Как да декриптирате файлове след вирус. Файлове с разширение .xtbl - как да декриптирате и възстановите информация

Сами по себе си вирусите като компютърна заплаха днес не изненадват никого. Но ако по-рано те повлияха на системата като цяло, причинявайки неизправности в нейното функциониране, днес, с появата на такава разновидност като вирус за рансъмуер, действията на проникваща заплаха засягат повече потребителски данни. Това е може би дори по-голяма заплаха от разрушаващи Windows изпълними приложения или шпионски софтуерни аплети.

Какво е ransomware вирус?

Сам по себе си кодът, написан в самокопиращ се вирус, предполага криптиране на почти всички потребителски данни със специални криптографски алгоритми, без да засяга системните файлове на операционната система.

В началото логиката на въздействието на вируса не беше напълно ясна за мнозина. Всичко стана ясно едва когато хакерите, създали подобни аплети, започнаха да искат пари за възстановяване на първоначалната файлова структура. В същото време самият проникнал вирус за криптиране не позволява декриптиране на файлове поради своите особености. За да направите това, имате нужда от специален декриптор, ако желаете, код, парола или алгоритъм, необходим за възстановяване на желаното съдържание.

Принципът на проникване в системата и действието на вирусния код

По правило е доста трудно да се "вземе" такава мръсотия в интернет. Основният източник за разпространение на „инфекцията“ е електронната поща на ниво програми, инсталирани на конкретен компютърен терминал като Outlook, Thunderbird, The Bat и др. Забележете веднага: това не важи за интернет сървъри за електронна поща, т.к. те имат достатъчно висока степен на защита и достъпът до потребителски данни е възможен само на ниво

Друго нещо е приложение на компютърен терминал. Именно тук полето за действие на вирусите е толкова широко, че е невъзможно да си представим. Вярно е, че тук също си струва да направите резервация: в повечето случаи вирусите са насочени към големи компании, от които можете да „откъснете“ пари за предоставяне на код за декриптиране. Това е разбираемо, в крайна сметка, не само на локални компютърни терминали, но и на сървърите на такива компании, не само напълно, но и файлове, така да се каже, в едно копие, в никакъв случай не подлежащи на унищожаване съхранени. И тогава декриптирането на файлове след вируса за рансъмуер става доста проблематично.

Разбира се, обикновен потребител също може да бъде обект на такава атака, но в повечето случаи това е малко вероятно, ако следвате най-простите препоръки за отваряне на прикачени файлове с разширения от неизвестен тип. Дори ако пощенският клиент дефинира прикачен файл с разширение .jpg като стандартен графичен файл, първо трябва да се провери със стандартния, инсталиран в системата.

Ако това не е направено, когато го отворите с двойно щракване (стандартен метод), ще започне активирането на кода и ще започне процесът на криптиране, след което същият Breaking_Bad (вирус за криптиране) не само ще бъде невъзможно да бъде изтрит, но файловете няма да могат да бъдат възстановени, след като заплахата е елиминирана.

Общите последици от проникването на всички вируси от този тип

Както вече споменахме, повечето вируси от този тип влизат в системата по имейл. Е, да кажем, че в голяма организация конкретна препоръчана поща получава писмо със съдържание като „Променихме договора, сканирахме в прикачения файл“ или „Изпратена е фактура за пратката на стоките (копие е там)". Естествено, нищо неподозиращ служител отваря файла и...

Всички потребителски файлове на ниво офис документи, мултимедия, специализирани проекти на AutoCAD или всякакви други архивни данни се криптират незабавно и ако компютърният терминал е в локалната мрежа, вирусът може да се предава по-нататък, като криптира данни на други машини (това става се забелязва веднага при „забавяне“ на системата и блокиране на програми или текущо работещи приложения).

В края на процеса на криптиране самият вирус, очевидно, изпраща един вид доклад, след което компанията може да получи съобщение, че такава и такава заплаха е влязла в системата и че само такава и такава организация може да я дешифрира . Обикновено това се отнася до вируса [защитен с имейл]Следва изискването за заплащане на услуги за декриптиране с предложението за изпращане на няколко файла на имейла на клиента, което най-често е фиктивно.

Вреди от излагане на код

Ако някой все още не е разбрал: декриптирането на файлове след вирус за рансъмуер е доста труден процес. Дори да не бъдете „подведени“ към исканията на киберпрестъпниците и да се опитате да използвате официални правителствени структури за борба с компютърните престъпления и предотвратяването им, обикновено нищо добро няма да излезе от това.

Ако изтриете всички файлове, създадете и дори копирате оригиналните данни от преносим носител (разбира се, ако има такова копие), все пак, когато вирусът се активира, всичко ще бъде криптирано отново. Така че не бива да се ласкаете, още повече, че когато същата флашка се постави в USB порта, потребителят дори няма да забележи как вирусът ще криптира данните на него. Тогава определено няма да заобиколите проблемите.

Първороден в семейството

Сега нека насочим вниманието си към първия ransomware вирус. Как да излекуваме и декриптираме файлове след излагане на изпълнимия код, приложен в имейл прикачен файл с предложение за запознанства, към момента на появата му, никой все още не се е сетил. Осъзнаването на мащаба на бедствието дойде едва с времето.

Този вирус имаше романтичното име „Обичам те“. Нищо неподозиращ потребител отвори прикачен файл в електронно съобщение и получи напълно невъзможни за възпроизвеждане мултимедийни файлове (графични, видео и аудио). Тогава обаче подобни действия изглеждаха по-разрушителни (причинявайки вреда на потребителските медийни библиотеки) и никой не поиска пари за това.

Най-новите модификации

Както можете да видите, развитието на технологиите се превърна в доста печеливш бизнес, особено като се има предвид, че много ръководители на големи организации веднага бягат да плащат за действия за декриптиране, напълно без да мислят за факта, че могат да загубят както пари, така и информация.

Между другото, не гледайте всички тези „ляво“ публикации в интернет, те казват: „Платих / платих необходимата сума, изпратиха ми код, всичко беше възстановено“. Глупости! Всичко това е написано от разработчиците на вируса с цел привличане на потенциални, извинете ме, "задънки". Но по стандартите на обикновен потребител, сумите за плащане са доста сериозни: от стотици до няколко хиляди или десетки хиляди евро или долари.

Сега нека да разгледаме най-новите видове вируси от този тип, които са записани сравнително наскоро. Всички те са практически сходни и принадлежат не само към категорията ransomware, но и към групата на така наречения ransomware. В някои случаи те действат по-правилно (като paycrypt), като изпращане на официални бизнес предложения или съобщения, че някой се грижи за безопасността на потребителя или организацията. Такъв вирус за рансъмуер просто подвежда потребителя със своето съобщение. Ако той предприеме дори най-малкото действие за плащане, всичко - "разводът" ще бъде пълен.

XTBL вирус

Сравнително скорошният може да се припише на класическата версия на ransomware. По правило той прониква в системата чрез имейл съобщения, съдържащи прикачени файлове под формата на файлове, от които е стандартен за скрийнсейвъра на Windows. Системата и потребителят смятат, че всичко е наред и активират преглед или запазване на прикачения файл.

Уви, това води до тъжни последици: имената на файловете се преобразуват в набор от знаци и .xtbl се добавя към основното разширение, след което се изпраща съобщение до желания пощенски адрес за възможността за декриптиране след плащане на посочения сума (обикновено 5 хиляди рубли).

CBF вирус

Този тип вирус също принадлежи към класиката на жанра. Появява се в системата след отваряне на прикачени файлове към имейл и след това преименува потребителски файлове, добавяйки разширение като .nochance или .perfect в края.

За съжаление, не е възможно да се дешифрира този тип ransomware вирус, за да се анализира съдържанието на кода дори на етапа на появата му в системата, тъй като след завършване на действията си той се самоунищожава. Дори това, което мнозина смятат, че е универсален инструмент като RectorDecryptor, не помага. Отново потребителят получава писмо с искане за плащане, което му се дава два дни.

Breaking_Bad вирус

Този тип заплаха работи по същия начин, но преименува файловете стандартно чрез добавяне на .breaking_bad към разширението.

Ситуацията не се ограничава до това. За разлика от предишните вируси, този може да създаде друго разширение - .Heisenberg, така че не винаги е възможно да се намерят всички заразени файлове. Така че Breaking_Bad (вирусът за рансъмуер) е доста сериозна заплаха. Между другото, има случаи, когато дори лицензираният пакет Kaspersky Endpoint Security 10 позволява преминаването на този тип заплаха.

Вирус [защитен с имейл]

Ето още една, може би най-сериозната заплаха, която е насочена най-вече към големите търговски организации. По правило в някакъв отдел идва писмо, което изглежда съдържа промени в споразумението за доставка или дори само фактура. Прикаченият файл може да съдържа обикновен .jpg файл (като изображение), но по-често изпълним script.js (Java аплет).

Как да декриптираме този тип ransomware вирус? Съдейки по това, че там се използва някакъв непознат алгоритъм RSA-1024, няма как. Както подсказва името, това е 1024-битова система за криптиране. Но, ако някой си спомня, днес 256-битовият AES се счита за най-напреднал.

Вирус за криптиране: как да дезинфекцирате и декриптирате файлове с помощта на антивирусен софтуер

Към днешна дата не са открити решения от този тип за декриптиране на заплахи от този тип. Дори такива майстори в областта на антивирусната защита като Kaspersky, Dr. Web и Eset не могат да намерят ключа към решаването на проблема, когато вирусът за рансъмуер го е наследил в системата. Как да дезинфекцираме файлове? В повечето случаи се препоръчва да изпратите заявка до официалния уебсайт на антивирусния разработчик (между другото, само ако системата има лицензиран софтуер на този разработчик).

В този случай трябва да прикачите няколко криптирани файла, както и техните "здравословни" оригинали, ако има такива. Като цяло, като цяло малко хора запазват копия на данни, така че проблемът с тяхното отсъствие само изостря и без това неприятната ситуация.

Възможни начини за ръчно идентифициране и отстраняване на заплаха

Да, сканирането с конвенционални антивирусни програми открива заплахи и дори ги премахва от системата. Но какво да кажем за информацията?

Някои хора се опитват да използват програми за декодиране като вече споменатата помощна програма RectorDecryptor (RakhniDecryptor). Нека отбележим веднага: това няма да помогне. А в случай на вируса Breaking_Bad, той може само да навреди. И ето защо.

Факт е, че хората, които създават такива вируси, се опитват да се защитят и да дават насоки на другите. При използване на помощни програми за декриптиране вирусът може да реагира по такъв начин, че цялата система да "излети" и с пълно унищожаване на всички данни, съхранявани на твърди дискове или логически дялове. Това е, така да се каже, показателен урок за назидание на всички, които не искат да плащат. Можем да разчитаме само на официалните антивирусни лаборатории.

Кардинални методи

Ако обаче нещата са наистина зле, ще трябва да пожертвате информацията. За да се отървете напълно от заплахата, трябва да форматирате целия твърд диск, включително виртуалните дялове, и след това да инсталирате отново "операционната система".

За съжаление няма друг изход. Дори до определена запазена точка на възстановяване няма да помогне. Вирусът може да изчезне, но файловете ще останат криптирани.

Вместо послеслов

В заключение трябва да се отбележи, че ситуацията е следната: вирус за рансъмуер прониква в системата, върши мръсното си дело и не се лекува с никакви известни методи. Антивирусните защити не бяха подготвени за този тип заплаха. От само себе си се разбира, че можете да откриете вирус след излагане или да го премахнете. Но криптираната информация ще остане грозна. Така че бихме искали да се надяваме, че най-добрите умове на компаниите за антивирусен софтуер все пак ще намерят решение, въпреки че, съдейки по алгоритмите за криптиране, това ще бъде много трудно да се направи. Припомнете си например криптиращата машина Enigma, която германският флот имаше по време на Втората световна война. Най-добрите криптографи не можеха да решат проблема с алгоритъма за декриптиране на съобщения, докато не се сдобият с устройството. И тук е така.

Здравейте на всички днес ще ви кажа как да декриптирате файлове след вирус в Windows. Една от най-проблемните зловреден софтуер днес е троянски кон или вирус, който криптира файлове на диска на потребителя. Някои от тези файлове могат да бъдат декриптирани, а някои все още не. В статията ще опиша възможните алгоритми за действия и в двете ситуации.

Има няколко модификации на този вирус, но общата същност на работата се свежда до факта, че след инсталиране на компютър вашите файлове с документи, изображения и други потенциално важни са криптирани с промяна в разширението, след което получавате съобщение, в което се посочва, че всичките ви файлове са криптирани и за да ги дешифрирате, трябва да изпратите определена сума на нападателя.

Файловете на компютъра са криптирани в xtbl

Един от най-новите варианти на вируса ransomware криптира файлове, като ги заменя с файлове с разширение .xtbl и име, състоящо се от произволен набор от знаци.

В същото време на компютъра се поставя текстов файл readme.txt със следното съдържание: „Вашите файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода на вашия имейл адрес [защитен с имейл], [защитен с имейл]или [защитен с имейл]След това ще получите всички необходими инструкции. Опитите за самостоятелно декриптиране на файлове ще доведат до невъзстановима загуба на информация ”(имейл адресът и текстът може да се различават).

За съжаление в момента няма начин за дешифриране на .xtbl (веднага щом се появи, инструкциите ще бъдат актуализирани). Някои потребители, които са имали наистина важна информация на компютъра си, съобщават на антивирусни форуми, че са изпратили на авторите на вируса 5000 рубли или друга необходима сума и са получили декриптор, но това е много рисковано: може да не получите нищо.

Ами ако файловете са криптирани в .xtbl? Моите препоръки са следните (но се различават от тези, които са в много други тематични сайтове, където например препоръчват незабавно да изключите компютъра от електрическата мрежа или да не премахвате вируса. Според мен това е излишно и под при някои обстоятелства може дори да е вредно, но зависи от вас.):

1. Ако знаете как, прекъснете процеса на криптиране, като премахнете съответните задачи в диспечера на задачите, като изключите компютъра от интернет (това може да е предпоставка за криптиране)
2. Запомнете или запишете кода, който киберпрестъпниците изискват да бъде изпратен на имейл адреса (само не в текстов файл на компютъра, за всеки случай, за да не се окаже и той криптиран).
3. Премахнете криптиращите вируси файлове с помощта на Malwarebytes Antimalware, пробна версия на Kaspersky Internet Security или Dr.Web Cure It (всички горепосочени инструменти вършат добра работа с това). Съветвам ви да се редувате да използвате първия и втория продукт от списъка (въпреки че, ако имате инсталиран антивирус, инсталирането на втория "отгоре" е нежелателно, тъй като може да доведе до проблеми с компютъра.)
4. Изчакайте да се появи декриптор от някоя антивирусна компания. На преден план тук е Kaspersky Lab.
5. Можете също да изпратите пример за криптиран файл и необходимия код на [защитен с имейл]ако имате нешифровано копие на същия файл, моля, изпратете и него. На теория това може да ускори появата на декодера.

Какво да не се прави:

• Преименувайте криптирани файлове, променете разширението и ги изтрийте, ако са важни за вас.

Това е може би всичко, което мога да кажа за криптирани файлове с разширение .xtbl в момента.

Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni

Следният троянец криптира файлове и инсталира към тях разширения от този списък:

• .заключен
• .crypto
• .kraken
• .AES256 (не е задължително този троянски кон, има и други, които инсталират същото разширение).
• [защитен с имейл] _com
• .oshit
• Друго.

За да декриптирате файлове, след като тези вируси работят, има безплатна помощна програма RakhniDecryptor на уебсайта на Kaspersky, достъпна на официалната страница http://support.kaspersky.com/viruses/dizinfection/10556.

Има и подробна инструкция как да използвате тази помощна програма, показваща как да възстановите криптирани файлове, от която за всеки случай бих премахнал елемента „Изтриване на криптирани файлове след успешно декриптиране“ (въпреки че мисля, че всичко ще бъде наред с опцията е отметната).

Ако имате лиценз за Dr.Web антивирус, можете да използвате безплатно декриптиране от тази компания на http://support.drweb.com/new/free_unlocker/

Още варианти на вируса ransomware

По-рядко срещани, но и следните троянски коне, които криптират файлове и изискват пари за декриптирането им. Предоставените връзки не само предоставят помощни програми за връщане на вашите файлове, но и описание на признаците, които ще ви помогнат да определите, че имате този конкретен вирус. Въпреки че като цяло най-добрият начин е да сканирате системата с помощта на Kaspersky Anti-Virus, да разберете името на троянския кон според класификацията на тази компания и след това да потърсите помощната програма с това име.

• Trojan-Ransom.Win32.Rector - безплатна програма за декриптиране на RectorDecryptor и инструкции за употреба са достъпни тук: http://support.kaspersky.ru/viruses/dizinfection/4264
• Trojan-Ransom.Win32.Xorist е подобен троянски кон, който показва прозорец със заявка за изпращане на платен SMS или контакт по имейл за инструкции относно декриптирането. Инструкции за възстановяване на криптирани файлове и помощната програма XoristDecryptor за това са достъпни на http://support.kaspersky.com/viruses/dizinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - помощна програма RannohDecryptor http://support.kaspersky.ru/viruses/dizinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и други със същото име (при търсене през антивирусната програма Dr.Web или помощната програма Cure It) и различни номера - опитайте да търсите в интернет по името на троянца. За някои от тях има помощни програми за декриптиране на Dr.Web, също ако не можете да намерите помощната програма, но имате лиценз за Dr.Web, можете да използвате официалната страница http://support.drweb.com/new/free_unlocker/
• CryptoLocker - за декриптиране на файлове, след като CryptoLocker работи, можете да използвате сайта http://decryptolocker.com - след като изпратите примерен файл, ще получите ключ и помощна програма за възстановяване на вашите файлове.

Е, от последните новини - Kaspersky Lab, заедно със служители на реда от Холандия, разработиха Ransomware Decryptor (http://noransom.kaspersky.com) за декриптиране на файлове след CoinVault, но този ransomware все още не е намерен в нашите географски ширини .

Между другото, ако изведнъж се окаже, че имате какво да добавите (защото може да нямам време да следя какво се случва с методите за декриптиране), уведомете ме в коментарите, тази информация ще бъде полезна за други потребители, които са изправени пред проблем.

Фактът, че интернет е пълен с вируси, днес не учудва никого. Много потребители възприемат ситуации, свързани с тяхното въздействие върху системите или личните данни, меко казано, затваряйки си очите, но само докато вирусът за криптиране не се установи специално в системата. Повечето обикновени потребители не знаят как да лекуват и декриптират данни, съхранявани на твърдия диск. Следователно този контингент се „подвежда“ към исканията, поставени от нападателите. Но нека видим какво можете да направите, ако бъде открита такава заплаха или да предотвратите навлизането й в системата.

Какво е ransomware вирус?

Този тип заплаха използва стандартни и нестандартни алгоритми за криптиране на файлове, които напълно променят съдържанието им и блокират достъпа. Например, ще бъде абсолютно невъзможно да отворите криптиран текстов файл за четене или редактиране, както и да възпроизвеждате мултимедийно съдържание (графика, видео или аудио) след излагане на вирус. Дори стандартните операции за копиране или преместване на обекти не са налични.

Самото софтуерно пълнене на вируса е средството, което криптира данните по такъв начин, че не винаги е възможно да се възстанови първоначалното им състояние дори след премахване на заплахата от системата. Обикновено такива злонамерени програми създават свои собствени копия и се установяват много дълбоко в системата, така че вирусът за криптиране на файлове понякога може да бъде напълно невъзможно да се премахне. Чрез деинсталиране на основната програма или изтриване на основното тяло на вируса, потребителят не се отървава от въздействието на заплахата, да не говорим за възстановяване на криптирана информация.

Как заплахата прониква в системата?

По правило заплахите от този тип са насочени най-вече към големи търговски структури и могат да проникнат в компютрите чрез пощенски програми, когато служител отвори уж прикачен документ в имейл, който е, да речем, допълнение към някакъв вид споразумение за сътрудничество или планът за доставка на стоки (търговските оферти с инвестиции от съмнителни източници са първият път за вируса).

Проблемът е, че вирус за рансъмуер на машина, която има достъп до локална мрежа, може да се адаптира и в нея, създавайки свои собствени копия не само в мрежова среда, но и на администраторския терминал, ако няма необходимата защита в под формата на антивирусен софтуер. защитна стена или защитна стена.

Понякога подобни заплахи могат да проникнат и в компютърните системи на обикновените потребители, които като цяло не представляват интерес за киберпрестъпниците. Това се случва в момента на инсталиране на някои програми, изтеглени от съмнителни интернет ресурси. Много потребители, когато стартират изтеглянето, игнорират предупрежденията на системата за антивирусна защита и по време на инсталационния процес не обръщат внимание на предложенията за инсталиране на допълнителен софтуер, панели или добавки за браузъри, а след това, тъй като те да кажем, хапят лактите.

Разновидности на вируси и малко история

По принцип заплахите от този тип, по-специално най-опасният ransomware вирус No_more_ransom, се класифицират не само като инструменти за криптиране на данни или блокиране на достъп до тях. Всъщност всички подобни злонамерени приложения се класифицират като ransomware. С други думи, киберпрестъпниците изискват определена сума пари за декриптиране на информация, вярвайки, че този процес ще бъде невъзможен за извършване без първоначална програма. Това отчасти е така.

Но ако се поразровите в историята, ще забележите, че един от първите вируси от този тип, въпреки че не налагаше парични изисквания, беше прословутият аплет I Love You, който напълно криптира мултимедийни файлове (главно музикални записи) в потребителските системи . Декриптирането на файлове след вируса рансъмуер се оказа невъзможно по това време. Сега именно тази заплаха може да се справи по елементарен начин.

Но развитието на самите вируси или използваните алгоритми за криптиране не стои неподвижно. Какво липсва сред вирусите - тук имате XTBL, и CBF, и Breaking_Bad, и [защитен с имейл], и още куп гадни неща.

Техника за въздействие върху потребителските файлове

И ако доскоро повечето атаки се извършваха с помощта на алгоритми RSA-1024, базирани на AES криптиране със същата битност, същият No_more_ransom ransomware вирус днес се представя в няколко интерпретации, като се използват ключове за криптиране, базирани на RSA-2048 и дори RSA-3072 технологии.

Проблеми с декриптирането на използваните алгоритми

Проблемът е, че съвременните системи за декриптиране са безсилни пред такава опасност. Декриптирането на файлове след базирания на AES256 ransomware вирус все още се поддържа донякъде и с по-висока скорост на предаване на ключовете почти всички разработчици просто свиват рамене. Това, между другото, беше официално потвърдено от специалисти от Kaspersky Lab и Eset.

В най-примитивната версия потребителят, който се е свързал със службата за поддръжка, е помолен да изпрати криптиран файл и неговия оригинал за сравнение и по-нататъшни операции за определяне на алгоритъма за криптиране и методите за възстановяване. Но, като правило, в повечето случаи това не работи. Но вирусът ransomware може сам да декриптира файлове, както се смята, при условие че жертвата се съгласи с условията на нападателите и плати определена сума в парично изражение. Подобна формулировка на въпроса обаче поражда основателни съмнения. И ето защо.

Вирус за криптиране: как да лекувам и декриптираме файлове и може ли да се направи?

След извършване на плащането се казва, че хакерите активират декриптирането чрез отдалечен достъп до техния вирус, който се намира в системата, или чрез допълнителен аплет, ако тялото на вируса е премахнато. Изглежда повече от съмнително.

Бих искал също да отбележа факта, че Интернет е пълен с фалшиви публикации, в които се казва, че, казват, необходимата сума е била платена и данните са успешно възстановени. Всичко това е лъжа! И наистина – къде е гаранцията, че след плащане вирусът за криптиране в системата няма да се активира отново? Не е трудно да се разбере психологията на крадците: ако плащаш веднъж, плащаш отново. И ако говорим за особено важна информация като конкретни търговски, научни или военни разработки, собствениците на такава информация са готови да платят колкото е необходимо, само ако файловете останат непокътнати и в безопасност.

Първото средство за премахване на заплахата

Това е естеството на вируса за рансъмуер. Как да дезинфекцираме и декриптирате файлове, след като сте били изложени на заплаха? Да, няма как, ако няма инструменти под ръка, които също не винаги помагат. Но можете да опитате.

Да предположим, че в системата се е появил ransomware вирус. Как да дезинфекцирам заразените файлове? Първо, трябва да извършите задълбочено сканиране на системата без използването на технологията S.M.A.R.T., която открива заплахи само когато секторите за зареждане и системните файлове са повредени.

Препоръчително е да не използвате съществуващия стандартен скенер, който вече е пропуснал заплахата, а да използвате преносими помощни програми. Най-добрият вариант би бил да стартирате от Kaspersky Rescue Disk, който може да стартира дори преди операционната система да започне да работи.

Но това е само половината от битката, тъй като по този начин можете да се отървете само от самия вирус. Но с декодера ще бъде по-трудно. Но повече за това по-късно.

Има и друга категория, в която спадат вирусите за рансъмуер. Как да декриптираме информацията ще бъде казано отделно, но засега нека се спрем на факта, че те могат напълно открито да съществуват в системата под формата на официално инсталирани програми и приложения (наглостта на нападателите няма граници, тъй като заплахата съществува дори не се опитва да се маскира).

В този случай трябва да използвате секцията с програми и компоненти, където се извършва стандартна деинсталиране. Трябва обаче да обърнете внимание и на факта, че стандартната програма за деинсталиране на Windows не изтрива напълно всички програмни файлове. По-специално, ransomware вирусът е в състояние да създава свои собствени папки в основните директории на системата (обикновено това са Csrss директории, където се намира изпълнимият файл csrss.exe със същото име). Windows, System32 или потребителски директории (Потребители на системното устройство) са избрани като основно местоположение.

В допълнение, вирусът No_more_ransom ransomware записва свои собствени ключове в регистъра под формата на връзка, привидно към официалната системна услуга Client Server Runtime Subsystem, което е подвеждащо за мнозина, тъй като тази услуга трябва да отговаря за взаимодействието между клиентския и сървърния софтуер . Самият ключ се намира в папката Run, до която може да се стигне през клона на HKLM. Ясно е, че ще трябва ръчно да изтриете такива ключове.

За да го улесните, можете да използвате помощни програми като iObit Uninstaller, които автоматично търсят остатъчни файлове и ключове в системния регистър (но само ако вирусът се вижда в системата като инсталирано приложение). Но това е най-простото нещо.

Решения, предлагани от разработчиците на антивирусен софтуер

Смята се, че декриптирането на вируса ransomware може да се извърши с помощта на специални помощни програми, въпреки че ако имате технологии с 2048 или 3072 битов ключ, не трябва да разчитате на тях (освен това много от тях изтриват файлове след декриптиране, а след това възстановените файлове изчезват по вина на наличието на вирусно тяло, което не е премахнато преди).

Въпреки това можете да опитате. От всички програми си струва да се подчертаят RectorDecryptor и ShadowExplorer. Смята се, че нищо по-добро не е създадено досега. Но проблемът може също да е, че когато се опитате да използвате декриптора, няма гаранция, че файловете, които се дезинфекцират, няма да бъдат изтрити. Тоест, ако не се отървете от вируса първоначално, всеки опит за декриптиране ще бъде обречен на провал.

В допълнение към изтриването на криптирана информация, това може да бъде и фатално - цялата система ще бъде неработеща. Освен това модерен вирус за рансъмуер е способен да засегне не само данни, съхранявани на твърдия диск на компютъра, но и файлове в облачно хранилище. И тук няма решения за възстановяване на информация. Освен това, както се оказа, много услуги предприемат недостатъчно ефективни мерки за защита (същата вградена OneDrive в Windows 10, която е изложена директно от операционната система).

Радикално решение на проблема

Както вече е ясно, повечето съвременни методи не дават положителен резултат при заразяване с такива вируси. Разбира се, ако има оригинал на повредения файл, той може да бъде изпратен за изследване в антивирусна лаборатория. Вярно е, че има и много сериозни съмнения, че обикновен потребител ще създаде резервни копия на данни, които, когато се съхраняват на твърд диск, също могат да бъдат изложени на злонамерен код. А фактът, че за да избегнат проблеми, потребителите копират информация на сменяеми носители, изобщо не говорим.

По този начин за радикално решение на проблема се навежда изводът: пълно форматиране на твърдия диск и всички логически дялове с изтриване на информация. И така, какво да правя? Ще трябва да дарите, ако не искате вирусът или самозапазеното му копие да се активира отново в системата.

За да направите това, не трябва да използвате инструментите на самите системи на Windows (имам предвид форматиране на виртуални дялове, тъй като при опит за достъп до системния диск ще бъде издадена забрана). По-добре е да използвате зареждане от оптичен носител като LiveCD или инсталационни дистрибуции, като тези, създадени с помощта на Media Creation Tool за Windows 10.

Преди да започнете форматирането, при условие че вирусът е премахнат от системата, можете да опитате да възстановите целостта на компонентите на системата чрез командния ред (sfc / scannow), но това няма да има ефект по отношение на декриптирането и отключването на данните. Следователно формат c: е единственото правилно възможно решение, независимо дали ви харесва или не. Това е единственият начин да се отървете напълно от този вид заплаха. Уви, няма друг начин! Дори лечението със стандартните инструменти, предлагани от повечето антивирусни пакети, е безсилно.

Вместо послеслов

По отношение на предлагането на изводи, можем само да кажем, че няма единно и универсално решение за премахване на последствията от въздействието на подобни заплахи днес (за съжаление, но факт - това се потвърждава от повечето разработчици и специалисти на антивирусен софтуер в областта на криптографията).

Остава неясно защо появата на алгоритми, базирани на 1024-, 2048- и 3072-битово криптиране, премина от тези, които пряко участват в разработването и внедряването на подобни технологии? Всъщност днес алгоритъмът AES256 се счита за най-обещаващия и най-сигурен. Забележете! 256! Тази система, както се оказва, не е подходяща за съвременни вируси. Какво можем да кажем тогава за опитите за дешифриране на техните ключове?

Както и да е, доста лесно е да избегнете въвеждането на заплаха в системата. В най-простия случай трябва да сканирате всички входящи съобщения с прикачени файлове в Outlook, Thunderbird и други пощенски клиенти с антивирусна програма веднага след получаване и в никакъв случай да не отваряте прикачени файлове, докато сканирането приключи. Също така трябва внимателно да прочетете предложенията за инсталиране на допълнителен софтуер, когато инсталирате някои програми (обикновено те са написани с много дребен шрифт или маскирани като стандартни добавки като актуализиране на Flash Player или нещо друго). По-добре е да актуализирате медийните компоненти чрез официалните сайтове. Това е единственият начин поне по някакъв начин да предотвратите проникването на подобни заплахи във вашата собствена система. Последиците могат да бъдат напълно непредвидими, като се има предвид, че вирусите от този тип моментално се разпространяват в локалната мрежа. А за компанията такъв обрат на събитията може да се превърне в истински крах на всички начинания.

И накрая, системният администратор не трябва да седи без работа. В такава ситуация е по-добре да изключите средствата за софтуерна защита. Същата защитна стена (firewall) не трябва да бъде софтуерна, а "хардуерна" (разбира се, с придружаващ софтуер на борда). И разбира се, че не си струва да спестявате и от закупуването на антивирусни пакети. По-добре е да закупите лицензиран пакет, а не да инсталирате примитивни програми, които уж осигуряват защита в реално време само от думите на разработчика.

И ако заплаха вече е влязла в системата, последователността от действия трябва да включва премахване на самия вирусен орган и едва след това опити за декриптиране на повредените данни. В идеалния случай - пълно форматиране (забележете, не бързо с изчистване на съдържанието, а пълно форматиране, за предпочитане с възстановяване или подмяна на съществуващата файлова система, зареждащи сектори и записи).

Напоследък се наблюдава скок в активността на ново поколение злонамерени компютърни програми. Те се появиха доста отдавна (преди 6 - 8 години), но темпото на въвеждането им достигна своя максимум в момента. Все по-често можете да се сблъскате с факта, че вирус криптира файлове.

Вече е известно, че това не е просто примитивен зловреден софтуер, например (предизвикващ появата на син екран), а сериозни програми, насочени към повреда, като правило, на счетоводни данни. Те криптират всички налични файлове в обсега, включително 1C счетоводни данни, docx, xlsx, jpg, doc, xls, pdf, zip.

Особената опасност от въпросните вируси

Състои се във факта, че в този случай се използва RSA ключ, който е обвързан с компютър на конкретен потребител, поради което универсалният декриптор ( декриптор) отсъстващ. Вирусите, активирани на един от компютрите, може да не работят на другия.

Опасността е също така, че повече от година в интернет има готови програми за създаване, които позволяват дори на кулхакерите да разработват този вид вирус (лица, които се смятат за хакери, но не учат програмиране).

В момента се появиха по-мощни модификации.

Как се инжектира този зловреден софтуер

Вирусът се изпраща целенасочено, като правило, в счетоводния отдел на компанията. Първо, имейлите на отделите за персонал, счетоводните отдели се събират от бази данни като например hh.ru. След това писмата се изпращат. Те най-често съдържат заявка за приемане на определена позиция. До такова писмо с автобиография, вътре в което е истински документ с имплантиран OLE обект (pdf файл с вирус).

В ситуации, когато счетоводният отдел незабавно стартира този документ, след рестартиране се случи следното: вирусът преименува и криптира файловете и след това се самоунищожи.

Този вид писмо, като правило, се пише адекватно и се изпраща от пощенска кутия, която не е спам (името съответства на подписа). Свободно място винаги се иска въз основа на основната дейност на компанията, така че не възникват подозрения.

Нито лицензираният "Kaspersky" (антивирусна програма), нито "Virus Total" (онлайн услуга за проверка на прикачени файлове за вируси) могат да защитят компютъра в този случай. Понякога някои антивирусни програми при сканиране издават, че прикаченият файл съдържа Gen: Variant.Zusy.71505.

Как мога да избегна този вирус?

Всеки получен файл трябва да бъде проверен. Особено внимание се обръща на документите на Word, които имат вградени pdf файлове.

Варианти на "заразени" имейли

Има много от тях. Най-често срещаните опции за това как криптираните от вируси файлове са представени по-долу. Във всички случаи следните документи се получават по електронна поща:

1. Уведомление относно началото на процеса по разглеждане на дело, заведено срещу конкретна компания (в писмото се предлага проверка на данните чрез щракване върху посочения линк).
2. Писмо от Върховния арбитражен съд на Руската федерация относно събирането на вземания.
3. Съобщение от Сбербанк относно увеличаване на съществуващия дълг.
4. Уведомление за отстраняване на пътни нарушения.
5. Писмо от колекторската агенция, в което се посочва максималното възможно забавяне на плащането.

Уведомление за криптиране на файл

След заразяване той ще се появи в главната папка на устройството C. Понякога файлове от типа CHTO_DOE.txt, CONTACT.txt се поставят във всички директории с повреден текст. Там потребителят се информира за криптирането на неговите файлове, което се извършва с помощта на надеждни криптографски алгоритми. И той също е предупреден за нецелесъобразността от използване на помощни програми на трети страни, тъй като това може да доведе до трайно увреждане на файловете, което от своя страна ще доведе до невъзможност за тяхното последващо декриптиране.

Препоръчително е да оставите компютъра непроменен в известието. Посочва времето за съхранение на предоставения ключ (като правило е 2 дни). Предписана е точната дата, след която всяка заявка ще бъде игнорирана.

В края се предоставя имейл. Той също така казва, че потребителят трябва да предостави своя ID и че всяко от следните действия може да доведе до елиминиране на ключа, а именно:

Как да декриптирате файлове, криптирани от вирус?

Този вид криптиране е много мощен: на файла е присвоено такова разширение като перфектно, случайност и т.н. Просто е невъзможно да се хакне, но можете да опитате да свържете криптоаналитици и да намерите вратичка (в някои ситуации д-р WEB ще помогне ).

Има още 1 начин за възстановяване на файлове, криптирани от вирус, но той не работи за всички вируси, освен това ще трябва да извадите оригиналния exe заедно с тази злонамерена програма, което не е лесно да се направи след самоунищожение.

Искането на вируса относно въвеждането на специален код е незначителна проверка, тъй като към този момент файлът вече има декриптор (кодът от, така да се каже, натрапниците няма да се изисква). Същността на този метод е вписването на празни команди в проникналия вирус (на самото място на сравняване на въведения код). Резултатът е, че самата злонамерена програма започва да декриптира файлове и по този начин напълно ги възстановява.

Всеки отделен вирус има своя специална функция за криптиране, което означава, че изпълним файл на трета страна (файл във формат exe) не може да бъде декриптиран или можете да опитате да изберете горната функция, за която трябва да извършите всички действия на WinAPI.

файлове: какво да правя?

За да извършите процедурата по декриптиране, ще ви трябва:

Как мога да избегна загуба на данни поради въпросния злонамерен софтуер?

Струва си да знаете, че в ситуация, когато вирусът има криптирани файлове, ще отнеме време, за да ги декриптира. Важен момент е, че има грешка в гореспоменатия зловреден софтуер, който ви позволява да запазите някои от файловете, ако бързо изключите компютъра (извадете щепсела, изключете предпазителя от пренапрежение, извадете батерията в случай на лаптоп ) веднага щом се появят голям брой файлове с предварително посоченото разширение ...

Още веднъж трябва да се подчертае, че основното е постоянно да създавате резервно копие, но не в друга папка, не на сменяем носител, поставен в компютъра, тъй като тази модификация на вируса ще достигне и до тези места. Струва си да запазите резервни копия на друг компютър, на твърд диск, който не е постоянно свързан с компютъра, и в облака.

Трябва да се отнасяте с подозрение към всички документи, които идват по пощата от неизвестни лица (под формата на автобиография, фактура, решения на Върховния арбитражен съд на Руската федерация или данъчни органи и др.). Не е необходимо да ги стартирате на компютъра си (за тази цел можете да изберете нетбук, който не съдържа важни данни).

Зловредна програма * [защитен с имейл]: как да премахнем

В ситуация, когато горните вирусно криптирани файлове cbf, doc, jpg и т.н., има само три варианта за развитие на събитието:

1. Най-лесният начин да се отървете от него е да изтриете всички заразени файлове (това е приемливо, освен ако данните не са много важни).
2. Отидете в лабораторията на антивирусна програма, например Dr. WEB. Задължително е изпращането на няколко заразени файла на разработчиците заедно с ключа за декриптиране, който се намира на компютъра като KEY.PRIVATE.
3. Най-скъпият начин. Това включва плащане на сумата, поискана от хакерите за декриптиране на заразените файлове. По правило цената на тази услуга е в диапазона от 200 - 500 щатски долара. Това е приемливо в ситуация, когато вирус е криптирал файловете на голяма компания, в която протича значителен ежедневен поток от информация, и тази злонамерена програма може да причини колосални щети за броени секунди. Следователно плащането е най-бързият вариант за възстановяване на заразени файлове.

Понякога допълнителната опция също е ефективна. В случай, когато вирусът криптира файлове ( [защитен с имейл] _com или друг зловреден софтуер) може да помогне преди няколко дни.

Програма за декриптиране на RectorDecryptor

Ако вирусът криптира jpg, doc, cbf и т.н. файлове, тогава специална програма може да помогне. За да направите това, първо трябва да отидете на стартиране и да деактивирате всичко освен антивируса. След това трябва да рестартирате компютъра си. Вижте всички файлове, маркирайте подозрителни. Полето, озаглавено "Команда", посочва местоположението на конкретен файл (трябва да се обърне внимание на приложения, които нямат подпис: производител - няма данни).

Всички подозрителни файлове трябва да бъдат изтрити, след което ще трябва да почистите кеша на браузъра, временните папки (за това е подходяща програмата CCleaner).

За да започнете декриптирането, трябва да изтеглите горната програма. След това го стартирайте и щракнете върху бутона "Стартиране на сканирането", като посочите модифицираните файлове и тяхното разширение. В съвременните версии на тази програма можете само да посочите самия заразен файл и да кликнете върху бутона „Отваряне“. След това файловете ще бъдат декриптирани.

Впоследствие помощната програма автоматично проверява всички компютърни данни, включително файлове, разположени на картографираното мрежово устройство, и ги декриптира. Този процес на възстановяване може да отнеме няколко часа (в зависимост от обема на работа и скоростта на компютъра).

В резултат на това всички повредени файлове ще бъдат декриптирани в същата директория, където са били първоначално разположени. В крайна сметка остава само да изтриете всички съществуващи файлове с подозрително разширение, за което можете да поставите отметка в квадратчето „Изтриване на криптирани файлове след успешно декриптиране“, като щракнете върху бутона „Промяна на настройките за сканиране“. Въпреки това е по-добре да не го инсталирате, тъй като в случай на неуспешно декриптиране на файлове те могат да бъдат изтрити, а по-късно ще трябва първо да ги възстановите.

Така че, ако вирусът има криптирани файлове doc, cbf, jpg и т.н., не трябва да бързате да плащате за кода. Може би той няма да е нужен.

Нюанси на изтриване на криптирани файлове

Когато се опитате да премахнете всички повредени файлове чрез стандартно търсене и последващо изтриване, компютърът ви може да замръзне и да се забави. В тази връзка за тази процедура си струва да използвате специална. След като я стартирате, трябва да въведете следното: del «<диск>:\*.<расширение зараженного файла>"/ F/s.

Наложително е да изтриете файлове като "Read-me.txt", за които в същия команден ред трябва да посочите: del "<диск>:\*.<имя файла>"/ F/s.

По този начин може да се отбележи, че ако вирусът преименува и криптира файлове, тогава не трябва незабавно да харчите пари за закупуване на ключ от киберпрестъпници, първо трябва да опитате сами да разберете проблема. По-добре е да инвестирате в закупуване на специална програма за декриптиране на повредени файлове.

И накрая, заслужава си да припомним, че тази статия обсъжда въпроса как да декриптират файлове, криптирани от вирус.

Хакерите на Ransomware са много подобни на обикновените изнудвачи. Както в реалния свят, така и в киберсредата има единична или групова цел на атака. То е или откраднато, или недостъпно. Тогава престъпниците използват определени средства за комуникация с жертвите, за да предадат своите искания. Компютърните измамници обикновено избират само няколко формата за писмото за откуп, но копия от него могат да бъдат намерени в почти всяка част от паметта на заразената система. В случая със семейството на шпионски софтуер, известно като Troldesh или Shade, измамниците прилагат специален подход, когато се свързват с жертвата.

Нека разгледаме по-отблизо този щам на вируса ransomware, който е насочен към рускоезичната аудитория. Повечето от подобни инфекции определят клавиатурната подредба на атакувания компютър и ако един от езиците е руски, инвазията спира. Въпреки това, вирусът ransomware XTBLнеразбираемо: За съжаление на потребителите, атаката се разгръща независимо от тяхното географско местоположение или езикови предпочитания. Ярко въплъщение на тази гъвкавост е предупреждение, което се появява под формата на фон на работния плот, както и TXT файл с инструкции за плащане на откупа.

Вирусът XTBL обикновено се разпространява чрез спам. Съобщенията приличат на писма от известни марки или са просто поразителни, тъй като в темата се използват изрази като "Спешно!" или "Важни финансови документи". Фишингът ще работи, когато получателят на такъв имейл. съобщения ще изтеглят zip файл, съдържащ JavaScript код или Docm обект с потенциално уязвим макрос.

След като изпълни основния алгоритъм на компрометиран компютър, троянският софтуер за рансъмуер продължава да търси данни, които могат да бъдат от полза за потребителя. За тази цел вирусът сканира локалната и външната памет, като в същото време сравнява всеки файл с набор от формати, избрани въз основа на разширението на обекта. Всички файлове .jpg, .wav, .doc, .xls, както и много други обекти са криптирани с помощта на симетричния блоков криптоалгоритъм AES-256.

Има два аспекта на този вреден ефект. На първо място, потребителят губи достъп до важни данни. Освен това имената на файловете са дълбоко кодирани, което води до безсмислен набор от шестнадесетични знаци. Всичко, което обединява имената на заразените файлове, е добавеното към тях разширение xtbl, т.е. името на киберзаплахата. Имената на криптирани файлове понякога имат специален формат. В някои версии на Troldesh имената на криптирани обекти може да останат непроменени и в края се добавя уникален код: [защитен с имейл], [защитен с имейл], или [защитен с имейл]

Очевидно нападателите чрез инжектиране на имейл адреси. имейли директно в имената на файловете, посочете начина на комуникация с жертвите. Имейлът е посочен и другаде, а именно в писмото за откуп, което се съдържа във файла „Readme.txt“. Такива документи на Notepad ще се показват на работния плот, както и във всички папки с кодирани данни. Ключовото послание е:

„Всички файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода: [вашият уникален код] на вашия имейл адрес [защитен с имейл]или [защитен с имейл]След това ще получите всички необходими инструкции. Опитите за самостоятелно дешифриране няма да доведат до нищо друго освен невъзвратима загуба на информация ”

Имейл адресът може да варира в зависимост от групата рансъмуер, разпространяваща вируса.

Що се отнася до по-нататъшното развитие на събитията: като цяло измамниците отговарят с препоръка да изброят откупа, който може да бъде 3 биткойна или друга сума в този диапазон. Моля, имайте предвид, че никой не може да гарантира, че хакерите ще изпълнят обещанието си дори след като получат парите. За да възстановят достъпа до .xtbl файлове, на засегнатите потребители се препоръчва първо да изпробват всички налични международни методи. В някои случаи данните могат да бъдат подредени с помощта на базираната на Windows услуга Volume Shadow Copy, както и декодери на трети страни и софтуер за възстановяване на данни.

Премахнете вируса XTBL ransomware с помощта на автоматичен почистващ препарат

Изключително ефективен метод за справяне със злонамерен софтуер като цяло и рансъмуер в частност. Използването на добре доказан комплекс за сигурност гарантира задълбочено откриване на всякакви вирусни компоненти, пълното им премахване с едно щракване на мишката. Моля, имайте предвид, че говорим за два различни процеса: деинсталиране на инфекцията и възстановяване на файлове на вашия компютър. Въпреки това заплахата със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с негова помощ.

1. ... След като стартирате софтуера, щракнете върху бутона Стартирайте сканирането на компютъра(Започнете сканирането).
2. Инсталираният софтуер ще предостави отчет за заплахите, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Поправете заплахите(Елиминирайте заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.

Възстановете достъпа до криптирани файлове с разширение .xtbl

Както беше отбелязано, XTBL ransomware заключва файлове със силен алгоритъм за криптиране, така че криптираните данни не могат да бъдат възстановени с вълна на магическа пръчка - освен ако не платите нечуван откуп. Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.

Декодер - софтуер за автоматично възстановяване на файлове

Известно е много извънредно обстоятелство. Тази инфекция изтрива оригиналните файлове некриптирани. По този начин процесът на криптиране на ransomware е насочен към техни копия. Това дава възможност за софтуерни инструменти като възстановяване на изтрити обекти, дори ако надеждността на тяхното елиминиране е гарантирана. Силно препоръчително е да се прибегне до процедурата за възстановяване на файлове, чиято ефективност е доказана повече от веднъж.

Обемни сенчести копия

Подходът се основава на процедурата за архивиране на файлове на Windows, която се повтаря при всяка точка на възстановяване. Важно условие за работа на този метод: функцията "Възстановяване на системата" трябва да бъде активирана преди заразяване. Въпреки това, всички промени, направени във файла след точката на възстановяване, няма да се показват във възстановената версия на файла.

Архивиране

Това е най-добрият от всички методи без обратно изкупуване. Ако процедурата за архивиране на данни на външен сървър е била използвана преди атаката на ransomware на вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, да изберете необходимите файлове и да стартирате механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че ransomware е напълно премахнат.

Проверете за възможни остатъчни компоненти на XTBL ransomware

Ръчното почистване е изпълнено с пропускане на определени фрагменти от ransomware, които могат да избегнат изтриването под формата на скрити обекти на операционната система или записи в системния регистър. За да премахнете риска от частично задържане на определени злонамерени елементи, сканирайте компютъра си с надежден универсален антивирусен комплекс.