มีการแนบไฟล์ของไวรัสแรนซัมแวร์ ไม่มีโอกาสรอด: ไวรัสแรนซัมแวร์คืออะไรและจะจัดการกับมันอย่างไร

แฮ็กเกอร์แรนซัมแวร์นั้นคล้ายกับแบล็กเมล์ทั่วไปมาก ทั้งในโลกแห่งความเป็นจริงและในโลกไซเบอร์มีหนึ่งเดียวหรือ วัตถุกลุ่มการโจมตี มันถูกขโมยหรือทำให้ไม่สามารถเข้าถึงได้ นอกจากนี้ ผู้กระทำความผิดใช้วิธีการสื่อสารบางอย่างกับเหยื่อเพื่อสื่อถึงความต้องการของพวกเขา นักต้มตุ๋นทางคอมพิวเตอร์มักจะเลือกเพียงไม่กี่รูปแบบสำหรับบันทึกเรียกค่าไถ่ แต่สามารถพบสำเนาของมันได้ในเกือบทุกตำแหน่งหน่วยความจำบนระบบที่ติดไวรัส ในกรณีของตระกูลสปายแวร์ที่รู้จักกันในชื่อ Troldesh หรือ Shade นักต้มตุ๋นจะใช้แนวทางที่แตกต่างออกไปเมื่อติดต่อกับเหยื่อ

มาดูไวรัสเข้ารหัสสายพันธุ์นี้กันให้ละเอียดยิ่งขึ้น ซึ่งมุ่งเป้าไปที่ผู้ชมที่พูดภาษารัสเซีย การติดเชื้อที่คล้ายกันส่วนใหญ่จะตรวจจับรูปแบบแป้นพิมพ์บนพีซีที่ถูกโจมตี และหากภาษาใดภาษาหนึ่งเป็นภาษารัสเซีย การบุกรุกจะหยุดลง อย่างไรก็ตาม แรนซัมแวร์ เอ็กซ์ทีบีแอลสำส่อน: โชคไม่ดีที่ผู้ใช้โจมตีโดยไม่คำนึงถึงที่ตั้งทางภูมิศาสตร์และการตั้งค่าภาษา ศูนย์รวมที่ชัดเจนของความเก่งกาจนี้คือคำเตือนที่ปรากฏเป็นพื้นหลังของเดสก์ท็อป เช่นเดียวกับไฟล์ TXT พร้อมคำแนะนำในการจ่ายค่าไถ่

ไวรัส XTBL มักจะแพร่กระจายผ่านสแปม ข้อความเหล่านี้ชวนให้นึกถึงจดหมายจากแบรนด์ดัง หรือเพียงแค่ดึงดูดสายตา เนื่องจากหัวข้อของข้อความใช้สำนวนเช่น "ด่วน!" หรือ "เอกสารสำคัญทางการเงิน" กลอุบายฟิชชิ่งจะทำงานเมื่อผู้รับอีเมลดังกล่าว ข้อความจะดาวน์โหลดไฟล์ ZIP ที่มีรหัส JavaScript หรือวัตถุ Docm ที่มีมาโครที่อาจมีช่องโหว่

หลังจากเรียกใช้อัลกอริทึมพื้นฐานบนพีซีที่ถูกบุกรุก โทรจันแรนซัมแวร์จะค้นหาข้อมูลที่อาจมีค่าสำหรับผู้ใช้ เพื่อจุดประสงค์นี้ ไวรัสจะสแกนหน่วยความจำในเครื่องและหน่วยความจำภายนอก พร้อมเปรียบเทียบแต่ละไฟล์กับชุดของรูปแบบที่เลือกตามส่วนขยายของวัตถุ ไฟล์ .jpg, .wav, .doc, .xls ทั้งหมด ตลอดจนวัตถุอื่นๆ อีกมากมาย ได้รับการเข้ารหัสโดยใช้อัลกอริทึมการเข้ารหัสบล็อกแบบสมมาตร AES-256

ผลกระทบที่เป็นอันตรายนี้มีสองด้าน ประการแรก ผู้ใช้จะสูญเสียการเข้าถึงข้อมูลสำคัญ นอกจากนี้ ชื่อไฟล์ยังถูกเข้ารหัสอย่างลึกซึ้ง ทำให้ได้ชุดอักขระเลขฐานสิบหกที่ไร้สาระเป็นเอาต์พุต สิ่งที่รวมชื่อไฟล์ที่ได้รับผลกระทบเข้าด้วยกันคือส่วนขยาย xtbl ที่เพิ่มเข้าไป เช่น ชื่อของภัยคุกคามทางไซเบอร์ ชื่อของไฟล์ที่เข้ารหัสบางครั้งมีรูปแบบพิเศษ ในบางเวอร์ชันของ Troldesh ชื่อของอ็อบเจกต์ที่เข้ารหัสอาจไม่มีการเปลี่ยนแปลง และเพิ่มรหัสเฉพาะที่ส่วนท้าย: [ป้องกันอีเมล], [ป้องกันอีเมล], หรือ [ป้องกันอีเมล]

เห็นได้ชัดว่าผู้โจมตีได้แนะนำที่อยู่อีเมล ส่งตรงเข้าไปในชื่อไฟล์ ระบุให้เหยื่อทราบวิธีการสื่อสาร อีเมลดังกล่าวยังแสดงอยู่ที่อื่น เช่น ในบันทึกเรียกค่าไถ่ที่อยู่ในไฟล์ “Readme.txt” เอกสาร Notepad ดังกล่าวจะปรากฏบนเดสก์ท็อปรวมถึงในโฟลเดอร์ทั้งหมดที่มีข้อมูลที่เข้ารหัส ข้อความสำคัญคือ:

“ไฟล์ทั้งหมดได้รับการเข้ารหัส ในการถอดรหัส คุณต้องส่งรหัส: [รหัสเฉพาะของคุณ] ไปยังที่อยู่อีเมล [ป้องกันอีเมล]หรือ [ป้องกันอีเมล]ถัดไปคุณจะได้รับทุกอย่าง คำแนะนำที่จำเป็น. ความพยายามที่จะถอดรหัสด้วยตัวคุณเองจะไม่นำไปสู่อะไรเลย ยกเว้นการสูญเสียข้อมูลที่แก้ไขไม่ได้”

ที่อยู่อีเมลอาจเปลี่ยนแปลงได้ขึ้นอยู่กับกลุ่มแรนซัมแวร์ที่แพร่ไวรัส

สำหรับหนทางข้างหน้า โดยทั่วไปแล้ว พวกสแกมเมอร์จะตอบสนองโดยแนะนำค่าไถ่ซึ่งอาจเป็น 3 bitcoins หรือจำนวนอื่นๆ ในช่วงนั้น โปรดทราบว่าไม่มีใครรับประกันได้ว่าแฮ็กเกอร์จะรักษาสัญญาแม้ว่าจะได้รับเงินแล้วก็ตาม หากต้องการกู้คืนการเข้าถึงไฟล์ .xtbl ผู้ใช้ที่ได้รับผลกระทบควรลองใช้วิธีการอื่นที่มีอยู่ทั้งหมดก่อน ในบางกรณี ข้อมูลสามารถเรียงตามลำดับโดยใช้บริการ Volume Shadow Copy (Volume Shadow Copy) ซึ่งให้บริการโดยตรงใน Windows เช่นเดียวกับโปรแกรมถอดรหัสและกู้คืนข้อมูลจากผู้จำหน่ายซอฟต์แวร์บุคคลที่สาม

ลบ XTBL ransomware ด้วยตัวทำความสะอาดอัตโนมัติ

วิธีที่มีประสิทธิภาพอย่างยิ่งในการจัดการกับมัลแวร์โดยทั่วไปและโดยเฉพาะอย่างยิ่งแรนซัมแวร์ การใช้คอมเพล็กซ์ป้องกันที่ได้รับการพิสูจน์แล้วรับประกันการตรวจจับส่วนประกอบของไวรัสอย่างละเอียดถี่ถ้วน การกำจัดทั้งหมดด้วยการคลิกเพียงครั้งเดียว โปรดทราบว่าเรากำลังพูดถึงสองกระบวนการที่แตกต่างกัน: การถอนการติดตั้งการติดไวรัสและการกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามจำเป็นต้องถูกลบออกอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการแนะนำโทรจันคอมพิวเตอร์เครื่องอื่นด้วยความช่วยเหลือ

1. . หลังจากเปิดตัวซอฟต์แวร์ ให้คลิกปุ่ม เริ่มการสแกนคอมพิวเตอร์(เริ่มสแกน).
2. ซอฟต์แวร์ที่ติดตั้งจะให้รายงานเกี่ยวกับภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่พบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(ลบภัยคุกคาม). มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์

กู้คืนการเข้าถึงไฟล์ที่เข้ารหัสด้วยนามสกุล .xtbl

ตามที่ระบุไว้ แรนซั่มแวร์ XTBL จะล็อกไฟล์ด้วยอัลกอริทึมการเข้ารหัสที่แข็งแกร่ง เพื่อไม่ให้ข้อมูลที่เข้ารหัสกลับมาทำงานต่อได้ด้วยการปัด ไม้กายสิทธิ์- หากคุณไม่คำนึงถึงการจ่ายค่าไถ่ที่ไม่เคยได้ยินมาก่อน แต่บางวิธีอาจกลายเป็นเครื่องช่วยชีวิตที่จะช่วยให้คุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้

Decryptor - โปรแกรมกู้คืนไฟล์อัตโนมัติ

ทราบสถานการณ์ที่ผิดปกติอย่างมาก เชื้อนี้เข้าทำลาย ไฟล์ต้นฉบับในรูปแบบที่ไม่ได้เข้ารหัส กระบวนการเข้ารหัสที่ขู่กรรโชกจึงกำหนดเป้าหมายสำเนาของพวกเขา สิ่งนี้ทำให้เป็นไปได้สำหรับเครื่องมือซอฟต์แวร์ เช่น การกู้คืนวัตถุที่ถูกลบ แม้ว่าจะรับประกันความน่าเชื่อถือของการลบออกก็ตาม ขอแนะนำให้ใช้ขั้นตอนการกู้คืนไฟล์ซึ่งประสิทธิภาพได้รับการยืนยันมากกว่าหนึ่งครั้ง

ปริมาณสำเนาเงา

แนวทางนี้ขึ้นอยู่กับขั้นตอนการสำรองไฟล์บน Windows ซึ่งทำซ้ำที่จุดคืนค่าแต่ละจุด เงื่อนไขสำคัญงาน วิธีนี้: ต้องเปิดใช้งานการคืนค่าระบบก่อนที่จะติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใด ๆ ที่ทำกับไฟล์หลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์

การสำรองข้อมูล

นี่เป็นวิธีที่ดีที่สุดในบรรดาวิธีการที่ไม่ใช่การซื้อทั้งหมด หากใช้ขั้นตอนการสำรองข้อมูลไปยังเซิร์ฟเวอร์ภายนอกก่อนที่แรนซัมแวร์จะโจมตีคอมพิวเตอร์ของคุณ หากต้องการกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องป้อนอินเทอร์เฟซที่เหมาะสม เลือกไฟล์ที่จำเป็นและเริ่มกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการคุณต้องตรวจสอบให้แน่ใจว่าได้ลบแรนซัมแวร์ออกอย่างสมบูรณ์แล้ว

ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของไวรัส XTBL ransomware

การทำความสะอาดด้วยตนเองนั้นเต็มไปด้วยแรนซัมแวร์ที่ขาดหายไปซึ่งสามารถหลีกเลี่ยงการลบในรูปแบบของวัตถุที่ซ่อนเร้น ระบบปฏิบัติการหรือรายการทะเบียน เพื่อลดความเสี่ยงของการเก็บรักษาองค์ประกอบที่เป็นอันตรายแต่ละรายการบางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้คอมเพล็กซ์ป้องกันไวรัสสากลที่เชื่อถือได้

เป็นโปรแกรมอันตรายที่เข้ารหัสไฟล์ส่วนบุคคลทั้งหมด เช่น เอกสาร รูปถ่าย เป็นต้น เมื่อเปิดใช้งาน จำนวนโปรแกรมดังกล่าวมีจำนวนมากและเพิ่มขึ้นทุกวัน เมื่อเร็ว ๆ นี้ เราพบตัวเลือกแรนซัมแวร์มากมาย: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff เป็นต้น จุดประสงค์ของแรนซัมแวร์ดังกล่าวคือการบังคับให้ผู้ใช้ซื้อโปรแกรมและคีย์ที่จำเป็นในการถอดรหัสไฟล์ของตนเอง ซึ่งมักจะเป็นเงินจำนวนมาก

แน่นอน คุณสามารถกู้คืนไฟล์ที่เข้ารหัสได้โดยทำตามคำแนะนำที่ผู้สร้างไวรัสทิ้งไว้ในคอมพิวเตอร์ที่ติดไวรัส แต่ส่วนใหญ่แล้วค่าใช้จ่ายในการถอดรหัสมีความสำคัญมาก คุณต้องทราบด้วยว่าไวรัสเข้ารหัสบางตัวเข้ารหัสไฟล์ในลักษณะที่ไม่สามารถถอดรหัสได้ในภายหลัง และแน่นอนว่าการจ่ายเงินเพื่อกู้คืนไฟล์ของคุณเองนั้นไม่เป็นที่พอใจ

ด้านล่างนี้เราจะพูดถึงรายละเอียดเพิ่มเติมเกี่ยวกับไวรัสแรนซัมแวร์ วิธีการที่พวกมันเจาะเข้าไปในคอมพิวเตอร์ของเหยื่อ ตลอดจนวิธีลบไวรัสแรนซัมแวร์และกู้คืนไฟล์ที่เข้ารหัสโดยไวรัสดังกล่าว

วิธีที่ไวรัส ransomware เข้าสู่คอมพิวเตอร์

ไวรัสแรนซัมแวร์มักจะแพร่กระจายผ่าน อีเมล. จดหมายมีเอกสารที่ติดไวรัส อีเมลเหล่านี้จะถูกส่งไปยังฐานข้อมูลขนาดใหญ่ของที่อยู่อีเมล ผู้เขียนไวรัสนี้ใช้ส่วนหัวและเนื้อหาของอีเมลที่ทำให้เข้าใจผิด พยายามหลอกลวงผู้ใช้ให้เปิดเอกสารที่แนบมากับอีเมล จดหมายบางฉบับแจ้งความจำเป็นในการชำระบิล จดหมายบางฉบับเสนอให้ดูรายการราคาล่าสุด จดหมายบางฉบับเปิดรูปภาพตลกๆ เป็นต้น ไม่ว่าในกรณีใดผลลัพธ์ของการเปิดไฟล์ที่แนบมาคือการติดไวรัสของคอมพิวเตอร์ด้วยไวรัสแรนซัมแวร์

ไวรัสแรนซัมแวร์คืออะไร

ไวรัสแรนซัมแวร์เป็นโปรแกรมที่เป็นอันตรายซึ่งแพร่ระบาดในระบบปฏิบัติการเวอร์ชันใหม่ ตระกูล Windowsเช่น Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 ไวรัสเหล่านี้พยายามใช้โหมดการเข้ารหัสที่รัดกุมที่สุดเท่าที่จะเป็นไปได้ ตัวอย่างเช่น RSA-2048 ที่มีความยาวคีย์ 2048 บิต ซึ่งช่วยลดความเป็นไปได้ของ การเลือกคีย์เพื่อถอดรหัสไฟล์ด้วยตัวเอง

ในขณะที่ติดคอมพิวเตอร์ ไวรัสแรนซัมแวร์จะใช้ไดเร็กทอรีระบบ %APPDATA% เพื่อจัดเก็บไฟล์ของตัวเอง ในการเริ่มตัวเองโดยอัตโนมัติเมื่อคุณเปิดคอมพิวเตอร์ แรนซัมแวร์จะสร้างรายการใน รีจิสทรีของ Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ทันทีหลังจากเปิดตัว ไวรัสจะสแกนไดรฟ์ที่มีอยู่ทั้งหมด รวมถึงเครือข่ายและที่เก็บข้อมูลบนคลาวด์ เพื่อกำหนดว่าไฟล์ใดจะถูกเข้ารหัส ไวรัสแรนซัมแวร์ใช้นามสกุลไฟล์เพื่อกำหนดกลุ่มของไฟล์ที่จะถูกเข้ารหัส ไฟล์เกือบทุกชนิดได้รับการเข้ารหัส รวมถึงไฟล์ทั่วไปเช่น:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

ทันทีที่ไฟล์ถูกเข้ารหัส ไฟล์จะได้รับส่วนขยายใหม่ ซึ่งมักใช้เพื่อระบุชื่อหรือประเภทของตัวเข้ารหัส มัลแวร์บางประเภทยังสามารถเปลี่ยนชื่อไฟล์ที่เข้ารหัสได้ จากนั้นไวรัสจะสร้างเอกสารข้อความที่มีชื่อเช่น HELP_YOUR_FILES, README ซึ่งมีคำแนะนำในการถอดรหัสไฟล์ที่เข้ารหัส

ระหว่างการทำงาน แรนซัมแวร์จะพยายามบล็อกความเป็นไปได้ในการกู้คืนไฟล์โดยใช้ระบบ SVC ( สำเนาเงาไฟล์). ในการดำเนินการนี้ ไวรัสในโหมดคำสั่งจะเรียกยูทิลิตีสำหรับจัดการสำเนาเงาของไฟล์ด้วยคีย์ที่เริ่มขั้นตอน การกำจัดที่สมบูรณ์. ดังนั้นจึงแทบจะเป็นไปไม่ได้เลยที่จะกู้คืนไฟล์โดยใช้สำเนาเงา

ไวรัสแรนซัมแวร์ใช้กลวิธีทำให้ตกใจโดยให้ลิงก์แก่เหยื่อไปยังคำอธิบายของอัลกอริทึมการเข้ารหัสและแสดงข้อความคุกคามบนเดสก์ท็อป มันพยายามด้วยวิธีนี้เพื่อบังคับให้ผู้ใช้คอมพิวเตอร์ที่ติดไวรัสส่งรหัสคอมพิวเตอร์ไปยังที่อยู่อีเมลของผู้สร้างไวรัสโดยไม่ลังเล เพื่อพยายามส่งคืนไฟล์ การตอบกลับข้อความดังกล่าวมักจะเป็นจำนวนเงินค่าไถ่และที่อยู่ กระเป๋าเงินอิเล็กทรอนิกส์.

คอมพิวเตอร์ของฉันติดไวรัสแรนซัมแวร์หรือไม่

ค่อนข้างง่ายที่จะระบุว่าคอมพิวเตอร์ติดไวรัสแรนซัมแวร์หรือไม่ ให้ความสนใจกับนามสกุลของไฟล์ส่วนบุคคลของคุณ เช่น เอกสาร ภาพถ่าย เพลง ฯลฯ หากนามสกุลมีการเปลี่ยนแปลงหรือไฟล์ส่วนบุคคลของคุณหายไป ทิ้งไฟล์จำนวนมากที่ไม่รู้จักไว้เบื้องหลัง แสดงว่าคอมพิวเตอร์ติดไวรัส นอกจากนี้ สัญญาณของการติดไวรัสคือการมีไฟล์ชื่อ HELP_YOUR_FILES หรือ README อยู่ในไดเร็กทอรีของคุณ ไฟล์นี้จะมีคำแนะนำในการถอดรหัสไฟล์

หากคุณสงสัยว่าคุณได้เปิดจดหมายที่ติดไวรัสแรนซัมแวร์ แต่ยังไม่มีอาการของการติดเชื้อ อย่าปิดหรือรีสตาร์ทคอมพิวเตอร์ของคุณ ทำตามขั้นตอนที่อธิบายไว้ในคู่มือนี้ ส่วน อีกครั้ง มันสำคัญมากที่จะไม่ปิดคอมพิวเตอร์ ในแรนซัมแวร์บางประเภท กระบวนการเข้ารหัสไฟล์จะเปิดใช้งานในครั้งแรกที่เปิดคอมพิวเตอร์หลังจากการติดไวรัส!

จะถอดรหัสไฟล์ที่เข้ารหัสโดยไวรัสแรนซัมแวร์ได้อย่างไร

หากโชคร้ายนี้เกิดขึ้น ก็ไม่จำเป็นต้องตื่นตระหนก! แต่คุณต้องรู้ว่าในกรณีส่วนใหญ่ไม่มีตัวถอดรหัสฟรี เหตุผลนี้เป็นอัลกอริธึมการเข้ารหัสที่แข็งแกร่งซึ่งใช้โดยมัลแวร์ดังกล่าว ซึ่งหมายความว่าแทบจะเป็นไปไม่ได้เลยที่จะถอดรหัสไฟล์โดยไม่มีคีย์ส่วนตัว การใช้วิธีการเลือกปุ่มก็ไม่ใช่ตัวเลือกเช่นกัน เนื่องจากความยาวของปุ่มมีขนาดใหญ่ ดังนั้น น่าเสียดายที่การจ่ายเงินให้กับผู้เขียนไวรัสตามจำนวนทั้งหมดที่ร้องขอเท่านั้นคือวิธีเดียวที่จะลองรับคีย์ถอดรหัส

แน่นอนว่าไม่มีการรับประกันอย่างแน่นอนว่าหลังจากชำระเงินแล้ว ผู้เขียนไวรัสจะติดต่อกลับและให้รหัสที่จำเป็นในการถอดรหัสไฟล์ของคุณ นอกจากนี้ คุณต้องเข้าใจว่าการจ่ายเงินให้กับผู้พัฒนาไวรัส คุณกำลังผลักดันให้พวกเขาสร้างไวรัสตัวใหม่

จะลบไวรัสแรนซัมแวร์ได้อย่างไร

ก่อนดำเนินการต่อ คุณต้องรู้ว่าเมื่อคุณเริ่มลบไวรัสและพยายาม การกู้คืนด้วยตนเองคุณบล็อกความสามารถในการถอดรหัสไฟล์โดยจ่ายเงินให้ผู้เขียนไวรัสตามจำนวนที่พวกเขาร้องขอ

แคสเปอร์สกี้ การกำจัดไวรัส Tool และ Malwarebytes Anti-malware สามารถตรวจจับแรนซัมแวร์ที่ใช้งานอยู่ประเภทต่างๆ และจะลบออกจากคอมพิวเตอร์ของคุณอย่างง่ายดาย แต่ไม่สามารถกู้คืนไฟล์ที่เข้ารหัสได้

5.1. ลบแรนซัมแวร์ด้วย Kaspersky Virus Removal Tool

ตามค่าเริ่มต้น โปรแกรมได้รับการกำหนดค่าให้กู้คืนไฟล์ทุกประเภท แต่เพื่อให้งานเร็วขึ้น ขอแนะนำให้ปล่อยเฉพาะไฟล์ประเภทที่คุณต้องการกู้คืน เมื่อเลือกเสร็จแล้ว ให้กดปุ่ม OK

ที่ด้านล่างของหน้าต่าง QPhotoRec ให้ค้นหาปุ่มเรียกดูแล้วคลิก คุณต้องเลือกไดเรกทอรีที่จะบันทึกไฟล์ที่กู้คืน ขอแนะนำให้ใช้ดิสก์ที่ไม่มีไฟล์เข้ารหัสซึ่งต้องการการกู้คืน (คุณสามารถใช้แฟลชไดรฟ์ USB หรือไดรฟ์ภายนอก)

หากต้องการเริ่มขั้นตอนการค้นหาและกู้คืนสำเนาต้นฉบับของไฟล์ที่เข้ารหัส ให้คลิกปุ่มค้นหา กระบวนการนี้ใช้เวลาค่อนข้างนาน ดังนั้นโปรดอดทนรอ

เมื่อการค้นหาเสร็จสิ้น ให้คลิกปุ่ม Quit ตอนนี้เปิดโฟลเดอร์ที่คุณเลือกเพื่อบันทึกไฟล์ที่กู้คืน

โฟลเดอร์จะมีไดเร็กทอรีชื่อ recup_dir.1, recup_dir.2, recup_dir.3 และอื่นๆ ยิ่งโปรแกรมพบไฟล์มากเท่าใดก็ยิ่งมีไดเร็กทอรีมากขึ้นเท่านั้น หากต้องการค้นหาไฟล์ที่ต้องการ ให้ตรวจสอบไดเร็กทอรีทั้งหมดทีละรายการ เพื่อให้ง่ายต่อการค้นหาไฟล์ที่คุณต้องการจากไฟล์ที่กู้คืนจำนวนมากให้ใช้ระบบค้นหา Windows ในตัว (ตามเนื้อหาของไฟล์) และอย่าลืมเกี่ยวกับฟังก์ชั่นการจัดเรียงไฟล์ในไดเร็กทอรี คุณสามารถเลือกวันที่แก้ไขไฟล์เป็นพารามิเตอร์การเรียงลำดับได้ เนื่องจาก QPhotoRec จะพยายามกู้คืนคุณสมบัตินี้เมื่อกู้คืนไฟล์

จะป้องกันคอมพิวเตอร์จากการติดไวรัสแรนซัมแวร์ได้อย่างไร?

โปรแกรมป้องกันไวรัสสมัยใหม่ส่วนใหญ่มีระบบป้องกันในตัวเพื่อป้องกันการเจาะและการเปิดใช้งานของไวรัสแรนซัมแวร์อยู่แล้ว ดังนั้นหากคอมพิวเตอร์ของคุณไม่มีโปรแกรมป้องกันไวรัส อย่าลืมติดตั้งโปรแกรมดังกล่าว คุณสามารถค้นหาวิธีเลือกได้โดยอ่านสิ่งนี้

นอกจากนี้ยังมีโปรแกรมป้องกันพิเศษ ตัวอย่างเช่น นี่คือ CryptoPrevent รายละเอียดเพิ่มเติม

คำสุดท้ายไม่กี่คำ

เมื่อทำตามคำแนะนำนี้ คอมพิวเตอร์ของคุณจะถูกล้างจากไวรัสแรนซัมแวร์ หากคุณมีคำถามหรือต้องการความช่วยเหลือ โปรดติดต่อเรา

สวัสดีทุกคน วันนี้ฉันจะบอกวิธีถอดรหัสไฟล์หลังจากไวรัสใน Windows หนึ่งในมัลแวร์ที่ก่อปัญหามากที่สุดในปัจจุบันคือโทรจันหรือไวรัสที่เข้ารหัสไฟล์ในไดรฟ์ของผู้ใช้ ไฟล์เหล่านี้บางไฟล์สามารถถอดรหัสได้ และบางไฟล์ยังไม่สามารถถอดรหัสได้ ในบทความฉันจะอธิบายอัลกอริทึมของการกระทำที่เป็นไปได้ในทั้งสองสถานการณ์

มีการดัดแปลงไวรัสนี้หลายอย่าง แต่สาระสำคัญทั่วไปของงานคือหลังจากติดตั้งบนคอมพิวเตอร์ของคุณ เอกสาร รูปภาพ และไฟล์ที่อาจมีความสำคัญอื่น ๆ ของคุณจะถูกเข้ารหัสด้วยการเปลี่ยนนามสกุล หลังจากนั้นคุณจะได้รับข้อความแจ้งว่าทั้งหมด ไฟล์ของคุณได้รับการเข้ารหัส และในการถอดรหัส คุณต้องส่งข้อมูลจำนวนหนึ่งไปยังผู้โจมตี

ไฟล์ในคอมพิวเตอร์ถูกเข้ารหัสใน xtbl

หนึ่งในตัวแปรล่าสุดของไวรัสแรนซัมแวร์เข้ารหัสไฟล์ โดยแทนที่ด้วยไฟล์ที่มีนามสกุล .xtbl และชื่อที่ประกอบด้วยชุดอักขระแบบสุ่ม

ในขณะเดียวกันโฮสต์คอมพิวเตอร์ ไฟล์ข้อความ readme.txt โดยมีเนื้อหาดังต่อไปนี้: “ไฟล์ของคุณได้รับการเข้ารหัส ในการถอดรหัสคุณต้องส่งรหัสไปยังที่อยู่อีเมล [ป้องกันอีเมล], [ป้องกันอีเมล]หรือ [ป้องกันอีเมล]ถัดไป คุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามที่จะถอดรหัสไฟล์ด้วยตัวคุณเองจะทำให้ข้อมูลสูญหายอย่างไม่สามารถแก้ไขได้” (ที่อยู่อีเมลและข้อความอาจแตกต่างกัน)

ขออภัย ขณะนี้ยังไม่มีวิธีถอดรหัส .xtbl (คำแนะนำจะได้รับการอัปเดตทันทีที่ปรากฏขึ้น) ผู้ใช้บางคนที่มีข้อมูลสำคัญในคอมพิวเตอร์ของพวกเขารายงานในฟอรัมป้องกันไวรัสว่าพวกเขาส่ง 5,000 รูเบิลหรือจำนวนอื่นที่จำเป็นให้กับผู้เขียนไวรัสและได้รับตัวถอดรหัส แต่สิ่งนี้มีความเสี่ยงมาก: คุณอาจไม่ได้อะไรเลย

จะเกิดอะไรขึ้นหากไฟล์ถูกเข้ารหัสเป็น .xtbl คำแนะนำของฉันมีดังนี้ (แต่แตกต่างจากคำแนะนำในเว็บไซต์เฉพาะเรื่องอื่นๆ เช่น พวกเขาแนะนำให้ปิดคอมพิวเตอร์ทันทีจากแหล่งจ่ายไฟหลักหรือไม่กำจัดไวรัสออก ในความคิดของฉัน สิ่งนี้ไม่จำเป็นและในบางสถานการณ์ มันอาจจะเป็นอันตราย แต่ก็ขึ้นอยู่กับคุณ):

1. หากคุณทราบวิธี ให้ขัดจังหวะกระบวนการเข้ารหัสโดยลบงานที่เหมาะสมในตัวจัดการงาน ตัดการเชื่อมต่อคอมพิวเตอร์จากอินเทอร์เน็ต (ซึ่งอาจเป็น เงื่อนไขที่จำเป็นการเข้ารหัส)
2. จดจำหรือจดรหัสที่ผู้โจมตีต้องการให้ส่งไปยังที่อยู่อีเมล (แต่ไม่ต้องส่งไปยังไฟล์ข้อความในคอมพิวเตอร์ ในกรณีนี้ เพื่อไม่ให้เข้ารหัสเช่นกัน)
3. ใช้ Malwarebytes Antimalware ซึ่งเป็นเวอร์ชันทดลองของ Kaspersky Internet Security หรือ Dr.Web Cure It เพื่อลบไวรัสที่เข้ารหัสไฟล์ (เครื่องมือทั้งหมดนี้ทำงานได้ดี) ฉันแนะนำให้คุณใช้ผลิตภัณฑ์ตัวแรกและตัวที่สองจากรายการตามลำดับ (อย่างไรก็ตาม หากคุณติดตั้งโปรแกรมป้องกันไวรัสไว้ การติดตั้งตัวที่สอง “จากด้านบน” เป็นสิ่งที่ไม่พึงปรารถนา เนื่องจากอาจทำให้คอมพิวเตอร์ของคุณมีปัญหาได้)
4. รอให้ตัวถอดรหัสจากบริษัทป้องกันไวรัสปรากฏขึ้น แถวหน้าคือ Kaspersky Lab
5. คุณยังสามารถส่งตัวอย่างไฟล์ที่เข้ารหัสและรหัสที่จำเป็นไปที่ [ป้องกันอีเมล]หากคุณมีสำเนาไฟล์เดียวกันที่ไม่ได้เข้ารหัส โปรดส่งมาด้วย ในทางทฤษฎีแล้ว สิ่งนี้สามารถเพิ่มความเร็วให้กับการปรากฏตัวของตัวถอดรหัสได้

สิ่งที่ไม่ควรทำ:

• เปลี่ยนชื่อไฟล์ที่เข้ารหัส เปลี่ยนนามสกุล และลบออกหากมีความสำคัญต่อคุณ

บางทีนี่อาจเป็นทั้งหมดที่ฉันสามารถพูดเกี่ยวกับไฟล์ที่เข้ารหัสด้วยนามสกุล .xtbl ณ จุดนี้

Trojan-Ransom.Win32.Aura และ Trojan-Ransom.Win32.Rakhni

โทรจันต่อไปนี้เข้ารหัสไฟล์และติดตั้งส่วนขยายจากรายการนี้:

• .ล็อค
• .crypto
• .คราเคน
• .AES256 (ไม่จำเป็นต้องเป็นโทรจันนี้เสมอไป มีตัวอื่นที่ติดตั้งส่วนขยายเดียวกัน)
• [ป้องกันอีเมล] _com
• .oshit
• และคนอื่น ๆ.

ในการถอดรหัสไฟล์หลังจากการทำงานของไวรัสเหล่านี้ เว็บไซต์ Kaspersky มี ยูทิลิตี้ฟรี RakhniDecryptor มีอยู่บนเว็บไซต์อย่างเป็นทางการ http://support.kaspersky.ru/viruses/disinfection/10556

นอกจากนี้ยังมีคำแนะนำโดยละเอียดเกี่ยวกับวิธีใช้ยูทิลิตีนี้ แสดงวิธีกู้คืนไฟล์ที่เข้ารหัส ซึ่งในกรณีนี้ ฉันจะลบรายการ "ลบไฟล์ที่เข้ารหัสหลังจากถอดรหัสสำเร็จ" (แม้ว่าฉันคิดว่าทุกอย่างจะดีด้วย ตัวเลือกที่ติดตั้ง)

หากคุณมีใบอนุญาตสำหรับโปรแกรมป้องกันไวรัสของ Dr.Web คุณสามารถใช้การถอดรหัสฟรีจากบริษัทนี้ได้ที่ http://support.drweb.com/new/free_unlocker/

ตัวแปรเพิ่มเติมของไวรัสแรนซัมแวร์

พบได้น้อยกว่า แต่ยังมีโทรจันต่อไปนี้ที่เข้ารหัสไฟล์และต้องการเงินในการถอดรหัส ลิงก์ที่มีให้นั้นไม่ได้มีเพียงยูทิลิตี้สำหรับการส่งคืนไฟล์ของคุณเท่านั้น แต่ยังมีคำอธิบายของสัญญาณที่จะช่วยระบุได้ว่าคุณติดไวรัสชนิดนี้ แม้ว่าโดยทั่วไปแล้ว วิธีที่ดีที่สุดคือการสแกนระบบโดยใช้ Kaspersky Anti-Virus ค้นหาชื่อโทรจันตามการจัดประเภทของบริษัทนี้ จากนั้นค้นหายูทิลิตี้ด้วยชื่อนี้

• Trojan-Ransom.Win32.Rector - ยูทิลิตี้ถอดรหัส RectorDecryptor ฟรีและคู่มือการใช้งานมีให้ที่นี่: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist เป็นโทรจันที่คล้ายกันซึ่งแสดงหน้าต่างที่ขอให้คุณส่ง SMS แบบชำระเงินหรือติดต่ออีเมลเพื่อขอคำแนะนำในการถอดรหัส คำแนะนำในการกู้คืนไฟล์ที่เข้ารหัสและยูทิลิตี XoristDecryptor สามารถดูได้ที่ http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - ยูทิลิตี้ RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 และอื่น ๆ ที่มีชื่อเดียวกัน (เมื่อค้นหาผ่านโปรแกรมป้องกันไวรัส Dr.Web หรือยูทิลิตี้ Cure It) และหมายเลขอื่น - ลองค้นหาชื่อโทรจันทางอินเทอร์เน็ต สำหรับบางส่วนมียูทิลิตี้การถอดรหัสจาก Dr.Web หากคุณไม่พบยูทิลิตี้ แต่มีใบอนุญาต Dr.Web คุณสามารถใช้หน้าอย่างเป็นทางการ http://support.drweb.com/new/ free_unlocker/
• CryptoLocker - เพื่อถอดรหัสไฟล์หลังจาก CryptoLocker ทำงาน คุณสามารถใช้เว็บไซต์ http://decryptcryptolocker.com - หลังจากส่งไฟล์ตัวอย่างแล้ว คุณจะได้รับคีย์และยูทิลิตีสำหรับกู้คืนไฟล์ของคุณ

จาก ข่าวล่าสุด- Kaspersky Lab ร่วมกับเจ้าหน้าที่บังคับใช้กฎหมายจากประเทศเนเธอร์แลนด์ พัฒนา Ransomware Decryptor (http://noransom.kaspersky.com) เพื่อถอดรหัสไฟล์หลังจาก CoinVault แต่ยังไม่พบแรนซัมแวร์นี้ในละติจูดของเรา

อย่างไรก็ตาม หากจู่ๆ ปรากฎว่าคุณมีบางอย่างที่จะเพิ่ม (เพราะฉันอาจไม่มีเวลาตรวจสอบสิ่งที่เกิดขึ้นด้วยวิธีการถอดรหัส) แจ้งให้เราทราบในความคิดเห็น ข้อมูลนี้จะเป็นประโยชน์สำหรับผู้ใช้รายอื่นที่ได้พบ ปัญหา.

โดยทั่วไปแล้ว มัลแวร์จะทำงานเพื่อเข้าควบคุมคอมพิวเตอร์ รวมไว้ในเครือข่ายซอมบี้ หรือขโมยข้อมูลส่วนบุคคล ผู้ใช้ที่ไม่ตั้งใจอาจไม่สังเกตเห็นเป็นเวลานานว่าระบบติดไวรัส แต่แรนซัมแวร์ โดยเฉพาะ xtbl ทำงานในลักษณะที่แตกต่างไปจากเดิมอย่างสิ้นเชิง พวกเขาทำให้ไฟล์ผู้ใช้ไม่สามารถใช้งานได้โดยการเข้ารหัสด้วยอัลกอริทึมที่ซับซ้อนที่สุดและเรียกร้องเงินจำนวนมากจากเจ้าของเพื่อโอกาสในการกู้คืนข้อมูล

สาเหตุของปัญหา: ไวรัส xtbl

ไวรัส xtbl ransomware ได้ชื่อมาจากการที่เอกสารของผู้ใช้เข้ารหัสโดยได้รับนามสกุล .xtbl โดยทั่วไป ตัวเข้ารหัสจะทิ้งคีย์ไว้ในเนื้อหาของไฟล์เพื่อให้โปรแกรมถอดรหัสสากลสามารถกู้คืนข้อมูลในรูปแบบดั้งเดิมได้ อย่างไรก็ตาม ไวรัสได้รับการออกแบบเพื่อวัตถุประสงค์อื่น ดังนั้นแทนที่จะใช้คีย์ ข้อเสนอที่จะจ่ายเงินจำนวนหนึ่งโดยใช้รายละเอียดที่ไม่ระบุตัวตนจะปรากฏบนหน้าจอ

ไวรัส xtbl ทำงานอย่างไร

ไวรัสเข้าสู่คอมพิวเตอร์ผ่านทางข้อความอีเมลพร้อมไฟล์แนบที่ติดไวรัสซึ่งเป็นไฟล์ แอปพลิเคชั่นสำนักงาน. หลังจากที่ผู้ใช้เปิดเนื้อหาของข้อความ มัลแวร์จะเริ่มค้นหารูปภาพ คีย์ วิดีโอ เอกสาร และอื่นๆ จากนั้นใช้อัลกอริทึมที่ซับซ้อนดั้งเดิม

ไวรัสใช้โฟลเดอร์ระบบเพื่อจัดเก็บไฟล์

ไวรัสเพิ่มตัวเองในรายการเริ่มต้น ในการทำเช่นนี้ จะเพิ่มรายการในรีจิสทรีของ Windows ภายใต้หัวข้อ:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

คอมพิวเตอร์ที่ติดไวรัสทำงานเสถียร ระบบไม่พัง แต่เข้า หน่วยความจำเข้าถึงโดยสุ่มมีแอปพลิเคชั่นขนาดเล็ก (หรือสอง) ที่มีชื่อที่เข้าใจยากอยู่เสมอ และโฟลเดอร์ที่มีไฟล์งานของผู้ใช้ก็ดูแปลกๆ

ข้อความต่อไปนี้ปรากฏบนเดสก์ท็อปแทนที่จะเป็นหน้าจอเริ่มต้น:

ไฟล์ของคุณได้รับการเข้ารหัส ในการถอดรหัส คุณต้องส่งรหัสไปยังที่อยู่อีเมล: [ป้องกันอีเมล](โค้ดตามนี้). จากนั้นคุณจะได้รับคำแนะนำเพิ่มเติม ความพยายามอย่างอิสระในการถอดรหัสไฟล์จะนำไปสู่การทำลายอย่างสมบูรณ์

ข้อความเดียวกันนี้มีอยู่ในไฟล์ How to decrypt your files.txt ที่สร้างขึ้น ที่อยู่อีเมล รหัส จำนวนเงินที่ร้องขออาจเปลี่ยนแปลงได้

บ่อยครั้งที่นักต้มตุ๋นบางคนทำเงินกับผู้อื่น - จำนวนกระเป๋าเงินอิเล็กทรอนิกส์ของผู้ขู่กรรโชกถูกแทรกเข้าไปในเนื้อหาของไวรัสซึ่งไม่มีวิธีการถอดรหัสไฟล์ ดังนั้นผู้ใช้ที่ใจง่ายที่ส่งเงินจะไม่ได้อะไรตอบแทน

ทำไมคุณไม่ควรจ่ายเงินให้นักกรรโชกทรัพย์

เป็นไปไม่ได้ที่จะตกลงที่จะร่วมมือกับผู้ขู่กรรโชกไม่เพียงเพราะหลักการทางศีลธรรมเท่านั้น สิ่งนี้ไม่มีเหตุผลเช่นกันจากมุมมองเชิงปฏิบัติ

วิธีป้องกันระบบของคุณจากไวรัส

กฎการป้องกันมัลแวร์สากลและการลดความเสียหายจะช่วยในกรณีนี้ด้วย

เป็นไปได้ไหมที่จะกู้คืนข้อมูลที่เข้ารหัส

ข่าวดีก็คือสามารถกู้คืนข้อมูลได้ ข่าวร้าย: คุณไม่สามารถทำได้ด้วยตัวเอง เหตุผลนี้เป็นลักษณะเฉพาะของอัลกอริทึมการเข้ารหัส การเลือกคีย์ที่ต้องใช้ทรัพยากรและความรู้ที่สะสมมากกว่า ผู้ใช้ทั่วไป. โชคดีที่นักพัฒนาโปรแกรมป้องกันไวรัสถือว่าการจัดการกับมัลแวร์ทุกตัวเป็นเรื่องให้เกียรติ ดังนั้นแม้ว่าพวกเขาจะไม่สามารถรับมือกับแรนซัมแวร์ของคุณได้ในตอนนี้ พวกเขาก็จะหาทางแก้ไขได้อย่างแน่นอนในหนึ่งหรือสองเดือน จะต้องอดทน

เนื่องจากจำเป็นต้องติดต่อผู้เชี่ยวชาญ อัลกอริทึมสำหรับการทำงานกับคอมพิวเตอร์ที่ติดไวรัสจึงมีการเปลี่ยนแปลง กฎทั่วไป: ยิ่งมีการเปลี่ยนแปลงน้อยเท่าไหร่ก็ยิ่งดีเท่านั้นโปรแกรมป้องกันไวรัสกำหนดวิธีการรักษาตาม "คุณสมบัติทั่วไป" ของโปรแกรมที่เป็นอันตราย ดังนั้นไฟล์ที่ติดไวรัสจึงเป็นแหล่งข้อมูลสำหรับพวกเขา ข้อมูลสำคัญ. คุณต้องลบออกหลังจากแก้ไขปัญหาหลักแล้วเท่านั้น

กฎข้อที่สอง: หยุดไวรัสโดยไม่เสียค่าใช้จ่ายใดๆ บางทีเขาอาจยังไม่ได้ทำลายข้อมูลทั้งหมดและร่องรอยของตัวเข้ารหัสยังคงอยู่ใน RAM ซึ่งคุณสามารถระบุได้ ดังนั้นคุณต้องปิดคอมพิวเตอร์จากเครือข่ายทันทีและปิดแล็ปท็อปโดยกดปุ่มเครือข่ายค้างไว้ ในครั้งนี้ ขั้นตอนการปิดระบบแบบ "อ่อนโยน" มาตรฐาน ซึ่งทำให้กระบวนการทั้งหมดสามารถออกได้อย่างราบรื่น จะไม่ทำงาน เนื่องจากหนึ่งในนั้นกำลังเข้ารหัสข้อมูลของคุณ

กู้คืนไฟล์ที่เข้ารหัส

หากคุณปิดคอมพิวเตอร์

หากคุณสามารถปิดคอมพิวเตอร์ได้ก่อนที่กระบวนการเข้ารหัสจะสิ้นสุด คุณไม่จำเป็นต้องเปิดเครื่องเอง นำสิ่งที่ "ป่วย" ไปหาผู้เชี่ยวชาญทันที การเข้ารหัสที่ถูกขัดจังหวะจะเพิ่มโอกาสในการบันทึกไฟล์ส่วนตัวได้อย่างมาก ที่นี่คุณสามารถทำได้ โหมดปลอดภัยตรวจสอบสื่อเก็บข้อมูลของคุณและสร้างข้อมูลสำรอง ด้วยความเป็นไปได้สูงที่จะรู้จักไวรัสดังนั้นการรักษาจะประสบความสำเร็จ

หากการเข้ารหัสเสร็จสิ้น

น่าเสียดายที่โอกาสที่จะขัดจังหวะกระบวนการเข้ารหัสได้สำเร็จนั้นต่ำมาก โดยปกติแล้วไวรัสจะมีเวลาในการเข้ารหัสไฟล์และลบร่องรอยที่ไม่จำเป็นออกจากคอมพิวเตอร์ และตอนนี้คุณมีปัญหาสองประการ: Windows ยังคงติดไวรัส และไฟล์ส่วนตัวกลายเป็นชุดอักขระ ในการแก้ปัญหาที่สอง คุณต้องใช้ความช่วยเหลือจากผู้ผลิตซอฟต์แวร์ป้องกันไวรัส

ดร.เว็บ

Dr.Web Lab ให้บริการถอดรหัสฟรีสำหรับเจ้าของใบอนุญาตเชิงพาณิชย์เท่านั้น กล่าวอีกนัยหนึ่ง หากคุณยังไม่ได้เป็นลูกค้าของพวกเขา แต่ต้องการกู้คืนไฟล์ของคุณ คุณจะต้องซื้อโปรแกรม จากสถานการณ์ปัจจุบันนี้ถือเป็นการลงทุนที่เหมาะสม

ขั้นตอนต่อไปคือไปที่เว็บไซต์ของผู้ผลิตและกรอกแบบฟอร์มการสมัคร

หากมีไฟล์ที่เข้ารหัสอยู่ในสื่อภายนอกการถ่ายโอนไฟล์เหล่านั้นจะช่วยอำนวยความสะดวกในการทำงานของตัวถอดรหัสอย่างมาก

แคสเปอร์สกี้

Kaspersky Lab ได้พัฒนายูทิลิตี้การถอดรหัสของตัวเองที่เรียกว่า RectorDecryptor ซึ่งสามารถดาวน์โหลดไปยังคอมพิวเตอร์ได้จากเว็บไซต์ทางการของบริษัท

ระบบปฏิบัติการแต่ละรุ่น รวมถึง Windows 7 มียูทิลิตี้ของตัวเอง หลังจากดาวน์โหลดแล้ว ให้กดปุ่มบนหน้าจอ “เริ่มสแกน”

การทำงานของบริการอาจล่าช้าไประยะหนึ่งหากไวรัสค่อนข้างใหม่ ในกรณีนี้บริษัทมักจะส่งการแจ้งเตือน บางครั้งการถอดรหัสอาจใช้เวลาหลายเดือน

บริการอื่นๆ

มีบริการที่มีฟังก์ชั่นคล้ายกันมากขึ้นเรื่อย ๆ ซึ่งบ่งบอกถึงความต้องการบริการถอดรหัส อัลกอริทึมของการกระทำเหมือนกัน: เราไปที่ไซต์ (เช่น https://decryptcryptolocker.com/) ลงทะเบียนและส่งไฟล์ที่เข้ารหัส

โปรแกรมถอดรหัส

มีข้อเสนอมากมายสำหรับ "ตัวถอดรหัสสากล" (แน่นอนว่าเป็นข้อเสนอที่ต้องชำระเงิน) บนเครือข่าย แต่ประโยชน์ของพวกเขานั้นเป็นที่น่าสงสัย แน่นอนว่าหากผู้ผลิตไวรัสเขียนตัวถอดรหัสก็จะทำงานได้สำเร็จ แต่โปรแกรมเดียวกันนี้จะไม่มีประโยชน์สำหรับแอปพลิเคชันที่เป็นอันตรายอื่น นอกจากนี้ผู้เชี่ยวชาญที่จัดการกับไวรัสเป็นประจำมักจะมีชุดยูทิลิตี้ที่จำเป็นครบถ้วน ดังนั้นพวกเขาจึงมีความเป็นไปได้สูงที่จะมีโปรแกรมการทำงานทั้งหมด การซื้อตัวถอดรหัสนั้นน่าจะเสียเงินเปล่า

วิธีถอดรหัสไฟล์โดยใช้ Kaspersky Lab - วิดีโอ

การกู้คืนข้อมูลด้วยตนเอง

หากคุณไม่สามารถติดต่อผู้เชี่ยวชาญจากภายนอกได้ด้วยเหตุผลบางประการ คุณสามารถลองกู้คืนข้อมูลด้วยตัวเอง เราจะทำการจองในกรณีที่ล้มเหลว ไฟล์อาจสูญหายอย่างถาวร

การกู้คืนไฟล์ที่ถูกลบ

หลังจากการเข้ารหัส ไวรัสจะลบไฟล์ต้นฉบับ อย่างไรก็ตาม Windows 7 เก็บข้อมูลที่ถูกลบทั้งหมดเป็นระยะเวลาหนึ่งในรูปแบบของสำเนาเงา

นักสำรวจเงา

ShadowExplorer เป็นยูทิลิตี้ที่ออกแบบมาเพื่อกู้คืนไฟล์จากสำเนาเงา

โฟโต้เรค

ยูทิลิตี้ PhotoRec ฟรีทำงานบนหลักการเดียวกัน แต่อยู่ในโหมดแบทช์

การกำจัดไวรัส

เนื่องจากไวรัสเข้าสู่คอมพิวเตอร์โปรแกรมรักษาความปลอดภัยที่ติดตั้งจึงไม่สามารถรับมือกับงานได้ คุณสามารถลองขอความช่วยเหลือจากภายนอกได้

สำคัญ! การลบไวรัสจะช่วยรักษาคอมพิวเตอร์ แต่จะไม่กู้คืนไฟล์ที่เข้ารหัส นอกจากนี้ การติดตั้งซอฟต์แวร์ใหม่อาจเสียหายหรือลบสำเนาเงาของไฟล์บางส่วนที่จำเป็นในการกู้คืน ดังนั้นจึงเป็นการดีกว่าที่จะติดตั้งแอปพลิเคชันบนไดรฟ์อื่น

เครื่องมือกำจัดไวรัส Kaspersky

โปรแกรมฟรีจากผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียง ซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์ Kaspersky Lab หลังจากเปิดตัว Kaspersky Virus Removal Tool เครื่องมือจะแจ้งให้คุณเริ่มสแกนทันที

หลังจากกดปุ่ม "เริ่มสแกน" บนหน้าจอขนาดใหญ่ โปรแกรมจะเริ่มสแกนคอมพิวเตอร์

ยังคงต้องรอการสิ้นสุดของการสแกนและนำแขกที่ไม่ได้รับเชิญออก

Malwarebytes แอนตี้มัลแวร์

ผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสรายอื่นที่ให้บริการ รุ่นฟรีเครื่องสแกน. อัลกอริทึมของการกระทำเหมือนกัน:

สิ่งที่ไม่ควรทำ

ไวรัส XTBL เช่นเดียวกับไวรัสแรนซัมแวร์ตัวอื่นๆ ที่สร้างความเสียหายทั้งระบบและข้อมูลของผู้ใช้ ดังนั้น เพื่อลดความเสียหายที่อาจเกิดขึ้น ควรใช้ความระมัดระวังบางประการ:

1. อย่ารอให้การเข้ารหัสเสร็จสิ้น หากการเข้ารหัสไฟล์เริ่มขึ้นต่อหน้าต่อตาคุณ คุณไม่ควรรอว่าจะสิ้นสุดอย่างไร หรือพยายามขัดจังหวะกระบวนการโดยทางโปรแกรม ปิดเครื่องคอมพิวเตอร์ทันทีและโทรหาผู้เชี่ยวชาญ
2. อย่าพยายามลบไวรัสด้วยตัวคุณเอง หากคุณสามารถไว้วางใจผู้เชี่ยวชาญได้
3. อย่าติดตั้งระบบใหม่จนกว่าจะสิ้นสุดการรักษา ไวรัสจะติดระบบใหม่อย่างปลอดภัยเช่นกัน
4. อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส สิ่งนี้จะทำให้การทำงานของตัวถอดรหัสซับซ้อนขึ้นเท่านั้น
5. อย่าพยายามอ่านไฟล์ที่ติดไวรัสบนคอมพิวเตอร์เครื่องอื่นจนกว่าไวรัสจะถูกลบออก สิ่งนี้สามารถนำไปสู่การแพร่กระจายของเชื้อ
6. อย่าจ่ายเงินให้พวกกรรโชกทรัพย์ สิ่งนี้ไร้ประโยชน์และสนับสนุนให้ผู้สร้างไวรัสและผู้หลอกลวง
7. อย่าลืมเกี่ยวกับการป้องกัน การติดตั้งโปรแกรมป้องกันไวรัส ปกติ การสำรองข้อมูลการสร้างจุดคืนค่าจะช่วยลดความเสียหายที่อาจเกิดขึ้นจากมัลแวร์ได้อย่างมาก

การรักษาคอมพิวเตอร์ที่ติดไวรัสแรนซัมแวร์เป็นขั้นตอนที่ใช้เวลานานและไม่ประสบความสำเร็จเสมอไป ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องระมัดระวังเมื่อรับข้อมูลจากเครือข่ายและทำงานกับสื่อภายนอกที่ไม่ผ่านการตรวจสอบ

หากระบบติดมัลแวร์จาก Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl หรือ ตระกูลโทรจัน-แรนซัม Win32.CryptXXX ไฟล์ทั้งหมดในคอมพิวเตอร์จะถูกเข้ารหัสดังนี้:

• เมื่อ Trojan-Ransom.Win32.Rannoh ติดไวรัส ชื่อและนามสกุลจะเปลี่ยนไปตามรูปแบบที่ถูกล็อก-<оригинальное_имя>.<4 произвольных буквы>.
• เมื่อ Trojan-Ransom.Win32.Cryakl ติดไวรัส เครื่องหมาย (CRYPTENDBLACKDC) จะถูกเพิ่มที่ส่วนท้ายของเนื้อหาของไฟล์
• เมื่อติดไวรัส Trojan-Ransom.Win32.AutoIt ส่วนขยายจะเปลี่ยนไปตามแม่แบบ<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  ตัวอย่างเช่น, [ป้องกันอีเมล] _.RZWDTDIC.
• เมื่อ Trojan-Ransom.Win32.CryptXXX ติดไวรัส ส่วนขยายจะเปลี่ยนไปตามแม่แบบ<оригинальное_имя>.crypt,<оригинальное_имя>.crypz และ<оригинальное_имя>.cryp1.

ยูทิลิตี้ RannohDecryptor ได้รับการออกแบบมาเพื่อถอดรหัสไฟล์หลังจากติดไวรัส Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan- Ransom.Win32.Cryakl หรือ Trojan-Ransom.Win32.CryptXXX เวอร์ชัน 1, 2 และ 3

วิธีการรักษาระบบ

เพื่อรักษาระบบที่ติดไวรัส:

1. ดาวน์โหลดไฟล์ RannohDecryptor.zip
2. เรียกใช้ไฟล์ RannohDecryptor.exe บนเครื่องที่ติดไวรัส
3. ในหน้าต่างหลัก คลิก เริ่มการตรวจสอบ.

1. ระบุเส้นทางไปยังไฟล์ที่เข้ารหัสและไม่ได้เข้ารหัส
   หากไฟล์ถูกเข้ารหัสด้วย Trojan-Ransom.Win32.CryptXXX ให้ระบุไฟล์ที่ใหญ่ที่สุด การถอดรหัสจะใช้ได้เฉพาะไฟล์ที่มีขนาดเท่ากันหรือเล็กกว่าเท่านั้น
2. รอจนกว่าจะสิ้นสุดการค้นหาและถอดรหัสไฟล์ที่เข้ารหัส
3. รีสตาร์ทเครื่องคอมพิวเตอร์หากจำเป็น
4. หลังจากล็อค-<оригинальное_имя>.<4 произвольных буквы>หากต้องการลบสำเนาของไฟล์ที่เข้ารหัสของประเภทการถอดรหัสที่สำเร็จ ให้เลือก

หากไฟล์ถูกเข้ารหัสโดย Trojan-Ransom.Win32.Cryakl ยูทิลิตีจะบันทึกไฟล์ในตำแหน่งเดิมด้วยนามสกุล .decryptedKLR.original_extension ถ้าคุณเลือก ลบไฟล์ที่เข้ารหัสหลังจากถอดรหัสสำเร็จไฟล์ที่ถอดรหัสจะถูกบันทึกโดยยูทิลิตีด้วยชื่อดั้งเดิม

1. ตามค่าเริ่มต้น ยูทิลีตีจะส่งรายงานการดำเนินการไปยังรูท ดิสก์ระบบ(ไดรฟ์ที่ติดตั้งระบบปฏิบัติการ)

   ชื่อรายงานมีดังนี้: UtilityName.Version_Date_Time_log.txt

   ตัวอย่างเช่น C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

บนระบบที่ติด Trojan-Ransom.Win32.CryptXXX ยูทิลิตีจะสแกนรูปแบบไฟล์ในจำนวนที่จำกัด เมื่อผู้ใช้เลือกไฟล์ที่ได้รับผลกระทบจาก CryptXXX v2 การกู้คืนคีย์อาจใช้เวลานาน ในกรณีนี้ ยูทิลิตีจะแสดงคำเตือน