Ende des Dateiinhalts eine Markierung (CRYPTENDBLACKDC) hinzugefügt.
• Wenn Trojan-Ransom.Win32.AutoIt infiziert ist, ändert sich die Erweiterung gemäß dem Muster<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Zum Beispiel, [E-Mail geschützt] _.RZWDTDIC.
• Wenn Trojan-Ransom.Win32.CryptXXX infiziert ist, ändert sich die Erweiterung gemäß den Vorlagen<оригинальное_имя>.Krypta,<оригинальное_имя>.cryptz und<оригинальное_имя>.cryp1.

Das Dienstprogramm RannohDecryptor dient zum Entschlüsseln von Dateien nach einer Infektion mit Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom.Win32.CryptXXX Versionen 1, 2 und 3.

Wie man das System heilt

So heilen Sie ein infiziertes System:

1. Laden Sie die RannohDecryptor.zip-Datei herunter.
2. Führen Sie die Datei RannohDecryptor.exe auf dem infizierten Computer aus.
3. Klicken Sie im Hauptfenster auf Bestätigung starten.

1. Geben Sie den Pfad zur verschlüsselten und unverschlüsselten Datei an.
   Wenn die Datei mit Trojan-Ransom.Win32.CryptXXX verschlüsselt ist, geben Sie die größten Dateien an. Die Entschlüsselung ist nur für Dateien gleicher oder kleinerer Größe verfügbar.
2. Warten Sie bis zum Ende der Suche und Entschlüsselung verschlüsselter Dateien.
3. Starten Sie Ihren Computer neu, falls erforderlich.
4. nach gesperrt-<оригинальное_имя>.<4 произвольных буквы>Um eine Kopie verschlüsselter Dateien des erfolgreichen Entschlüsselungstyps zu löschen, wählen Sie .

Wenn die Datei von Trojan-Ransom.Win32.Cryakl verschlüsselt wurde, speichert das Dienstprogramm die Datei an ihrem alten Speicherort mit der Erweiterung „.decryptedKLR.original_extension“. Wenn Sie gewählt haben Löschen Sie verschlüsselte Dateien nach erfolgreicher Entschlüsselung, wird die entschlüsselte Datei vom Dienstprogramm unter dem ursprünglichen Namen gespeichert.

1. Standardmäßig gibt das Dienstprogramm den Betriebsbericht an das Stammverzeichnis aus Systemfestplatte(das Laufwerk, auf dem das Betriebssystem installiert ist).

   Der Berichtsname lautet wie folgt: UtilityName.Version_Date_Time_log.txt

   Beispiel: C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Auf einem mit Trojan-Ransom.Win32.CryptXXX infizierten System scannt das Dienstprogramm eine begrenzte Anzahl von Dateiformaten. Wenn ein Benutzer eine Datei auswählt, die von CryptXXX v2 betroffen ist, kann die Schlüsselwiederherstellung lange dauern. In diesem Fall zeigt das Dienstprogramm eine Warnung an.