Хакери-здирники дуже схожі на звичайних шантажистів. Як реальному світі, і у кібер-середовищі є одиничний чи груповий об'єкт атаки. Його чи крадуть чи роблять недоступним. Далі злочинці використовують певні засоби комунікації з жертвами передачі своїх вимог. Комп'ютерні шахраї зазвичай вибирають лише кілька форматів для листи з вимогою викупу, та його копії можна знайти майже у кожному ділянці пам'яті інфікованої системи. У випадку сім'ї шпигунського програмного забезпечення, відомого як Troldesh або Shade, при контакті з жертвою аферисти практикують особливий підхід.
Розглянемо ближче цей штам вірусу-шифрувальника, який орієнтований на російськомовну аудиторію. Більшість аналогічних інфекцій визначає розкладку клавіатури на ПК, що атакується, і якщо однією з мов є російська, вторгнення припиняється. Проте вірус-вимагач XTBLнерозбірливий: на нещастя для користувачів, атака розгортається незалежно від їхнього географічного розташування та мовних уподобань. Наочним втіленням такої універсальності є попередження, яке з'являється у вигляді тла робочого столу, а також ТХТ файлу з інструкцією зі сплати викупу.
Вірус XTBL зазвичай розповсюджується через спам. Повідомлення нагадують листи відомих брендів, або просто впадають у вічі, оскільки в темі повідомлення використовуються такі вирази, як «Терміново!» або "Важливі фінансові документи". Фішинговий прийом спрацює, коли одержувач такого ел. повідомлення завантажить ZIP-файл, що містить код JavaScript, або об'єкт Docm з потенційно вразливим макросом.
Виконавши базовий алгоритм на скомпрометованому ПК, троян-вимагач переходить до пошуку даних, які можуть бути цінними для користувача. З цією метою вірус сканує локальну та зовнішню пам'ять, одночасно зіставляючи кожен файл із набором форматів, підібраних на основі розширення об'єкта. Всі файли .jpg, .wav, .doc, .xls, а також безліч інших об'єктів піддаються шифруванню через симетричний блоковий крипто-алгоритм AES-256.
Розрізняють два аспекти такого шкідливого впливу. Насамперед, користувач втрачає доступ до важливих даних. Крім того, імена файлів піддаються глибокому кодуванню, з якого на виході виходить безглуздий набір із шістнадцяткових символів. Все, що поєднує імена уражених файлів, це додане до них розширення xtbl, тобто. назва кібер-загрози. Імена зашифрованих файлів іноді мають спеціальний формат. У деяких версіях Troldesh імена зашифрованих об'єктів можуть залишатися без змін, а наприкінці додається унікальний код: [email protected], [email protected], or [email protected]
Очевидно, зловмисники, запровадивши адреси ел. пошти безпосередньо в назви фалів, вказують жертвам спосіб комунікації. Електронна пошта також вказана в іншому місці, а саме листі-вимоги викупу, який міститься у файлі “Readme.txt”. Такі Notepad-документи з'являться на Робочому столі, а також у всіх папках із закодованими даними. Ключове посилання полягає в наступному:
“Всі файли були зашифровані. Щоб розшифрувати їх, Вам необхідно надіслати код: [Ваш унікальний шифр] на електронну адресу [email protected] or [email protected]Далі ви отримаєте усі необхідні інструкції. Спроби розшифрувати самостійно не призведуть до нічого, крім безповоротної втрати інформації”
Електронна адреса може змінюватися залежно від групи шантажистів, що розповсюджує вірус.
Що стосується подальшого розвитку подій: загалом, шахраї відповідають рекомендацією перерахувати викуп, який може становити 3 біткойн, або іншу суму в цьому діапазоні. Зверніть увагу, що ніхто не може гарантувати, що хакери виконають свою обіцянку навіть після отримання грошей. Щоб відновити доступ до .xtbl файлів, постраждалим користувачам рекомендується насамперед випробувати всі доступні тернативні методи. У деяких випадках дані можна упорядкувати за допомогою служби тіньового копіювання томів (Volume Shadow Copy), передбаченої безпосередньо в ОС Windows, а також програм-дешифраторів та відновлення даних від незалежних розробників ПЗ.
Видалити вірус-шифрувальник XTBL за допомогою автоматичного чистильника
Винятково ефективний метод роботи із шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про запровадження інших комп'ютерних троянів за її допомогою.
- . Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування).
- Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.
Відновити доступ до зашифрованих файлів із розширенням.xtbl
Як було зазначено, програма-вимагач XTBL блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички – якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитись.
Дешифратор – програма автоматичного відновлення файлів
Відомо дуже неординарну обставину. Ця інфекція стирає вихідні файли у незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це дозволяє таким програмним засобам як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, ефективність якої була підтверджена вже не один раз. 
Тіньові копії томів
В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється у кожній точці відновлення. Важлива умова роботи даного методу: функція "Відновлення системи" має бути активована до зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.
Резервне копіювання
Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файли та запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання ПЗ повністю видалено.
Перевірити можливу наявність залишкових компонентів вірусу-вимагача XTBL
Очищення в ручному режимі може призвести до упущення окремих фрагментів вимагацького ПЗ, які можуть уникнути видалення у вигляді прихованих об'єктів операційної системи або елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного універсального антивірусного комплексу.
— це шкідлива програма, яка за своєї активізації шифрує всі персональні файли, такі як документи, фотографії тощо. Кількість подібних програм дуже велика і вона збільшується з кожним днем. Тільки останнім часом ми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму та ключ необхідні для розшифровування власних файлів.
Звичайно можна відновити зашифровані файли, просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, також потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.
Нижче ми більш детально розповімо про віруси-шифрувальники, спосіб їх проникнення на комп'ютер жертви, а також про те, як видалити вірус-шифрувальник і відновити зашифровані ним файли.
Як вірус-шифрувальник проникає на комп'ютер
Вірус-шифрувальник зазвичай розповсюджується за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений у лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому разі результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.
Що таке вірус-шифрувальник
Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога стійкіші режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.
Під час зараження комп'ютера вірус-шифрувальник використовує системний каталог %APPDATA% для зберігання власних файлів. Для автоматичного запуску себе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу як спосіб визначення групи файлів, які будуть піддані зашифровці. Шифруються практично всі види файлів, включаючи такі поширені як:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Відразу після того, як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними до HELP_YOUR_FILES, README, який містить інструкцію з розшифровки зашифрованих файлів.
Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус у командному режимі викликає утиліту адміністрування тіньових копій файлів з ключем, що запускає процедуру їх повного видалення. Таким чином, практично завжди неможливо відновити файли за допомогою використання тіньових копій.
Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування та показуючи загрозливе повідомлення на Робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, надіслати ID комп'ютера на адресу електронної пошти автора вірусу, щоб спробувати повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу та адреса електронного гаманця.
Мій комп'ютер заражений вірусом-шифрувальником?
Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли зникли, залишивши по собі безліч файлів з невідомими іменами, комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README у ваших каталогах. Цей файл міститиме інструкцію з розшифровки файлів.
Якщо ви підозрюєте, що відкрили лист заражений вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажуйте комп'ютер. Виконайте кроки, описані в цьому посібнику, розділ . Ще раз повторюся, дуже важливо не вимикати комп'ютер, у деяких типах шифрувальників процес зашифрування файлів активізується при першому, після зараження, увімкненні комп'ютера!
Як розшифрувати файли зашифровані вірусом-шифрувальником?
Якщо це лихо сталося, то не треба панікувати! Але треба знати, що здебільшого безкоштовного розшифровувача немає. Виною цьому є стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа також не вихід, через велику довжину ключа. Тому, на жаль, лише оплата авторам вірусу всієї суми, що запитує, — єдиний спосіб спробувати отримати ключ розшифровки.
Звичайно, немає абсолютно жодної гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ, необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що платячи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.
Як видалити вірус-шифрувальник?
Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.
Kaspersky Virus Removal Tool і Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.
5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool
За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.
У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, в який будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).
Щоб запустити процедуру пошуку та відновлення вихідних копій зашифрованих файлів, натисніть кнопку Search. Цей процес триває досить довго, тому наберіться терпіння.
Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.
У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, тому що QPhotoRec при відновленні файлу намагається відновити цю властивість.
Як запобігти зараженню комп'ютера вірусом-шифрувальником?
Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, обов'язково її встановіть. Як її вибрати можете дізнатися прочитавши цю.
Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше .
Декілька фінальних слів
Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш сайт.
Всім привіт сьогодні розповім, як розшифрувати файли після вірусу в Windows. Одна з найпроблемніших шкідливих програм сьогодні – це троян чи вірус, що шифрує файли на диску користувача. Деякі з цих файлів розшифрувати можливо, а деякі - поки що ні. У статті я опишу можливі алгоритми дій обох ситуаціях.
Є кілька модифікацій цього вірусу, але загальна суть роботи зводиться до того, що після встановлення на комп'ютер ваші файли документів, зображень та інші, які потенційно є важливими, шифруються зі зміною розширення, після чого ви отримуєте повідомлення про те, що всі ваші файли були зашифровані , а для їх розшифровки вам потрібно надіслати певну суму зловмиснику.
Файли на комп'ютері зашифровані в xtbl
Один із останніх варіантів вірусу-вимагача шифрує файли, замінюючи їх на файли з розширенням.xtbl та ім'ям, що складається з випадкового набору символів.
Заодно на комп'ютері розміщується текстовий файл readme.txt з таким змістом: «Ваші файли були зашифровані. Щоб розшифрувати їх, Вам необхідно надіслати код на електронну адресу [email protected], [email protected]або [email protected]Далі ви отримаєте усі необхідні інструкції. Спроби розшифрувати файли самостійно призведуть до безповоротної втрати інформації» (адреса пошти та текст можуть відрізнятися).
На жаль, способу розшифрувати.xtbl зараз немає (як тільки він з'явиться, інструкція буде оновлена). Деякі користувачі, у яких на комп'ютері була дійсно важлива інформація, повідомляють на антивірусних форумах, що відправили авторам вірусу 5000 рублів або іншу необхідну суму та отримали дешифратор, проте це дуже ризиковано: ви можете нічого не отримати.
Що робити, якщо файли були зашифровані в .xtbl? Мої рекомендації виглядають наступним чином (але вони відрізняються від тих, що є на багатьох інших тематичних сайтах, де, наприклад, рекомендують негайно вимкнути комп'ютер з електромережі або не видаляти вірус. На мій погляд, це зайве, а при певному збігу обставин може бути навіть шкідливим, але вирішувати вам.):
- Якщо вмієте, перервати процес шифрування, знявши відповідні завдання в диспетчері завдань, відключивши комп'ютер від Інтернету (це може бути необхідною умовою шифрування)
- Запам'ятати або записати код, який зловмисники вимагають вислати на електронну адресу (тільки не текстовий файл на комп'ютері, про всяк випадок, щоб він теж не був зашифрований).
- За допомогою Malwarebytes Antimalware, пробної версії Kaspersky Internet Security або Dr.Web Cure It видалити вірус, що шифрує файли (всі перераховані інструменти з цим добре справляються). Я раджу по черзі використовувати перший і другий продукт зі списку (правда, якщо у вас встановлений антивірус, інсталяція другого «зверху» небажана, оскільки може призвести до проблем у роботі комп'ютера.)
- Чекати, коли з'явиться дешифратор від будь-якої антивірусної компанії. В авангарді тут Kaspersky Lab.
- Можна також надіслати приклад зашифрованого файлу і потрібний код на [email protected]Якщо у вас є копія цього ж файлу в незашифрованому вигляді, надішліть її теж. Теоретично, це може прискорити появу дешифратора.
Чого робити не слід:
- Перейменовувати зашифровані файли, змінювати розширення та видаляти їх, якщо вони важливі.
Це, мабуть, все, що я можу сказати щодо зашифрованих файлів з розширенням.xtbl на даний момент часу.
Trojan-Ransom.Win32.Aura та Trojan-Ransom.Win32.Rakhni
Наступний троян, який шифрує файли та встановлює їм розширення з цього списку:
- .locked
- .crypto
- .kraken
- .AES256 (не обов'язково цей троян, є й інші, що встановлюють це розширення).
- [email protected] _com
- .oshit
- Та інші.
Для розшифровки файлів після роботи вказаних вірусів на сайті Касперського є безкоштовна утиліта RakhniDecryptor, доступна на офіційній сторінці http://support.kaspersky.ru/viruses/disinfection/10556.
Там же присутня і докладна інструкція щодо застосування даної утиліти, що показує, як відновити зашифровані файли, з якої я б, про всяк випадок, прибрав пункт «Видаляти зашифровані файли після успішного розшифрування» (хоча, думаю і з встановленою опцією все буде гаразд).
Якщо у вас є ліцензія антивірусу Dr.Web, ви можете скористатись безкоштовною розшифровкою від цієї компанії на сторінці http://support.drweb.com/new/free_unlocker/
Ще варіанти вірусу-шифрувальника
Рідше, але також зустрічаються такі трояни, файли, що шифрують, і вимагають гроші за розшифровку. За наведеними посиланнями є не тільки утиліти для повернення ваших файлів, але й ознак, які допоможуть визначити, що у вас саме цей вірус. Хоча взагалі, оптимальний шлях: за допомогою антивірусу Касперського просканувати систему, дізнатися про ім'я трояна за класифікацією цієї компанії, а потім шукати утиліту з цього імені.
- Trojan-Ransom.Win32.Rector - безкоштовна утиліта RectorDecryptor для розшифровки та посібник з використання доступний тут: http://support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - аналогічний троян, що виводить вікно з вимогою надіслати платну смс або зв'язатися електронною поштою для отримання інструкції з розшифровки. Інструкція з відновлення зашифрованих файлів та утиліта XoristDecryptor для цього є на сторінці http://support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утиліта RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 та інші з таким же ім'ям (при пошуку через антивірус Dr.Web або утиліту Cure It) та різними номерами – спробуйте пошук в інтернеті на ім'я трояна. Для частини є утиліти дешифровки від Dr.Web, так само, якщо вам не вдалося знайти утиліту, але є ліцензія Dr.Web, ви можете використовувати офіційну сторінку http://support.drweb.com/new/free_unlocker/
- CryptoLocker - для розшифровки файлів після роботи CryptoLocker, ви можете використовувати сайт http://decryptcryptolocker.com - після надсилання прикладу файлу, ви отримаєте ключ та утиліту для відновлення ваших файлів.
Ну і з останніх новин – Лабораторія Касперського, спільно з правоохоронцями з Нідерландів, розробили Ransomware Decryptor (http://noransom.kaspersky.com) для розшифровки файлів після CoinVault, проте у наших широтах цей здирник поки що не зустрічається.
До речі, якщо раптом виявиться, що вам є що додати (оскільки я можу не встигати моніторити те, що відбувається зі способами дешифрування), повідомляйте в коментарях, ця інформація буде корисна іншим користувачам, які зіткнулися з проблемою.
Зазвичай робота шкідливих програм спрямовано отримання контролю над комп'ютером, включення їх у зомбі-мережа чи розкрадання особистих даних. Неуважний користувач може довго не помічати, що система заражена. Але віруси-шифрувальники, зокрема xtbl, працюють зовсім інакше. Вони роблять непридатними файли користувача, шифруючи їх найскладнішим алгоритмом і вимагаючи від власника великої суми за можливість відновити інформацію.
Причина проблеми: вірус xtbl
Вірус-шифрувальник xtbl отримав свою назву через те, що зашифровані ним користувацькі документи отримують розширення.xtbl. Зазвичай кодувальники залишають у тілі файлу ключ для того, щоб універсальна програма-дешифратор могла відновити інформацію у вихідному вигляді. Однак вірус призначений для інших цілей, тому замість ключа на екрані з'являється пропозиція заплатити певну суму за анонімними реквізитами.
Як працює вірус
Вірус потрапляє на комп'ютер за допомогою листів, що розсилаються електронною поштою, із зараженими вкладеннями, що є файлами офісних додатків. Після того, як користувач відкрив вміст повідомлення, шкідлива програма починає пошук фотографій, ключів, відео, документів і так далі, а потім за допомогою оригінального складного алгоритму (гібридне шифрування) перетворює їх на xtbl-сховища.
Для зберігання файлів вірус використовує системні папки.
Вірус вносить себе у список автозавантаження. Для цього він додає записи в реєстрі Windows у розділах:
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Заражений комп'ютер працює стабільно, система не «падає», але в оперативній пам'яті постійно знаходиться невелика програма (або два) з незрозумілою назвою. А папки з робочими файлами користувача набувають дивного вигляду.
На робочому столі замість заставки з'являється повідомлення:
Ваші файли були зашифровані. Щоб розшифрувати їх, вам необхідно надіслати код на електронну адресу: [email protected](далі слідує код). Після цього ви отримаєте подальші вказівки. Самостійні спроби розшифрувати файли призведуть до їх повного знищення.
Той самий текст міститься у створеному файлі How to decrypt your files.txt. Адреса електронної пошти, код, запитувана сума може змінюватися.
Досить часто одні шахраї заробляють на інших - у тіло вірусу вставляється номер електронного гаманця здирників, які не мають можливості розшифрувати файли. Так що довірливий користувач, відправивши гроші, нічого не отримує натомість.
Чому не варто платити здирникам
Погоджуватися на співпрацю з здирниками не можна не лише через моральні принципи. Це нерозумно і з практичного погляду.
Як захистити систему від вірусу
Універсальні правила захисту від шкідливих програм та мінімізації збитків допоможуть і в цьому випадку.
Чи можливо відновити зашифровану інформацію
Хороша новина: відновити дані можна. Погана: самостійно це зробити не вдасться. Причиною тому є особливість алгоритму шифрування, підбір ключа якого вимагає набагато більше ресурсів і накопичених знань, ніж у звичайного користувача. На щастя, розробники антивірусів вважають справою честі розібратися з кожною шкідливою програмою, тому навіть якщо зараз вони не зможуть впоратися з вашим шифрувальником, через місяць-два обов'язково знайдуть рішення. Прийде запастися терпінням.
Через необхідність звернення до фахівців змінюється алгоритм роботи із зараженим комп'ютером. Загальне правило: що менше змін, то краще.Антивіруси визначають метод лікування за родовими ознаками шкідливої програми, тому інфіковані файли для них є джерелом важливої інформації. Видаляти їх потрібно лише після вирішення основної проблеми.
Друге правило: за всяку ціну перервати роботу вірусу. Можливо, він ще не всю інформацію зіпсував, а також залишилися в оперативній пам'яті сліди шифрувальника, за допомогою яких його можна визначити. Тому потрібно відразу ж вимикати комп'ютер із мережі, а ноутбук відключати довгим натисканням кнопки. Цього разу не підійде стандартна «дбайлива» процедура вимикання, що дає можливість коректно завершитись усім процесам, оскільки один з них – кодування вашої інформації.
Відновлюємо зашифровані файли
Якщо ви встигли вимкнути комп'ютер
Якщо ви встигли вимкнути комп'ютер до завершення процесу шифрування, не потрібно його вмикати самостійно. Несіть «хворого» відразу до фахівців, перерване кодування значно збільшує шанси зберегти особисті файли. Тут же можна в безпечному режимі перевірити ваші носії інформації та створити резервні копії. З високою ймовірністю і сам вірус виявиться відомим, тому лікування від нього буде успішним.
Якщо шифрування завершилося
На жаль, можливість успішного переривання процесу шифрування дуже мала. Зазвичай вірус встигає закодувати файли та видалити зайві сліди з комп'ютера. І тепер у вас дві проблеми: Windows все ще заражена, а особисті файли перетворилися на набір символів. Для вирішення другого завдання необхідно скористатися за допомогою виробників антивірусного програмного забезпечення.
Dr.Web
Лабораторія Dr.Web надає свої послуги дешифрування безкоштовно лише власникам комерційних ліцензій. Іншими словами, якщо ви ще не їхній клієнт, але хочете відновити свої файли, доведеться купити програму. Враховуючи ситуацію, що склалася, це потрібне вкладення.
Наступний крок – перехід на сайт виробника та заповнення вхідної форми.
Якщо серед зашифрованих файлів є такі копії яких збереглися на зовнішніх носіях, їх передача значно полегшить роботу декодувальників.
Касперський
Лабораторія Касперського розробила власну утиліту для дешифрування, що називається RectorDecryptor, яку можна завантажити на комп'ютер із офіційного сайту компанії.
Для кожної версії операційної системи, включаючи Windows 7, передбачено свою утиліту. Після завантаження натисніть екранну кнопку «Почати перевірку».
Робота сервісів може затягнутися деякий час, якщо вірус відносно новий. У такому разі компанія зазвичай надсилає відповідне повідомлення. Іноді розшифровка здатна зайняти кілька місяців.
Інші послуги
Сервісів з аналогічними функціями стає дедалі більше, що свідчить про затребуваність послуги дешифрування. Алгоритм дій той самий: заходимо на сайт (наприклад, https://decryptcryptolocker.com/), реєструємось та відправляємо зашифрований файл.
Програми-дешифратори
Пропозицій «універсальних дешифраторів» (зрозуміло, платних) у мережі дуже багато, проте користь від них є сумнівною. Звичайно, якщо самі виробники вірусу напишуть дешифратор, він працюватиме успішно, але та ж програма виявиться марною для іншої шкідливої програми. Крім того, фахівці, які регулярно стикаються з вірусами, зазвичай мають повний пакет необхідних утиліт, тому всі працюючі програми у них є з високою ймовірністю. Купівля такого дешифратора, швидше за все, виявиться марною тратою грошей.
Як розшифрувати файли за допомогою лабораторії Касперського
Самостійне відновлення інформації
Якщо з якихось причин не можна звернутися до сторонніх фахівців, можна спробувати відновити інформацію самотужки. Зауважимо, що у разі невдачі файли можуть бути втрачені остаточно.
Відновлення видалених файлів
Після шифрування вірус видаляє вихідні файли. Однак Windows 7 якийсь час зберігає всю віддалену інформацію у вигляді так званої тіньової копії.
ShadowExplorer
ShadowExplorer – це утиліта, призначена для відновлення файлів із їх тіньових копій.
PhotoRec
Безкоштовна утиліта PhotoRec працює за таким же принципом, але в пакетному режимі.
Для зберігання краще використовувати зовнішній носій, наприклад, USB-флешку, оскільки кожен запис на диск небезпечний стиранням тіньових копій.
Видалення вірусу
Оскільки вірус потрапив на комп'ютер, встановлені захисні програми не впоралися зі своїм завданням. Можна спробувати користуватися сторонньою допомогою.
Важливо! Видалення вірусу лікує комп'ютер, але не відновлює зашифровані файли. Крім того, встановлення нового програмного забезпечення може пошкодити або стерти деякі тіньові копії файлів, необхідні для відновлення. Тому краще встановити програми на інші диски.
Kaspersky Virus Removal Tool
Безкоштовна програма відомого розробника антивірусного програмного забезпечення, яку можна завантажити на веб-сайті Лабораторії Касперського. Після запуску Kaspersky Virus Removal Tool одразу пропонує розпочати перевірку.
Після натискання великої екранної кнопки "Почати перевірку" програма запускає сканування комп'ютера.
Залишилося дочекатися закінчення сканування та видалити знайдених непроханих гостей.
Malwarebytes Anti-malware
Ще один розробник антивірусного програмного забезпечення, що надає безкоштовну версію сканера. Алгоритм дій той самий:
Для коректного видалення деяких шкідливих програм Malwarebytes Anti-malware запропонує здійснити перезавантаження системи, з цим потрібно погодитися. Після відновлення роботи Windows антивірус продовжить чищення.
Чого робити не слід
Вірус XTBL, як і інші віруси-шифрувальники, завдає шкоди і системі, і інформації користувача. Тому для зменшення можливої шкоди слід дотримуватися деяких застережень:
- Не чекати на закінчення шифрування. Якщо на ваших очах почалося шифрування файлів, не варто чекати, чим все закінчиться, або намагатися перервати процес програмними засобами. Відразу ж відключайте живлення комп'ютера та дзвоніть фахівцям.
- Не намагатись видалити вірус самостійно, якщо є можливість довіритися професіоналам.
- Не встановлювати систему до закінчення лікування. Вірус благополучно заразить і нову систему.
- Не перейменуйте зашифровані файли. Це ускладнить роботу дешифратора.
- Не намагайтеся прочитати заражені файли на іншому комп'ютері до видалення вірусу. Це може призвести до поширення зараження.
- Чи не платити здирникам. Це марно і заохочує творців вірусів і шахраїв.
- Не забувати про профілактику. Встановлення антивірусу, регулярне резервне копіювання, створення точок відновлення значно зменшать можливі збитки від шкідливих програм.
Лікування комп'ютера, зараженого вірусом-шифрувальником, є довгою і далеко не завжди успішною процедурою. Тому так важливо дотримуватися запобіжних заходів при отриманні інформації з мережі та роботі з неперевіреними зовнішніми носіями.
Якщо система заражена шкідливою програмою сімейств Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl або. Win32.CryptXXX, всі файли на комп'ютері будуть зашифровані таким чином:
- При зараженні Trojan-Ransom.Win32.Rannoh імена та розширення зміняться за шаблоном locked-<оригинальное_имя>.<4 произвольных буквы>.
- При зараженні Trojan-Ransom.Win32.Cryakl до кінця вмісту файлів додається мітка (CRYPTENDBLACKDC).
- При зараженні Trojan-Ransom.Win32.AutoIt розширення змінюється за шаблоном<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
Наприклад, [email protected] _.RZWDTDIC. - При зараженні Trojan-Ransom.Win32.CryptXXX розширення змінюється за шаблонами<оригинальное_имя>.crypt,<оригинальное_имя>.crypz та<оригинальное_имя>.cryp1.
Утиліта RannohDecryptor призначена для розшифровки файлів після зараження Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Rans. Ransom.Win32.Cryakl або Trojan-Ransom.Win32.CryptXXX версії 1, 2 та 3.
Як вилікувати систему
Щоб вилікувати заражену систему:
- Завантажте файл RannohDecryptor.zip.
- Запустіть файл RannohDecryptor.exe на зараженій машині.
- У головному вікні натисніть Розпочати перевірку.
- Вкажіть шлях до зашифрованого та незашифрованого файлу.
Якщо файл зашифрований Trojan-Ransom.Win32.CryptXXX, вкажіть файли найбільшого розміру. Розшифровка буде доступна лише для файлів рівного або меншого розміру. - Дочекайтеся закінчення пошуку та розшифровки зашифрованих файлів.
- Якщо потрібно, перезавантажте комп'ютер.
- після locked-<оригинальное_имя>.<4 произвольных буквы>Щоб видалити копію зашифрованих файлів виду успішної розшифровки, виберіть .
Якщо файл зашифрований Trojan-Ransom.Win32.Cryakl, утиліта збереже файл на старому місці з розширенням.decryptedKLR.оригінальне_розширення. Якщо ви обрали Видаляти зашифровані файли після успішної розшифровки, трасшифрований файл буде збережено утилітою з оригінальним ім'ям.
- За замовчуванням утиліта виводить звіт роботи на корінь системного диска (диска, на якому встановлено ОС).
Ім'я звіту має такий вигляд: Ім'яУтиліти.Версія_Дата_Время_log.txt
Наприклад, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
У системі, зараженій Trojan-Ransom.Win32.CryptXXX, утиліта сканує обмежену кількість форматів файлів. При виборі користувачем файлу, що постраждав від CryptXXX v2, відновлення ключа може тривати тривалий час. І тут утиліта показує попередження.
Завантаження...