Hoe een bestand te herstellen nadat een virus is vergrendeld. Methoden voor bestandsherstel. Controleer op mogelijke overgebleven componenten van XTBL ransomware

Als het systeem is geïnfecteerd met malware van de families Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl of Trojan-Ransom.Win32.CryptXXX, dan worden alle bestanden op de computer als volgt versleuteld:

• Wanneer besmet Trojan-Ransom.Win32.Rannoh namen en extensies veranderen in patroon op slot-<оригинальное_имя>.<4 произвольных буквы> .
• Wanneer besmet Trojan-Ransom.Win32.Cryakl een label wordt toegevoegd aan het einde van de bestandsinhoud (CRYPTENDZWARTDC) .
• Wanneer besmet Trojan-Ransom.Win32.AutoIt de extensie past zich aan volgens patroon <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Bijvoorbeeld, [e-mail beveiligd] _.RZWDTDIC.
• Wanneer besmet Trojan-Ransom.Win32.CryptXXX de extensie verandert door sjablonen <оригинальное_имя>.crypt,<оригинальное_имя>. crypz en <оригинальное_имя>. crypt1.

Het hulpprogramma RannohDecryptor is ontworpen om bestanden na infectie te decoderen Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl of Trojan-Ransom.Win32.CryptXXX versies 1 , 2 en 3 .

Hoe het systeem te genezen?

Een geïnfecteerd systeem desinfecteren:

1. Download het RannohDecryptor.zip-bestand.
2. Voer het bestand RannohDecryptor.exe uit op de geïnfecteerde computer.
3. Klik in het hoofdvenster op Start controle.

1. Geef het pad naar het versleutelde en niet-versleutelde bestand op.
   Als het bestand is versleuteld Trojan-Ransom.Win32.CryptXXX, specificeer de bestanden met de grootste grootte. Decodering is alleen beschikbaar voor bestanden van gelijke of kleinere grootte.
2. Wacht tot het einde van het zoeken en decoderen van versleutelde bestanden.
3. Start uw computer indien nodig opnieuw op.
4. Een kopie van versleutelde bestanden van het formulier verwijderen op slot-<оригинальное_имя>.<4 произвольных буквы> selecteer na succesvolle decodering.

Als het bestand versleuteld was Trojan-Ransom.Win32.Cryakl, dan zal het hulpprogramma het bestand op de oude locatie opslaan met de extensie .decryptedKLR.original_extension... Als je koos Versleutelde bestanden verwijderen na succesvolle decodering, dan wordt het gedecodeerde bestand met de oorspronkelijke naam door het hulpprogramma opgeslagen.

1. Standaard stuurt het hulpprogramma een rapport van zijn werk naar de hoofdmap van de systeemschijf (de schijf waarop het besturingssysteem is geïnstalleerd).

   De rapportnaam is als volgt: UtilityName.Version_Date_Time_log.txt

   Bijvoorbeeld, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Op een geïnfecteerd systeem Trojan-Ransom.Win32.CryptXXX, scant het hulpprogramma een beperkt aantal bestandsindelingen. Wanneer een gebruiker een bestand selecteert dat wordt beïnvloed door CryptXXX v2, kan het herstel van de sleutel lang duren. In dit geval geeft het hulpprogramma een waarschuwing weer.

'Sorry dat ik u stoor, maar... uw bestanden zijn versleuteld. Om de decoderingssleutel te krijgen, moet u dringend een bepaald bedrag naar uw portemonnee overboeken ... Anders worden uw gegevens onherroepelijk vernietigd. Je hebt 3 uur, de tijd dringt." En het is geen grap. Het ransomware-virus is een meer dan reële bedreiging.

Vandaag zullen we het hebben over wat de ransomware-malware is die de afgelopen jaren is verspreid, wat te doen in geval van infectie, hoe u uw computer kunt genezen en of het überhaupt mogelijk is, en hoe u uzelf ertegen kunt beschermen.

Wij versleutelen alles!

Een ransomware (encryptor, cryptor) virus is een speciaal type ransomware dat de bestanden van de gebruiker versleutelt en vervolgens vraagt ​​om de decryptietool te kopen. De losgeldbedragen beginnen overal vanaf $ 200 en lopen op tot tien- en honderdduizenden groene rekeningen.

Enkele jaren geleden werden alleen Windows-computers aangevallen door deze klasse malware. Tegenwoordig is hun assortiment uitgebreid tot schijnbaar goed beschermde Linux, Mac en Android. Bovendien groeit de soortendiversiteit van scramblers voortdurend - de ene na de andere verschijnen er nieuwe items die iets hebben om de wereld mee te verrassen. Het is dus ontstaan ​​door de "kruising" van een klassieke ransomware-trojan en een netwerkworm (een kwaadaardig programma dat zich over netwerken verspreidt zonder de actieve deelname van gebruikers).

Na WannaCry waren er niet minder verfijnde Petya en Bad Rabbit. En aangezien de "encryptiebusiness" de eigenaren een goed inkomen oplevert, kunt u er zeker van zijn dat zij niet de laatsten zijn.

Meer en meer ransomware, vooral degenen die de afgelopen 3-5 jaar op de markt zijn gekomen, gebruiken sterke cryptografische algoritmen die niet kunnen worden gekraakt door brute-force-aanvallen of andere bestaande middelen. De enige manier om de gegevens te herstellen, is door de originele sleutel te gebruiken, die de cybercriminelen aanbieden te kopen. Maar zelfs als u het vereiste bedrag aan hen overmaakt, is de ontvangst van de sleutel niet gegarandeerd. Criminelen nemen de tijd om hun geheimen prijs te geven en potentiële winst te verliezen. En wat hebben ze voor zin om hun beloften na te komen als ze het geld al hebben?

Manieren van verspreiding van versleutelingsvirussen

De belangrijkste manier waarop malware de computers van particuliere gebruikers en organisaties bereikt, is via e-mail, om precies te zijn, bestanden en links die aan brieven zijn toegevoegd.

Een voorbeeld van zo'n brief bedoeld voor "corporate clients":

• "Betaal uw leningsschuld met spoed af."
• "De vordering is ingediend bij de rechtbank."
• "Betaal de boete / vergoeding / belasting."
• "Extra kosten van energierekeningen".
• "Oh, ben jij dat op de foto?"
• "Lena vroeg u dit dringend over te brengen", enz.

Mee eens, alleen een goed geïnformeerde gebruiker zal zo'n brief met de nodige voorzichtigheid behandelen. De meesten zullen niet aarzelen om de bijlage te openen en de malware zelf uit te voeren. Trouwens, ondanks het geschreeuw van de antivirus.

De volgende worden ook actief gebruikt om ransomware te verspreiden:

• Sociale netwerken (mailing vanuit de accounts van kennissen en onbekenden).
• Schadelijke en geïnfecteerde webbronnen.
• Bannerreclame.
• Mailing via messengers van gehackte accounts.
• Sites-warezniki en distributeurs van keygens en crackers.
• Sites voor volwassenen.
• App- en contentwinkels.

Andere kwaadaardige programma's, met name ad-demonstrators en backdoor-trojans, zijn niet ongebruikelijke geleiders van versleutelingsvirussen. Deze laatste maken gebruik van kwetsbaarheden in het systeem en de software en helpen de criminelen om op afstand toegang te krijgen tot het geïnfecteerde apparaat. De lancering van de ransomware valt in dergelijke gevallen niet altijd samen met de potentieel gevaarlijke acties van de gebruiker. Zolang de achterdeur op het systeem blijft, kan een aanvaller op elk moment het apparaat infiltreren en versleuteling initiëren.

Er worden vooral geavanceerde methoden ontwikkeld om bedrijfscomputers te infecteren (ze kunnen tenslotte meer uitknijpen dan thuisgebruikers). De Petya Trojan infiltreerde bijvoorbeeld apparaten via de updatemodule van het MEDoc-belastingboekhoudingsprogramma.

Encryptie-ransomware met netwerkwormfuncties, zoals eerder vermeld, verspreid over netwerken, inclusief internet, via protocolkwetsbaarheden. En je kunt ermee besmet raken zonder ook maar iets te doen. Gebruikers van Windows-besturingssystemen die niet vaak worden bijgewerkt, lopen het grootste risico omdat updates bekende mazen dichten.

Sommige malware, zoals WannaCry, maakt gebruik van 0-day-kwetsbaarheden, dat wil zeggen kwetsbaarheden die nog niet bekend zijn bij systeemontwikkelaars. Helaas is het onmogelijk om op deze manier een infectie volledig te weerstaan, maar de kans dat u tot de slachtoffers behoort, is niet eens 1%. Waarom? Omdat malware niet alle kwetsbare machines tegelijk kan infecteren. En terwijl het nieuwe slachtoffers plant, slagen systeemontwikkelaars erin een levensreddende update uit te brengen.

Hoe gedraagt ​​de ransomware zich op een geïnfecteerde computer?

Het coderingsproces begint in de regel onmerkbaar en wanneer de tekenen duidelijk worden, is het te laat om de gegevens op te slaan: tegen die tijd had de malware alles versleuteld wat het kon bereiken. Soms merkt de gebruiker hoe de extensie van bestanden in een geopende map is gewijzigd.

Het onredelijk verschijnen van een nieuwe, en soms een tweede, extensie voor bestanden, waarna ze niet meer openen, geeft absoluut de gevolgen van een ransomware-aanval aan. Overigens is het meestal mogelijk om de malware te identificeren aan de hand van de extensie die wordt ontvangen door beschadigde objecten.

Een voorbeeld van wat de extensies van versleutelde bestanden kunnen zijn: xtbl, .kraken, .cesar, .da_vinci_code, [e-mail beveiligd] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, enz.

Er zijn veel opties en morgen verschijnen er nieuwe, dus het heeft geen zin om alles op te sommen. Om het type infectie te bepalen, volstaat het om verschillende extensies aan de zoekmachine te geven.

Andere symptomen die indirect wijzen op het begin van encryptie:

• Opdrachtregelvensters verschijnen een fractie van een seconde op het scherm. Meestal is dit een normaal verschijnsel bij het installeren van systeem- en programma-updates, maar het is beter om het niet onbeheerd achter te laten.
• UAC vraagt ​​om een ​​programma te starten dat u niet van plan was te openen.
• Plotselinge herstart van de computer gevolgd door imitatie van het hulpprogramma voor systeemschijfcontrole (andere variaties zijn mogelijk). Tijdens "verificatie" vindt het versleutelingsproces plaats.

Nadat de kwaadaardige operatie met succes is voltooid, verschijnt er een bericht op het scherm met de vraag om losgeld en verschillende bedreigingen.

Ransomware versleutelt een aanzienlijk deel van gebruikersbestanden: foto's, muziek, video's, tekstdocumenten, archieven, e-mail, databases, bestanden met programma-extensies, enz. Maar ze raken de objecten van het besturingssysteem niet aan, omdat cybercriminelen de geïnfecteerde computer niet nodig hebben om stoppen met werken. Sommige virussen vervangen de opstartrecords van schijven en partities.

Na versleuteling worden meestal alle schaduwkopieën en herstelpunten van het systeem verwijderd.

Hoe een computer te genezen van ransomware

Het verwijderen van kwaadaardige programma's van een geïnfecteerd systeem is eenvoudig - de meeste kunnen gemakkelijk worden aangepakt door bijna alle antivirusprogramma's. Maar! Het is naïef om te denken dat het wegwerken van de boosdoener zal leiden tot een oplossing voor het probleem: als je het virus verwijdert of niet, blijven de bestanden versleuteld. Bovendien zal dit in sommige gevallen hun latere decodering bemoeilijken, indien mogelijk.

Correcte procedure voor het starten van encryptie

• Zodra u de tekenen van codering opmerkt, schakel de computer onmiddellijk uit door de knop ingedrukt te houdenVermogen voor 3-4 seconden... Hiermee worden ten minste enkele bestanden opgeslagen.
• Maak een opstartbare schijf of USB-flashstation met antivirussoftware op een andere computer. Bijvoorbeeld, , , enzovoort.
• Start de geïnfecteerde machine op vanaf deze schijf en scan het systeem. Verwijder de gevonden virussen en bewaar ze in quarantaine (voor het geval ze nodig zijn voor decodering). Pas daarna kan uw computer opstarten vanaf uw harde schijf.
• Probeer versleutelde bestanden van schaduwkopieën te herstellen met behulp van de systeemtools of met behulp van die van derden.

Wat te doen als bestanden al zijn versleuteld

• Geef de hoop niet op. Op de websites van ontwikkelaars van antivirusproducten worden gratis hulpprogramma's voor decoders voor verschillende soorten malware geplaatst. In het bijzonder zijn hier verzamelde hulpprogramma's van en .
• Nadat u het type encryptor hebt bepaald, downloadt u het juiste hulpprogramma, zeker doen kopieën beschadigde bestanden en probeer ze te ontcijferen. Als het lukt, ontcijfer dan de rest.

Als bestanden niet worden gedecodeerd

Als geen van de hulpprogramma's heeft geholpen, heeft u waarschijnlijk last van een virus waarvoor nog geen remedie bestaat.

Wat kan in dit geval worden gedaan:

• Als u een betaald antivirusproduct gebruikt, neem dan contact op met de ondersteuningsservice. Stuur meerdere kopieën van de beschadigde bestanden naar het laboratorium en wacht op een reactie. Als het technisch mogelijk is, helpen ze je verder.

• Als blijkt dat de bestanden hopeloos beschadigd zijn, maar van grote waarde voor je zijn, kun je alleen maar hopen en wachten dat er ooit een levensreddende remedie wordt gevonden. Het beste wat u kunt doen, is het systeem en de bestanden laten zoals ze zijn, dat wil zeggen, volledig loskoppelen en de harde schijf niet gebruiken. Het verwijderen van malwarebestanden, het opnieuw installeren van het besturingssysteem en zelfs het bijwerken ervan kan u beroven van: en deze kans, omdat bij het genereren van encryptie-decryptiesleutels vaak unieke systeem-ID's en viruskopieën worden gebruikt.

Het losgeld betalen is geen optie, omdat de kans dat u de sleutel ontvangt nul is. En het is niet nodig om de criminele onderneming te financieren.

Hoe te beschermen tegen dit type malware

Ik zou het advies dat elk van de lezers honderden keren heeft gehoord, niet willen herhalen. Ja, het installeren van een goede antivirus, niet klikken op verdachte links en blabla is belangrijk. Zoals het leven echter heeft aangetoond, bestaat er vandaag de dag geen magische pil die je 100% zekerheid geeft.

De enige effectieve beschermingsmethode tegen dit soort ransomware is: reservekopie van gegevens naar andere fysieke media, waaronder clouddiensten. Back-up, back-up, back-up ...

Meer op de site:

Geen kans op redding: wat is een ransomware-virus en hoe ermee om te gaan? bijgewerkt: 1 september 2018 door: Johnny geheugensteuntje

Is een kwaadaardig programma dat, indien geactiveerd, alle persoonlijke bestanden versleutelt, zoals documenten, foto's, enz. Het aantal van dergelijke programma's is zeer groot en neemt elke dag toe. Pas onlangs zijn we tientallen coderingsopties tegengekomen: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Het doel van dergelijke ransomware-virussen is om gebruikers te dwingen om, vaak voor een grote hoeveelheid geld, een programma en een sleutel te kopen die nodig zijn om hun eigen bestanden te decoderen.

Natuurlijk kunt u versleutelde bestanden herstellen door simpelweg de instructies te volgen die de makers van het virus op de geïnfecteerde computer achterlaten. Maar meestal zijn de kosten van decodering erg hoog, u moet ook weten dat sommige ransomware-virussen bestanden op zo'n manier coderen dat het simpelweg onmogelijk is om ze later te decoderen. En natuurlijk is het gewoon frustrerend om te betalen om je eigen bestanden te herstellen.

Hieronder zullen we u meer in detail vertellen over ransomware-virussen, hoe ze de computer van het slachtoffer binnendringen, evenals hoe u het ransomware-virus kunt verwijderen en de bestanden die ermee versleuteld zijn, kunt herstellen.

Hoe een ransomware-virus een computer binnendringt

Het ransomware-virus verspreidt zich meestal via e-mail. De brief bevat besmette documenten. Deze e-mails worden naar een enorme database met e-mailadressen gestuurd. De auteurs van dit virus gebruiken misleidende koppen en inhoud van brieven in een poging de gebruiker te misleiden tot het openen van het document dat bij de brief is gevoegd. Sommige brieven informeren over de noodzaak om de rekening te betalen, andere bieden aan om de laatste prijslijst te zien, andere om een ​​grappige foto te openen, enz. In ieder geval is het resultaat van het openen van het bijgevoegde bestand de infectie van de computer met een coderingsvirus.

Wat is een ransomware-virus

Een ransomware-virus is een kwaadaardig programma dat moderne versies van Windows-besturingssystemen infecteert, zoals Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Deze virussen proberen de sterkst mogelijke versleutelingsmodi te gebruiken, bijvoorbeeld RSA-2048 met een sleutellengte van 2048 bits, wat de mogelijkheid om zelf een sleutel te kiezen voor het decoderen van bestanden praktisch uitsluit.

Terwijl het een computer infecteert, gebruikt het ransomware-virus de% APPDATA%-systeemmap om zijn eigen bestanden op te slaan. Om zichzelf automatisch te starten wanneer de computer wordt ingeschakeld, maakt de ransomware een vermelding in het Windows-register: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Onmiddellijk na de lancering scant het virus alle beschikbare schijven, inclusief netwerk- en cloudopslag, om te bepalen welke bestanden worden versleuteld. Het ransomware-virus gebruikt de bestandsnaamextensie om te bepalen welke groep bestanden moet worden versleuteld. Bijna alle soorten bestanden zijn versleuteld, inclusief de meest voorkomende zoals:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Onmiddellijk nadat het bestand is versleuteld, krijgt het een nieuwe extensie, die vaak kan worden gebruikt om de naam of het type van de ransomware te identificeren. Sommige typen van deze kwaadaardige programma's kunnen ook de namen van de versleutelde bestanden wijzigen. Het virus maakt dan een tekstdocument aan met namen als HELP_YOUR_FILES, README, dat instructies bevat voor het decoderen van versleutelde bestanden.

Tijdens zijn werking probeert het ransomware-virus de mogelijkheid om bestanden te herstellen te sluiten met behulp van het SVC-systeem (kopieën van schaduwbestanden). Om dit te doen, roept het virus in de opdrachtmodus het hulpprogramma aan voor het beheren van schaduwkopieën van bestanden met een sleutel die de procedure start voor hun volledige verwijdering. Het is dus bijna altijd onmogelijk om bestanden te herstellen met behulp van hun schaduwkopieën.

Het ransomware-virus maakt actief gebruik van intimidatietactieken, waarbij het slachtoffer een link krijgt naar een beschrijving van het versleutelingsalgoritme en een dreigend bericht op het bureaublad wordt weergegeven. Op deze manier probeert hij de gebruiker van de geïnfecteerde computer zonder aarzelen te dwingen de computer-ID naar het e-mailadres van de auteur van het virus te sturen, om te proberen zijn bestanden terug te krijgen. Het antwoord op zo'n bericht is meestal het losgeldbedrag en het e-walletadres.

Is mijn computer geïnfecteerd met een ransomware-virus?

Het is vrij eenvoudig om te bepalen of een computer al dan niet is geïnfecteerd met een ransomware-virus. Let op de extensies van uw persoonlijke bestanden, zoals documenten, foto's, muziek, etc. Als de extensie is gewijzigd of uw persoonlijke bestanden zijn verdwenen en er zijn veel bestanden met onbekende namen achtergebleven, dan is de computer geïnfecteerd. Bovendien is een teken van infectie de aanwezigheid van een bestand met de naam HELP_YOUR_FILES of README in uw mappen. Dit bestand bevat instructies voor het decoderen van bestanden.

Als u vermoedt dat u een bericht heeft geopend dat met een virus is geïnfecteerd door ransomware, maar er zijn nog geen symptomen van infectie, schakel dan uw computer niet uit of start deze niet opnieuw op. Volg de stappen in deze instructie, sectie. Ik herhaal nogmaals, het is erg belangrijk om uw computer niet uit te zetten; bij sommige soorten ransomware wordt het bestandscoderingsproces geactiveerd wanneer de computer voor de eerste keer wordt aangezet na infectie!

Hoe bestanden te decoderen die zijn versleuteld door een ransomware-virus?

Als dit ongeluk is gebeurd, is er geen reden tot paniek! Maar u moet weten dat er in de meeste gevallen geen gratis decryptor is. Dit komt door de sterke coderingsalgoritmen die door dergelijke kwaadaardige programma's worden gebruikt. Dit betekent dat het bijna onmogelijk is om bestanden te decoderen zonder een privésleutel. Het gebruik van de sleutelselectiemethode is ook geen optie, vanwege de grote sleutellengte. Daarom is helaas alleen het betalen van de auteurs van het virus voor het volledige gevraagde bedrag de enige manier om te proberen de decoderingssleutel te bemachtigen.

Natuurlijk is er geen enkele garantie dat na betaling de auteurs van het virus contact met u opnemen en de sleutel verstrekken die nodig is om uw bestanden te decoderen. Bovendien moet je begrijpen dat door geld te betalen aan virusontwikkelaars, je ze zelf onder druk zet om nieuwe virussen te maken.

Hoe een ransomware-virus te verwijderen?

Voordat u hiermee doorgaat, moet u weten dat door het virus te verwijderen en zelf te proberen bestanden te herstellen, u de mogelijkheid om bestanden te decoderen blokkeert door de auteurs van het virus het gevraagde bedrag te betalen.

Kaspersky Virus Removal Tool en Malwarebytes Anti-malware kunnen verschillende soorten actieve ransomware-virussen detecteren en ze gemakkelijk van uw computer verwijderen, MAAR ze kunnen geen versleutelde bestanden herstellen.

5.1. Verwijder het ransomware-virus met behulp van Kaspersky Virus Removal Tool

Het programma is standaard geconfigureerd om alle soorten bestanden te herstellen, maar om het werk te versnellen, wordt aanbevolen om alleen de soorten bestanden achter te laten die u moet herstellen. Klik na het voltooien van de selectie op de knop OK.

Zoek onder aan het QPhotoRec-venster de knop Bladeren en klik erop. U moet de map selecteren waar de herstelde bestanden worden opgeslagen. Het is raadzaam een ​​schijf te gebruiken die geen versleutelde bestanden bevat die moeten worden hersteld (u kunt een USB-flashstation of een externe schijf gebruiken).

Om de procedure voor het zoeken en herstellen van de originele kopieën van versleutelde bestanden te starten, klikt u op de knop Zoeken. Dit proces duurt lang, dus wees geduldig.

Wanneer de zoekopdracht is voltooid, klikt u op de knop Afsluiten. Open nu de map die u hebt gekozen om de herstelde bestanden op te slaan.

De map bevat mappen met de naam recup_dir.1, recup_dir.2, recup_dir.3, enz. Hoe meer bestanden het programma vindt, hoe meer mappen er zullen zijn. Om de bestanden te vinden die u nodig hebt, controleert u achtereenvolgens alle mappen. Om het gemakkelijker te maken om het bestand te vinden dat u nodig hebt, tussen het grote aantal herstelde bestanden, gebruikt u het ingebouwde Windows-zoeksysteem (op bestandsinhoud), en vergeet ook niet de functie van het sorteren van bestanden in mappen. U kunt de wijzigingsdatum van het bestand selecteren als sorteeroptie, omdat QPhotoRec deze eigenschap probeert te herstellen bij het herstellen van het bestand.

Hoe voorkom je dat een computer ransomware geïnfecteerd raakt?

De meeste moderne antivirusprogramma's hebben al een ingebouwd systeem voor bescherming tegen penetratie en activering van ransomware-virussen. Als uw computer dus geen antivirusprogramma heeft, zorg er dan voor dat u dit installeert. Hoe u deze kunt kiezen, kunt u lezen door dit te lezen.

Bovendien zijn er gespecialiseerde beveiligingsprogramma's. Dit is bijvoorbeeld CryptoPrevent, meer details.

Een paar laatste woorden

Door deze instructie te volgen, wordt uw computer ontdaan van het ransomware-virus. Als je vragen hebt of hulp nodig hebt, neem dan contact met ons op.

Ransomware-hackers lijken erg op gewone afpersers. Zowel in de echte wereld als in de cyberomgeving is er een enkelvoudig of groepsdoelwit van aanvallen. Het is gestolen of ontoegankelijk gemaakt. Vervolgens gebruiken de criminelen bepaalde communicatiemiddelen met de slachtoffers om hun eisen over te brengen. Computerfraudeurs kiezen meestal maar een paar formaten voor de losgeldbrief, maar kopieën ervan zijn te vinden in bijna elk deel van het geheugen van het geïnfecteerde systeem. In het geval van de spywarefamilie die bekend staat als Troldesh of Shade, hanteren de oplichters een speciale benadering wanneer ze contact opnemen met het slachtoffer.

Laten we deze stam van het ransomware-virus, die gericht is op het Russisch sprekende publiek, eens nader bekijken. De meeste vergelijkbare infecties bepalen de toetsenbordindeling op de aangevallen pc, en als een van de talen Russisch is, stopt de invasie. Echter, het ransomware-virus XTBL onbegrijpelijk: helaas voor gebruikers ontvouwt de aanval zich ongeacht hun geografische locatie of taalvoorkeur. Een levendige belichaming van deze veelzijdigheid is een waarschuwing die verschijnt in de vorm van een bureaubladachtergrond, evenals een TXT-bestand met instructies voor het betalen van het losgeld.

Het XTBL-virus wordt meestal verspreid via spam. Berichten lijken op brieven van bekende merken, of zijn gewoon opvallend, omdat de onderwerpregel van het bericht uitdrukkingen als "Urgent!" gebruikt. of "Belangrijke financiële documenten". De phishing-truc zal werken wanneer de ontvanger van een dergelijke e-mail. berichten downloaden een zipbestand met JavaScript-code of een Docm-object met een mogelijk kwetsbare macro.

Na het uitvoeren van het basisalgoritme op een gecompromitteerde pc, gaat de ransomware-trojan verder met het zoeken naar gegevens die van waarde kunnen zijn voor de gebruiker. Hiertoe scant het virus het lokale en externe geheugen en vergelijkt het tegelijkertijd elk bestand met een reeks indelingen die zijn geselecteerd op basis van de extensie van het object. Alle bestanden .jpg, .wav, .doc, .xls en vele andere objecten worden versleuteld met behulp van het symmetrische blokcrypto-algoritme AES-256.

Er zijn twee aspecten van dit schadelijke effect. Allereerst verliest de gebruiker de toegang tot belangrijke gegevens. Bovendien zijn bestandsnamen diep gecodeerd, wat resulteert in een betekenisloze reeks hexadecimale tekens. Het enige dat de namen van de geïnfecteerde bestanden verenigt, is de xtbl-extensie die eraan is toegevoegd, d.w.z. de naam van de cyberdreiging. De namen van versleutelde bestanden hebben soms een speciaal formaat. In sommige versies van Troldesh kunnen de namen van versleutelde objecten ongewijzigd blijven en wordt aan het einde een unieke code toegevoegd: [e-mail beveiligd], [e-mail beveiligd], of [e-mail beveiligd]

Het is duidelijk dat de aanvallers door het injecteren van e-mailadressen. e-mails rechtstreeks in de bestandsnamen, geven de wijze van communicatie aan de slachtoffers aan. De e-mail wordt ook ergens anders vermeld, namelijk in de losgeldbrief die is opgenomen in het bestand "Readme.txt". Dergelijke Kladblok-documenten verschijnen op het bureaublad, evenals in alle mappen met gecodeerde gegevens. De kernboodschap is:

“Alle bestanden zijn versleuteld. Om ze te decoderen, moet u de code: [uw unieke code] naar uw e-mailadres sturen [e-mail beveiligd] of [e-mail beveiligd] Vervolgens ontvang je alle benodigde instructies. Pogingen tot ontcijfering op eigen kracht leiden niet tot iets anders dan onherroepelijk verlies van informatie ”

Het e-mailadres kan variëren, afhankelijk van de ransomware-groep die het virus verspreidt.

Wat betreft de verdere ontwikkeling van evenementen: in het algemeen reageren de oplichters met de aanbeveling om het losgeld te vermelden, dat kan 3 bitcoins zijn, of een ander bedrag in dit bereik. Houd er rekening mee dat niemand kan garanderen dat hackers hun belofte zullen nakomen, zelfs niet nadat ze het geld hebben ontvangen. Om de toegang tot .xtbl-bestanden te herstellen, wordt de getroffen gebruikers geadviseerd om eerst alle beschikbare internationale methoden te proberen. In sommige gevallen kunnen gegevens worden opgeruimd met behulp van de Windows-gebaseerde Volume Shadow Copy-service, evenals decoders van derden en software voor gegevensherstel.

Verwijder het XTBL ransomware-virus met behulp van automatische opschoning

Een uiterst effectieve methode om malware in het algemeen en ransomware in het bijzonder aan te pakken. Het gebruik van een bewezen beveiligingscomplex garandeert een grondige detectie van alle viruscomponenten en hun volledige verwijdering met één muisklik. Houd er rekening mee dat we het over twee verschillende processen hebben: het verwijderen van de infectie en het herstellen van bestanden op uw pc. Desalniettemin moet de dreiging zeker worden verwijderd, aangezien er informatie is over de introductie van andere computertrojans met zijn hulp.

1. ... Klik na het starten van de software op de knop Computerscan starten(Begin met scannen).
2. De geïnstalleerde software geeft een rapport over de tijdens de scan gedetecteerde bedreigingen. Om alle gevonden bedreigingen te verwijderen, selecteert u de optie Bedreigingen oplossen(Elimineren van bedreigingen). De betreffende malware wordt volledig verwijderd.

Herstel de toegang tot versleutelde bestanden met de extensie .xtbl

Zoals opgemerkt, vergrendelt de XTBL-ransomware bestanden met een sterk versleutelingsalgoritme, zodat versleutelde gegevens niet kunnen worden hersteld met een zwaai van een toverstaf - tenzij u rekening houdt met de ongehoorde betaling van losgeld. Maar sommige methoden kunnen echt een redder in nood worden waarmee u belangrijke gegevens kunt herstellen. Hieronder kunt u er kennis mee maken.

Decoder - automatische bestandsherstelsoftware

Er is een zeer buitengewone omstandigheid bekend. Deze infectie wist de originele bestanden onversleuteld. Het ransomware-coderingsproces richt zich dus op kopieën ervan. Dit maakt het mogelijk voor softwaretools om verwijderde objecten te herstellen, zelfs als de betrouwbaarheid van hun verwijdering is gegarandeerd. Het wordt ten zeerste aanbevolen om gebruik te maken van de procedure voor bestandsherstel, waarvan de effectiviteit meer dan eens is bewezen.

Volume schaduwkopieën

De aanpak is gebaseerd op de Windows-bestandsback-upprocedure, die op elk herstelpunt wordt herhaald. Een belangrijke voorwaarde om deze methode te laten werken: de functie "Systeemherstel" moet geactiveerd zijn vóór infectie. Wijzigingen die na het herstelpunt in het bestand zijn aangebracht, worden echter niet weergegeven in de herstelde versie van het bestand.

back-up

Dit is de beste van alle niet-inwisselmethoden. Als de procedure voor het maken van een back-up van gegevens naar een externe server werd gebruikt vóór de ransomware-aanval op uw computer, om versleutelde bestanden te herstellen, hoeft u alleen maar de juiste interface te openen, de benodigde bestanden te selecteren en het gegevensherstelmechanisme te starten vanaf de back-up. Voordat u de bewerking uitvoert, moet u ervoor zorgen dat de ransomware volledig is verwijderd.

Controleer op mogelijke overgebleven componenten van XTBL ransomware

Handmatig opschonen gaat gepaard met het weglaten van bepaalde fragmenten van ransomware die verwijdering in de vorm van verborgen besturingssysteemobjecten of registervermeldingen kunnen voorkomen. Om het risico van gedeeltelijke retentie van bepaalde schadelijke elementen uit te sluiten, scant u uw computer met een betrouwbaar universeel antiviruscomplex.

Onlangs is de activiteit van een nieuwe generatie kwaadaardige computerprogramma's sterk toegenomen. Ze verschenen al vrij lang geleden (6 - 8 jaar geleden), maar het tempo van hun introductie heeft nu zijn maximum bereikt. Je kunt steeds vaker geconfronteerd worden met het feit dat een virus bestanden versleutelt.

Het is al bekend dat het niet alleen om primitieve malware gaat (waardoor een blauw scherm verschijnt), maar om serieuze programma's die in de regel de boekhoudgegevens beschadigen. Ze versleutelen alle beschikbare bestanden binnen handbereik, inclusief 1C-boekhoudgegevens, docx, xlsx, jpg, doc, xls, pdf, zip.

Het bijzondere gevaar van de betreffende virussen

Het bestaat uit het feit dat in dit geval een RSA-sleutel wordt gebruikt, die is gekoppeld aan de computer van een specifieke gebruiker, daarom is de universele decryptor ( decryptor) afwezig. Virussen die op een van de computers zijn geactiveerd, werken mogelijk niet op de andere.

Het gevaar is ook dat er al meer dan een jaar kant-en-klare bouwprogramma's op internet staan ​​waarmee zelfs kulkhackers dit soort virussen kunnen ontwikkelen (personen die zichzelf als hackers beschouwen, maar geen programmeertalen studeren).

Momenteel zijn er krachtigere wijzigingen verschenen.

Hoe deze malware wordt geïnjecteerd

Het virus wordt in de regel doelbewust naar de boekhoudafdeling van het bedrijf gestuurd. Eerst worden e-mails van personeelsafdelingen, boekhoudafdelingen verzameld uit databases zoals bijvoorbeeld hh.ru. Daarna worden de brieven verzonden. Ze bevatten meestal een verzoek tot acceptatie voor een bepaalde functie. Naar zo'n brief met een cv, waarin een echt document zit met een geïmplanteerd OLE-object (pdf-bestand met een virus).

In situaties waarin de boekhoudafdeling dit document onmiddellijk lanceerde, gebeurde het volgende na een herstart: het virus hernoemde en versleutelde de bestanden en vernietigde zichzelf vervolgens.

Dit soort brief is in de regel adequaat geschreven en verzonden vanuit een niet-spam-mailbox (de naam komt overeen met de handtekening). Een vacature wordt altijd gevraagd vanuit de core business van het bedrijf, er ontstaan ​​dus geen vermoedens.

Noch de gelicentieerde "Kaspersky" (antivirusprogramma), noch "Virus Total" (een online service voor het controleren van bijlagen op virussen) kan de computer in dit geval beschermen. Af en toe geven sommige antivirusprogramma's bij het scannen aan dat de bijlage Gen: Variant.Zusy.71505 bevat.

Hoe kan ik voorkomen dat ik dit virus krijg?

Elk ontvangen bestand moet worden gecontroleerd. Bijzondere aandacht wordt besteed aan Word-documenten met embedded pdf's.

Varianten van "geïnfecteerde" e-mails

Er zijn er veel. De meest voorkomende opties voor hoe de met virus versleutelde bestanden worden hieronder weergegeven. In alle gevallen worden de volgende documenten per e-mail ontvangen:

1. Kennisgeving met betrekking tot de start van het proces van behandeling van een rechtszaak die is aangespannen tegen een specifiek bedrijf (de brief stelt voor om de gegevens te controleren door op de opgegeven link te klikken).
2. Brief van het Hooggerechtshof van de Russische Federatie over incasso.
3. Een bericht van Sberbank over een verhoging van de bestaande schuld.
4. Melding van vaststelling van verkeersovertredingen.
5. Een brief van het Incassobureau met daarin de maximaal mogelijke betalingsachterstand.

Melding van bestandsversleuteling

Na infectie verschijnt het in de hoofdmap van schijf C. Soms worden bestanden van het type CHTO_DOE.txt, CONTACT.txt in alle mappen met beschadigde tekst geplaatst. Daar wordt de gebruiker geïnformeerd over de versleuteling van zijn bestanden, die wordt uitgevoerd door middel van betrouwbare cryptografische algoritmen. En hij wordt ook gewaarschuwd voor het ondoel van het gebruik van hulpprogramma's van derden, omdat dit kan leiden tot permanente schade aan bestanden, wat op zijn beurt zal leiden tot de onmogelijkheid van latere ontsleuteling.

Het wordt aanbevolen om de computer ongewijzigd te laten in de melding. Het geeft de bewaartijd van de verstrekte sleutel aan (in de regel is dit 2 dagen). De exacte datum wordt voorgeschreven, waarna elk verzoek wordt genegeerd.

Aan het einde wordt een e-mail verstrekt. Er staat ook dat de gebruiker zijn ID moet verstrekken en dat elk van de volgende acties kan leiden tot het verwijderen van de sleutel, namelijk:

Hoe bestanden versleuteld door een virus te decoderen?

Dit soort codering is erg krachtig: het bestand krijgt een extensie als perfect, nochance, enz. Het is gewoon onmogelijk om te kraken, maar je kunt proberen cryptanalisten aan te sluiten en een maas in de wet te vinden (in sommige situaties zal Dr. WEB helpen ).

Er is nog 1 manier om bestanden te herstellen die door een virus zijn versleuteld, maar het werkt niet voor alle virussen, bovendien moet u de originele exe samen met dit kwaadaardige programma eruit halen, wat niet gemakkelijk is te doen na zelfvernietiging.

Het verzoek van het virus met betrekking tot de introductie van een speciale code is een onbeduidende controle, aangezien het bestand op dit moment al een decryptor heeft (de code van, om zo te zeggen, de indringers is niet nodig). De essentie van deze methode is het schrijven van lege commando's in het binnengedrongen virus (in plaats van de ingevoerde code te vergelijken). Het resultaat is dat het kwaadaardige programma zelf begint met het decoderen van bestanden en ze daardoor volledig herstelt.

Elk afzonderlijk virus heeft zijn eigen speciale coderingsfunctie, wat betekent dat een uitvoerbaar bestand van derden (exe-bestand) niet kan worden gedecodeerd, of u kunt proberen de bovenstaande functie te selecteren, waarvoor u alle acties op WinAPI moet uitvoeren.

bestanden: wat te doen?

Om de decoderingsprocedure uit te voeren, hebt u het volgende nodig:

Hoe kan ik gegevensverlies door de betreffende malware voorkomen?

Het is de moeite waard om te weten dat in een situatie waarin een virus bestanden heeft versleuteld, het tijd kost om ze te ontsleutelen. Een belangrijk punt is dat er een fout zit in de bovengenoemde malware waardoor je een deel van de bestanden kunt opslaan als je de computer snel uitzet (stekker uittrekken, overspanningsbeveiliging uitschakelen, batterij verwijderen in geval van laptop ) zodra een groot aantal bestanden met de eerder opgegeven extensie verschijnen ...

Nogmaals, het moet worden benadrukt dat het belangrijkste is om constant een back-up te maken, maar niet naar een andere map, niet naar een verwisselbaar medium dat in de computer is geplaatst, omdat deze wijziging van het virus ook deze plaatsen zal bereiken. Het is de moeite waard om back-ups op een andere computer op te slaan, op een harde schijf die niet permanent op de computer is aangesloten, en in de cloud.

U moet met argwaan omgaan met alle documenten die naar de post komen van onbekende personen (in de vorm van een cv, factuur, resoluties van het Hooggerechtshof van de Russische Federatie of belastingautoriteiten, enz.). U hoeft ze niet op uw computer uit te voeren (hiervoor kunt u een netbook selecteren die geen belangrijke gegevens bevat).

Kwaadaardig programma * [e-mail beveiligd]: hoe te elimineren

In een situatie waarin de bovenstaande met virus versleutelde bestanden cbf, doc, jpg, enz., zijn er slechts drie opties voor de ontwikkeling van het evenement:

1. De eenvoudigste manier om er vanaf te komen is door alle geïnfecteerde bestanden te verwijderen (dit is acceptabel, tenzij de gegevens erg belangrijk zijn).
2. Ga naar het laboratorium van een antivirusprogramma, bijvoorbeeld Dr. WEB. Het is verplicht om verschillende geïnfecteerde bestanden naar de ontwikkelaars te sturen, samen met de decoderingssleutel, die zich op de computer bevindt als KEY.PRIVATE.
3. De duurste manier. Het gaat om het betalen van het bedrag dat door de hackers wordt gevraagd om de geïnfecteerde bestanden te decoderen. In de regel liggen de kosten van deze service in het bereik van 200 - 500 Amerikaanse dollars. Dit is acceptabel in een situatie waarin een virus de bestanden van een groot bedrijf heeft versleuteld waarin een aanzienlijke dagelijkse stroom van informatie stroomt, en dit kwaadaardige programma kan binnen enkele seconden enorme schade aanrichten. Daarom is betalen de snelste optie om geïnfecteerde bestanden te herstellen.

Soms is de extra optie ook effectief. In het geval dat het virus bestanden versleutelde ( [e-mail beveiligd] _com of andere malware) kan een paar dagen geleden helpen.

RectorDecryptor-decoderingsprogramma

Als het virus jpg-, doc-, cbf-, enz.-bestanden versleutelt, kan een speciaal programma helpen. Om dit te doen, moet je eerst naar opstarten gaan en alles uitschakelen behalve de antivirus. Vervolgens moet u uw computer opnieuw opstarten. Bekijk alle bestanden, markeer verdachte bestanden. Het veld met de titel "Opdracht" geeft de locatie van een specifiek bestand aan (let op toepassingen die geen handtekening hebben: fabrikant - geen gegevens).

Alle verdachte bestanden moeten worden verwijderd, waarna u browsercaches, tijdelijke mappen moet opschonen (hiervoor is het CCleaner-programma geschikt).

Om de decodering te starten, moet u het bovenstaande programma downloaden. Voer het vervolgens uit en klik op de knop "Scan starten", waarbij u de gewijzigde bestanden en hun extensie aangeeft. In moderne versies van dit programma kunt u alleen het geïnfecteerde bestand zelf specificeren en op de knop "Openen" klikken. De bestanden worden dan gedecodeerd.

Vervolgens controleert het hulpprogramma automatisch alle computergegevens, inclusief bestanden op de toegewezen netwerkschijf, en decodeert ze. Dit herstelproces kan enkele uren duren (afhankelijk van de hoeveelheid werk en de snelheid van de computer).

Als gevolg hiervan worden alle beschadigde bestanden gedecodeerd in dezelfde map waarin ze zich oorspronkelijk bevonden. Uiteindelijk hoeft u alleen maar alle bestaande bestanden met een verdachte extensie te verwijderen, waarvoor u het vakje "Versleutelde bestanden verwijderen na succesvolle decodering" kunt aanvinken door op de knop "Scaninstellingen wijzigen" te klikken. Het is echter beter om het niet te installeren, omdat in het geval van niet-succesvolle decodering van bestanden, ze kunnen worden verwijderd en later moet u ze eerst herstellen.

Dus als het virus de bestanden doc, cbf, jpg, enz. heeft versleuteld, moet u zich niet haasten om voor de code te betalen. Misschien is hij niet nodig.

Nuances van het verwijderen van versleutelde bestanden

Wanneer u probeert om alle beschadigde bestanden te verwijderen via een standaard zoekactie en daaropvolgende verwijdering, kan uw computer vastlopen en vertragen. In dit opzicht is het de moeite waard om voor deze procedure een speciale te gebruiken.Nadat u deze hebt gestart, moet u het volgende invoeren: del «<диск>:\*.<расширение зараженного файла>"/ V / s.

Het is absoluut noodzakelijk om bestanden zoals "Read-me.txt" te verwijderen, waarvoor u in dezelfde opdrachtregel moet specificeren: del "<диск>:\*.<имя файла>"/ V / s.

Het kan dus worden opgemerkt dat als het virus de bestanden hernoemt en versleutelt, u niet meteen geld moet uitgeven aan het kopen van een sleutel van cybercriminelen, maar eerst moet proberen het probleem zelf te achterhalen. Het is beter om te investeren in de aanschaf van een speciaal programma om beschadigde bestanden te decoderen.

Ten slotte is het de moeite waard eraan te herinneren dat in dit artikel de vraag werd besproken hoe bestanden die door een virus zijn versleuteld, kunnen worden ontsleuteld.