И с каждым годом появляются все новые и новые... интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов. Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса. С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.
Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие - Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение "Акт что-то там.pdf.exe" как вы понимаете они открыли этот EXE файл и процесс пошел... он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете... на тот момент никакого решения не было... все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии). Мы отправили файлы в Dr Web и Nod32, результатов - 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался. В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.
История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.
Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл "Внимание_открой-меня.txt" в котором были контакты для связи.
При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.
Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.
Внимание!! ! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.
В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) - спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку...
Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.
Как можете заметить в поле "Команда" указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner .
Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor . Запустил и увидел довольно аскетичный интерфейс утилиты.
Нажал "Начать проверку", указал расширение, которое было у всех измененных файлов.
И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку "Открыть".
Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.
После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).
В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.
Осталось удалить все файлы с расширение.AES256, это можно было сделать, поставив галочку "Удалять зашифрованные файлы после успешной расшифровки", если нажать "Изменить параметры проверки" в окне RectorDecryptor.
Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить .
При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.
Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del "<диск>:\*.<расширение зашифрованного файла>" /f /s . В моем случае del "d:\*.AES256" /f /s.
Не забывайте удалить файлы "Внимание_открой-меня.txt", для этого в командной строке воспользуйтесь командой del "<диск>:\*.<имя файла>" /f /s,
например
del "d:\
Внимание_открой-меня.txt" /f /s
Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет... придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.
Привет, друзья! Вот беда, так беда! Вчера я чуть не стал жертвой вируса- шифровальщика. И от злости написал эту статью. Чтобы Вы, дорогой читатель знали, как и что надо делать, чтобы избежать «дня шифровальщика». Я выкрутился в этот раз. Расскажу как. А так же поделюсь некоторыми своими наблюдениями и опытом на эту тему.
Все мы по телевизору слышим периодически про вирусы «petya», «wanna-cry» и им подобные. Это так называемые «звезды мирового масштаба», международного класса. Если о них говорят по телеку, а на вашем компьютере все пока хорошо, скорее всего встреча со «звездой» Вам уже не грозит. Меры приняты. Вирус обнаружен, обезврежен. Его сигнатура есть уже даже в базе вашего встроенного антивируса. Гораздо опаснее вирусы-шифровальщики, о которых по телевизору не говорят. Пишут их наши соотечественники.»Свободные художники», не отягченные нормами морали.
Раньше было проще. Вирус-вымогатель блокировал рабочий стол. На экране висел неприличный баннер, что вот мол,вы такие разэтакие. Вы наказаны, платите штраф. Все это лечилось довольно быстро и легко. И довольно быстро баннеры-вымогатели вышли из моды.
Потом горе-программисты с большой дороги решили, что надо развиваться дальше. По почте стали приходить «невинные» письма. Причем часто они приходят в начале месяца, а так же на квартальные и годовые даты. Ничего не подозревающий главный (или не очень) бухгалтер открывает такое письмо. Содержимое не открывается. Ничего не происходит. Она письмо закрывает. Но, через час обнаруживает, что все файлы-документы, фотографии, базы данных оказываются зашифрованными. А в каждой папке на компьютере лежит файл с наглым, спокойным посланием.
Не отчаивайтесь! Читайте статью! Есть способы, которые Вам помогут защитится. я сейчас постараюсь максимально подробно их осветить.
Итак, в теме получаемого письма могут быть такие слова:»главбуху», «в бухгалтерию», «Акт сверки», «Повестка из суда»,»Арбитраж», часто встречается слово «штраф», «суд».
Еще раз повторюсь — в начале месяца и на квартальные, годовые даты приходят чаще всего такие «письма счастья». Расчет простой. Несчастный бухгалтер (как правило женщина), у которой и так «горят» квартальные отчеты, готова на все, чтобы вернуть назад свои ведомости, базы, таблицы, расчеты и годы работы.
Друзья, не идите на поводу у вымогателей. Гарантии расшифровки никакой нет. Зачем поднимать самооценку этим горе -«хакерам», давать возможность и дальше грабить честных и трудолюбивых людей? Не перечисляйте им деньги! Возможность восстановления есть при условии, что Ваш компьютер настроен правильно и защищен. Следуйте рекомендациям!
Как защититься от вируса — шифровальщика в windows?
Впервые меня попросили помочь года два-три назад… И меня тогда помню, поразило это можно сказать лукавство. Вирус, попадая в систему работает как обычная программа. В базах установленного лицензионного (!) антивируса не содержалось их сигнатур, поэтому поначалу антивирусы не «рассматривали» такие «приложения» как вредоносные.
До тех пор, пока обращения в службу поддержки не стали массовыми. Вредоносная программа шифрует все файлы на компьютере определенного типа — текстовые, документы, фотографии, файлы PDF. А мой вчерашний «гость» уже зашифровал даже некоторые файлы программы 1С. Прогресс налицо.
Но, и мы не за печкой родились… Сразу скажу, что расшифровать зашифрованные файлы какой либо сторонней программой не удастся. Помню, в Лаборатории Касперского выкладывали на своем сайте программы дешифраторы.
Но, они только для вирусов определенного типа. Мне не помогало.. Завтра злоумышленник меняет шифр, и не поможет уже эта программа. Ключ известен только «разработчику». А если его уже посадили, точно никто не пришлет Вам декриптор. Для того, чтобы заставить вас облегчить свой кошелек, вредоносный код должен преодолеть несколько линий обороны.
Первая линия обороны — это Ваша внимательность и разборчивость. Вы всегда ходите на одни и те же сайты. Если Вы получаете почту, то почти всю Вы ее получаете всегда от одних и тех же адресатов и всегда с одним и тем же содержимым.
Когда Вы получили письмо с непривычным содержимым, не спешите его открывать. Если Вы попали на незнакомый сайт, и видите необычное окно, не спешите переходить.
Если у Вас или Вашей организации есть сайт — уберите оттуда информацию о Вашем электронном почтовом адресе. Если его видно, то он обязательно попадет в список рассылки интеллигентных «романтиков с большой дороги». Давайте адрес только доверенным лицам и в частном порядке.
Вторая линия обороны — лицензионный отечественный антивирус. Почему лицензионный? Я заметил, что платный лицензионный антивирус (прошедший государственную сертификацию ФСТЭК) работает лучше, чем бесплатная.
Еще как-то раз я повторно что-то перепроверял после «пробной» версии Касперского(правда давно). Результат обескуражил. Я нашел кучу вирусов тогда.. Вот такое наблюдение. За настоящую безопасность надо платить пусть небольшие, но деньги.
А почему отечественный антивирус? Потому что, у наших сертифицированных антивирусных продуктов ведутся базы нежелательных и мошеннический сайтов. Зарубежные «коллеги» не всегда могут этим похвастаться, у них сегмент Интернета другой, всего не охватишь.
Запускайте антивирусный сканер на компьютере на ночь хотя
бы раз в месяц.
Как вирус-шифровальщик попадает на компьютер?
Для маскировки вложение почти всегда присылается в архиве. Поэтому, сначала необычное письмох проверим антивирусом.Нужно сохранить файл на компьютер(антивирус его уже «просмотрит» при этом). А потом дополнительно нажать правой кнопкой мыши по сохраненному на диске файлу и проверить еще раз:
Сайт в базе нерекомендуемых. Это значит, что с него уже были «тревожные звонки». Еще, платные версии лучше проверяют Интернет -ссылки на «зашитые» в них вирусы, чем бесплатные. И при переходе по такой ссылке они вирус обезвреживают, или заносят в список «подозрительных» и блокируют его.
В конце марта я такими нехитрыми способами выловил из почты очередной «квартальный» вирус-шифровальщик. Единственное, что он успел сделать -это написать мне по всему компьютеру сообщение, что файлы зашифрованы, но это было не так. Они остались целыми, отработал код только на создание сообщения:
Прошу обратить внимание на то, что тут указан электронный адрес некоего Щербинина Владимира 1991 года. Поколение 90-х… Это ложный след, потому как настоящий адрес ниже. позволяет избежать отслеживания компьютера в Интернете стандартными средствами. Вот через такой браузер злоумышленник предлагает Вам связаться с ним. Все анонимно. Сидеть в тюрьме никому не охота.
К сожалению часто бывает, что иногда вирусы обходят наши первые две линии обороны. Мы в спешке забыли просканировать файл, а может антивирус еще не успел получить данные о новой угрозе. Но можно настроить защиту в операционной системе.
Как настроить защиту от вируса шифровальщика в Windows 10?
Продолжаем строить глубокую, эшелонированную оборону от вирусов шифровальщиков и не только от шифровальщиков. Расшифровать файлы нельзя. А восстановить их можно. Все дело в настройках. Если их сделать до попадания вируса на компьютер, то вирус ничего не сможет сделать. А если и сделает, то будет возможность восстановить файлы.
Третья линия обороны — это наш компьютер. Уже давно года так с 2003 Microsoft использует технологию «теневого копирования дисков» . Для нас с Вами это означает, что любое изменение системы можно отменить.
Заранее создается «снимок» вашего жесткого диска, автоматически без Вашего ведома. И система хранит его, добавляя только изменения. Эта технология используется для резервного копирования данных. Нужно только включить ее.
В зависимости от объема диска, настроек, на томе может храниться до 64 предыдущих «теневых копий».Если эта опция включена, то восстановить зашифрованные файлы можно из такой теневой копи, которая незаметно создается ежедневно.
Первый шаг — Идем Этот Компьютер — правая кнопка мыши «свойства»:
Дополнительные параметры
Откроем вкладку «Защита системы» В примере на одном из дисков отключена опция защиты. Встаем мышью на выбранном диске и нажимаем «Настроить»
Восстановление данных из копии можно провести из этого окошка нажав кнопку «Восстановить»
Делаем настройки как на рисунке:
Следующий шаг — настройка контроля учетных записей. Вы не замечали, что никогда еще не было по телевизору рассказано о вирусных «эпидемиях» на устройствах семейства Linux, Android?
Их что, злоумышленники не замечают? Замечают, усиленно пишут вирусы, но там вирус пока не срабатывает. Когда Вы работаете на таком устройстве, Вы на нем не обладаете полномочиями Администратора. Вы обычный пользователь, с обычными правами, систему менять Вам никто не даст.
Если Ваше устройство еще на гарантии и Вы специальными средствами присвоите себе права администратора (root), то производитель лишает Вас за это гарантии. Любой известный сейчас вирус попадая в такую ограниченную «пользовательскую» среду-тюрьму пытается изменить что либо, но безуспешно, так как команды на изменения системы молча блокируются. В этом огромный плюс Linux.
Microsoft (что в переводе означает «маленький и нежный») в рамках своей идеологии позволила пользователям легко и свободно менять настройки безопасности в своих операционных системах.
Настолько легко и свободно, что вирус, попадая уже в «администраторскую» среду, уже действует с полномочиями администратора, ему ничего не мешает. Отсюда массовые эпидемии и вывод, что только на пользователе компьютера Windows лежит ответственность за сохранность своих данных. А кто из нас обращает внимания на настройки? Пока гром не грянет.. :-
Надеюсь, я Вас убедил. Все легко. Идем в учетные записи пользователей
Перемещаем ползунок как нам удобно.
Теперь при запуске любой программы с вашего ведома (или без вашего) система будет спрашивать у Вас разрешения,уведомлять Вас. Мелко-нежные любят такие окошки…
И если у Вас полномочия Администратора, то Вы сможете разрешить ее выполнение. А если Вы обычный пользователь, то не разрешит. Отсюда опять вывод, что лучше всего иметь на своем компьютере одну защищенную паролем учетную запись Администратора, а все остальные должны быть обычные пользователи.
Конечно, окно это всем давно знакомо, надело уже всем, его все отключают. Но, если контроль учетных записей включен, то он не даст запустить программу даже при удаленном подключении к компьютеру напрямую. Вот так. Но, из двух зол надо меньшее выбирать. Кому что нравится. Вот еще короткое видео на эту тему
Следующий шаг — это настройка полномочий для папок. Для особо важных папок с документами можно настроить права доступа на каждую такую папку. В свойствах любой папки (через правую кнопку мыши — «Свойства») есть вкладка «Безопасность».
Вот, к примеру у нас есть на компе Пользователи, допустим это наши маленькие дети. Мы не хотим, чтобы они могли менять содержимое данной папки. Поэтому жмем «Изменить».
Серые галочки — это то что задано по умолчанию. Мы можем поставить галочки и «запретить» вообще все. Даже просмотр. Можно сделать запрет на группу пользователей (как на рисунке). Можно «Добавить» какого то отдельного пользователя. Вирус ничего не сможет сделать, если в этой папке будут запрещены полномочия «изменение» или на «запись». Попробуйте поставить запрет на запись, а потом скопировать в такую папку какой либо файл.
И еще, мы рассмотрим сегодня такую меру защиты от вирусов как резервное копирование файлов. Для такого решения заранее нужно приобрести и установить в компьютер еще один жесткий диск объемом не менее того, на котором установлена Ваша Windows. Затем нужно настроить архивацию на него.
Провалившись туда мы попадаем в настройки:
У меня сейчас под рукой только раздел моего жесткого диска «D». Можно и так, но только на первое время. Потом обязательно нужно прикупить себе внешний жесткий диск. Как только выбрали местоположение архива, жмем «Далее».
Если у Вас нет жесткого диска, делаем все как на рисунке. В этом случае будут сохранены только файлы в стандартных расположениях (Мои документы, Мои рисунки Загрузки, Рабочий стол и т.д.). Жмем «Далее».
Вот и все, друзья. Процесс пошел. Вот видео, в котором рассказывается про то как создать образ системы и востановить файл из образа
Итак, для эффективной защиты от вирусов-шифровальщиков достаточно быть внимательным, иметь желательно платный отечественный антивирус и настроенную под нормальную безопасность операционную систему. «Но, как к тебе попал вирус-шифровальщик, если ты такой умный?» — спросит меня читатель. Каюсь, друзья.
Все выше перечисленные настройки были у меня сделаны. Но, я сам отключил всё примерно на пару часов. Мы с коллегами удаленно настраивали подключение к базе данных, которое никак не хотело устанавливаться.
В качестве тестового варианта было решено срочно использовать мой компьютер. Чтобы убедиться, что пакетам не мешают проходить антивирус, настройки сети, брандмауэр, я на время по быстрому удалил антивирус, отключил контроль учетных записей. Всего навсего. Что из этого вышло читайте ниже.
Когда вирус шифровальщик попал на компьютер, — что делать?
Хоть это и не просто, для начала постараться не паниковать. Злоумышленник не может знать содержимое Вашего компьютера. Он действует вслепую. Шифруется не все. Например, программы и приложения обычно не шифруются. Архивы *.rar и *.7zip — тоже нет. попробуйте открыть архив. Если он открылся — это хорошо.
Когда обнаружил «сюрприз», начал догадываться я, что «попал». Я ведь знал, что делал… Для начала поставил антивирус обратно. В удрученном состоянии снова включил контроль учетных записей «на всю», и запустил на ночь сканирование системного раздела С:, на котором установлена Windows.
Нужно было выцепить зараженный файл. Если этого не сделать, толку не будет. Все опять зашифруется. Так что сначала лечим компьютер.
По возможности запускайте проверку всего компьютера через бесплатный лайф-диск от Dr Web или аналогичной бесплатной утилитой от Касперского Kspersky Resque Disk 10.
Утром в карантине моего антивируса были найдены вот такие «монстры»:
Всего три, бывало и хуже. Но эти три зашифровали все мое добро. Что делаем дальше? Если была настроена архивация, надо после лечения просто восстановить файлы из архива, и всё. Я и полез в архив, где у меня было настроено ежедневное резервное копирование моих файлов за несколько месяцев.
Открыв его я увидел, что все архивы за все даты так же убиты. Список пуст. Почему так произошло?
Вирусы умнеют. Я ведь сам отключал контроль учетных записей, после того как удалил антивирус. …….Первое, что сделал вирус после этого — обрадовался и удалил все файлы резервных копий. А я с этого момента начал постепенно впадать в уныние…
Второе, что надо сделать (подумал я), это восстановить файлы из теневой копии диска C:. Для этого я пользуюсь бесплатной программой для просмотра теневых копий диска ShadowCopyView_ru_64 или 32 разрядной версией . Она позволяет быстро визуально просмотреть и оценить содержимое теневых копий, а так же восстановить отдельные папки.
Когда я просмотрел последние снимки, обнаружилось, что остались только зашифрованные копии … Второе, что сделал вирус, это опять убил мои старые теневые копии защищенного тома, чтобы мне было интереснее…. А может, они затерлись последующими копиями…Финал…
Казалось бы все. Не все, друзья. Главное, не сдаваться.
Вирус зашифровал файлы на компьютере windows 10, что делать, как вылечить и как исправить?
Вот до чего наши «горе-хакеры» еще пока не успели добраться. Последняя линия обороны. Присутствует только в Windows10, не проверял еще, но думаю в «семерке»и «восьмерке» этой новой замечательной функции нет. Заметил ее недавно. Это действительно новая и замечательная функция. В поисковой строке бьем слово «восстановление»
В панели управления оснастка «восстановление файлов с помощью истории файлов»
Я обрадовался и сразу полез конечно же в «Документы» и «Рабочий стол».
И увидел, что файлы не зашифрованы. Ура! «Спасибо Зеленый Стрелочка! Процесс пошел. Файлы восстановлены. Компьютер вылечен от вирусов. Настройки безопасности сделаны. Что еще осталось сделать?
Надо еще удалить зашифрованные файлы. Мало ли что… Но их очень, очень много. Как их быстро найти и удалить? Я давно пользуюсь файловым менеджером Total Comander. На мой вкус — нет лучше. Тот, кто начинал с Far Manager меня поймет. Tonal умеет быстро искать файлы, и многое другое. Будем поочередно чистить диски.
Начнем с системного раздела, выберем его кликом мыши или из ниспадающего списка в левом верхнем углу:
Нажимаем на клавиатуре одновременно Alt + F7. Это мы вызвали панель поиска файлов.
Можно искать по имени. Можно как угодно. Но мы будем по маске.То есть Указываем через звездочку и точку расширение зашифрованного файла *.freefoam(у вас «автор» может быть другой, другим будет и расширение). Этим мы указали, что ВСЕ файлы с таким расширением нужно искать. Место поиска «С:». Можно так же и указать в этой панели все разделы, не только «С:». Нажимаем «Начать поиск».
Нажатием «звездочки» на боковой клавиатуре, выделяем розовым все файлы в панели. Чтобы удалить файлы в корзину нажимаем F8 или Del:
Вычистили как пылесосом весь оставшийся зашифрованный мусор. Пусть лежит в корзине пока. Потом удалю. Таким же образом я поочередно вычистил все разделы примерно минут за сорок. У меня много чего зашифровалось.
Но, мне повезло, потому что бывает и хуже. Эта новая функция меня буквально спасла. Не знаю точно, влияет ли включение теневых копий на эту новую функцию. Похоже что да, но я специально не проверял. Как то уже не хочется:)
Напишите, если в курсе. А выводы можно сделать такие. При наличии хорошего антивируса и правильной настройке операционной системы windows 10 можно утереть нос злоумышленнику и оставить его ни с чем. Пока, друзья.
Эти вирусы могут немного отличаться, но в целом, их действия всегда одни и те же:
- установиться на компьютер;
- зашифровать все файлы, которые могут иметь хоть какую-нибудь ценность (документы, фотографии);
- при попытке открыть эти файлы, требовать от пользователя внесения определенной суммы на кошелек или счет злоумышленника, иначе доступ к содержимому никогда не откроется.
Вирус зашифровал файлы в xtbl
В настоящее время получил достаточно большое распространение вирус, способный зашифровывать файлы и изменять их расширение на.xtbl, а так же заменять их название на совершенно случайные символы.
Кроме того, на видном месте создается специальный файл с инструкциями readme.txt . В нем, злоумышленник, ставит пользователя перед фактом того, что все его важные данные были зашифрованы и теперь их так просто не открыть, дополняя это тем, что для возвращения всего в прежнее состояние, необходимо выполнить определенные действия связанные с передачей денег мошеннику (обычно, перед этим необходимо отправить определенный код на один из предложенных адресов электронной почты). Часто такие послания еще дополняются припиской, что при попытке самостоятельно расшифровать все свои файлы, вы рискуете их навеки потерять.
К огромному сожалению, в данный момент, официально никто смог расшифровать.xtbl, если появится рабочий способ, мы обязательно об этом сообщим в статье. Среди пользователей есть те, у кого был подобный опыт с этим вирусом и они оплатили мошенникам нужную сумму, получив взамен расшифровку своих документов. Но это крайне рискованный шаг, ведь среди злоумышленников встречаются и те, кто особо не станет заморачиваться с обещанной дешифровкой, в итоге это будут деньги на ветер.
Что тогда делать, спросите вы? Предлагаем несколько советов, которые помогут вернуть все свои данные и при этом, вы не будете идти на поводу у мошенников и дарить им свои деньги. И так, что нужно сделать:
- Если умеете работать в Диспетчере задач, то немедленно прервите шифрование файлов, остановив подозрительный процесс. Одновременно с этим, отключите компьютер от интернета – многим шифровальщикам необходимо подключение к сети.
- Возьмите листочек и запишите на него код, предлагаемый для отправки на почту злоумышленникам (листочек потому, что файл, в который будете записывать так же может стать недоступным для чтения).
- При помощи антивирусных средств Malwarebytes Antimalware, пробного Антивируса Kaspersky IS или CureIt, удалить вредоносную программу. Для большей надежности, лучше последовательно воспользоваться всеми предложенными средствами. Хотя Антивирус Касперского можно не устанавливать, если в системе уже есть один основной антивирус, иначе могут возникнуть программные конфликты. Все остальные утилиты можете применять в любой ситуации.
- Подождать, пока одна из антивирусных компаний не разработает рабочий дешифратор для таких файлов. Оперативнее всего справляется Kaspersky Lab.
- Дополнительно, вы можете отправить на [email protected] копию файла, что был зашифрованн, с требуемым кодом и если есть, этот же файл в первоначальном виде. Вполне возможно, это может ускорить разработку метода дешифровки файлов.
Ни в коем случае не выполняйте:
- переименование этих документов;
- изменение их расширения;
- удаление файлов.
Эти троянские программы также занимаются шифрованием файлов пользователей с последующим вымогательством. При этом, у зашифрованных файлов могут быть следующие расширения:
- .locked
- .crypto
- .kraken
- .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
- .codercsu@gmail_com
- .oshit
- И другие.
К счастью, уже создана специальная утилита для расшифровки – RakhniDecryptor
. Скачать ее можно с официального сайта .
На этом же сайте можно ознакомиться с инструкцией, подробно и наглядно показывающей, как пользоваться утилитой для расшифровки всех файлов, над которыми поработал троян. В принципе, для большей надежности, стоит исключить пункт удаления зашифрованных файлов. Но скорее всего, что разработчики хорошо постарались над созданием утилиты и целостности данных ничего не угрожает.
Те, кто пользуется лицензионным антивирусом Dr.Web, имеют бесплатный доступ к расшифровке от разработчиков http://support.drweb.com/new/free_unlocker/.
Другие разновидности вирусов-шифровальщиков
Иногда могут попадаться и другие вирусы, шифрующие важные файлы и вымогающие оплату за возвращение всего в первоначальный вид. Предлагаем небольшой список с утилитами для борьбы с последствиями работы наиболее распространенных вирусов. Там же вы сможете ознакомиться с основными признаками, по которым можно отличить ту или иную троянскую программу.
Кроме того, хорошим способом будет сканирование своего ПК антивирусом Касперского, который обнаружит непрошеного гостя и присвоит ему название. По этому названию уже можно искать и дешифратор для него.
- Trojan-Ransom.Win32.Rector – типичный шифратор-вымогатель, который требует отправить смс или выполнить другие действия подобного рода, берем дешифратор по этой ссылке.
- Trojan-Ransom.Win32.Xorist – разновидность предыдущего трояна, дешифратор с руководством по его применению можете получить .
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – для этих ребят так же есть специальная утилита, смотрим по
Сегодня пользователям компьютеров и ноутбуков всё чаще приходится сталкиваться с вредоносными программами, подменяющими файлы их зашифрованными копиями. По сути, это вирусы. Одним из самых опасных в этой серии считается шифровальщик XTBL. Что собой представляет этот вредитель, как попадает в компьютер пользователя и можно ли восстановить повреждённую информацию?
Что собой представляет XTBL-шифровальщик и как попадает в компьютер
Если вы обнаружили у себя на компьютере или в ноутбуке файлы с длинным названием, имеющие расширение.xtbl, то можно с уверенностью утверждать, что в систему попал опасный вирус - XTBL-шифровальщик. Он поражает все версии ОС Windows. Самостоятельно расшифровать подобные файлы практически нереально, ведь программа использует гибридный режим, при котором подбор ключа просто невозможен.
Заражёнными файлами заполняются системные каталоги. Добавляются записи в реестр Windows, автоматически запускающие вирус при каждом старте ОС.
Шифруются практически все типы файлов - графические, текстовые, архивные, почтовые, видео, музыкальные и др. Работать в Windows становится невозможно.
Как это действует? Запущенный в Windows XTBL-шифровальщик вначале сканирует все логические диски. Сюда включаются облачные и сетевые хранилища, расположенные на компьютере. В результате файлы группируются по расширению и затем шифруются. Таким образом, вся ценная информация, размещённая в папках пользователя, становится недоступной.
Вот такую картину увидит пользователь вместо пиктограмм с наименованиями привычных файлов
Под воздействием XTBL-шифровальщика расширение файла изменяется. Теперь пользователь видит пиктограмму пустого листа и длинное название с окончанием.xtbl вместо изображения или текста в Word. Кроме того, на рабочем столе появляется сообщение, своего рода инструкция по восстановлению зашифрованной информации, требующая оплатить разблокировку. Это не что иное, как шантаж с требованием выкупа.
Такое сообщение высвечивается в окне «рабочего стола» компьютера
Распространение XTBL-шифровальщика обычно происходит через электронную почту. В письме содержатся вложенные файлы или документы, заражённые вирусом. Мошенник привлекает пользователя красочным заголовком. Всё делается для того, чтобы послание, в котором говорится, что вы, например, выиграли миллион, было открыто. Не реагируйте на подобные сообщения, иначе есть большой риск, что вирус окажется в вашей ОС.
Есть ли возможность восстановить информацию
Можно попытаться расшифровать информацию, воспользовавшись специальными утилитами. Однако нет никакой гарантии, что вы сможете избавиться от вируса и восстановить повреждённые файлы.
В настоящее время XTBL-шифровальщик представляет несомненную угрозу для всех компьютеров с установленной ОС Windows. Даже у признанных лидеров в борьбе с вирусами - Dr.Web и Лаборатории Касперского - нет 100% решения этого вопроса.
Удаление вируса и восстановление зашифрованных файлов
Есть разные методы и программы, позволяющие работать с XTBL-шифровальщиком. Одни удаляют сам вирус, другие пытаются расшифровать заблокированные файлы или восстановить их предыдущие копии.
Прерывание заражения компьютера
Если вам посчастливилось заметить начало появления на компьютере файлов с расширением.xtbl, то процесс дальнейшего заражения вполне реально прервать.
Kaspersky Virus Removal Tool для удаления XTBL-шифровальщика
Все подобные программы следует открывать в ОС, предварительно запущенной в безопасном режиме с вариантом загрузки сетевых драйверов. В этом случае вирус удалить гораздо проще, так как подключено минимальное число системных процессов, необходимых для запуска Windows.
Для загрузки безопасного режима в Window XP, 7 во время запуска системы постоянно нажимайте клавишу F8 и после появления окна меню выберите соответствующий пункт. При использовании Windows 8, 10 следует перезапустить ОС, удерживая клавишу Shift. В процессе запуска откроется окно, где можно будет выбрать необходимый вариант безопасной загрузки.
Выбор безопасного режима с загрузкой сетевых драйверов
Программа Kaspersky Virus Removal Tool прекрасно распознаёт XTBL-шифровальщик и удаляет этот тип вируса. Запустите проверку компьютера, нажав соответствующую кнопку после загрузки утилиты. По окончании сканирования удалите обнаруженные вредоносные файлы.
Запуск проверки компьютера на наличие в ОС Windows XTBL-шифровальщика с последующим удалением вируса
Утилита Dr.Web CureIt!
Алгоритм проверки и удаления вируса практически ничем не отличается от предыдущего варианта. Просканируйте с помощью утилиты все логические диски. Для этого достаточно лишь следовать командам программы после её запуска. По окончании процесса избавьтесь от заражённых файлов, нажав кнопку «Обезвредить».
Обезвреживание вредоносных файлов после проведения сканирования Windows
Malwarebytes Anti-malware
Программа осуществит поэтапную проверку вашего компьютера на наличие вредоносных кодов и уничтожит их.
- Установите и запустите утилиту Anti-malware.
- Выберите внизу открывшегося окна пункт «Запустить проверку».
- Дождитесь окончания процесса и отметьте галочками чекбоксы с заражёнными файлами.
- Удалите выбранное.
Удаление обнаруженных при проверке вредоносных файлов XTBL-шифровальщика
Онлайн-скрипт-дешифратор от Dr.Web
На официальном сайте Dr.Web в разделе поддержки есть вкладка с размещённым скриптом онлайн-расшифровки файлов. Следует учитывать, что воспользоваться дешифратором в режиме онлайн смогут только те пользователи, на компьютерах которых установлен антивирус этого разработчика.
Прочитайте инструкцию, заполните всё необходимое и нажмите кнопку «Отправить»
Утилита-дешифратор RectorDecryptor от Лаборатории Касперского
Расшифровкой файлов занимается и Лаборатория Касперского. На официальном сайте можно скачать утилиту RectorDecryptor.exe для версий Windows Vista, 7, 8, пройдя по ссылкам меню «Поддержка - Лечение и расшифровка файлов - RectorDecryptor - Как расшифровать файлы». Запустите программу, выполните проверку, после чего удалите зашифрованные файлы, выбрав соответствующий пункт.
Проверка и расшифровка файлов, заражённых XTBL-шифровальщиком
Восстановление зашифрованных файлов из резервной копии
Начиная с версии Windows 7 можно попытаться восстановить файлы из резервных копий.
ShadowExplorer для восстановления зашифрованных файлов
Программа представляет собой вариант portable, её можно загружать с любого носителя.
QPhotoRec
Программа специально создана для восстановления повреждённых и удалённых файлов. Используя встроенные алгоритмы, утилита находит и возвращает к исходному состоянию всю потерянную информацию.
Программа QPhotoRec является бесплатной.
К сожалению, есть только англоязычная версия QPhotoRec, но разобраться в настройках совсем несложно, интерфейс интуитивно понятен.
- Запустите программу.
- Отметьте логические диски с зашифрованной информацией.
- Нажмите кнопку File Formats и OK.
- Выберите с помощью кнопки Browse, расположенной в нижней части открытого окна, место сохранения файлов и запустите процедуру восстановления, нажав Search.
QPhotoRec восстанавливает файлы, удалённые XTBL-шифровальщиком и заменённые на собственные копии
Как расшифровать файлы - видео
Чего не следует делать
- Никогда не предпринимайте действий, в которых не вполне уверены. Лучше пригласите специалиста из сервисного центра или же сами отвезите туда компьютер.
- Не открывайте сообщения Email от неизвестных отправителей.
- Ни в коем случае не идите на поводу у злоумышленников-шантажистов, соглашаясь перечислить им деньги. Результата это, скорее всего, не даст.
- Не переименовывайте вручную расширения зашифрованных файлов и не спешите переустанавливать Windows. Возможно, получится найти решение, которое исправит ситуацию.
Профилактика
Постарайтесь установить надёжную защиту от проникновения на ваш компьютер XTBL-шифровальщика и подобных вирусов-вымогателей. К таким программам относятся:
- Malwarebytes Anti-Ransomware;
- BitDefender Anti-Ransomware;
- WinAntiRansom;
- CryptoPrevent.
Несмотря на то что все они являются англоязычными, работать с такими утилитами достаточно просто. Запустите программу и выберите в настройках уровень защиты.
Запуск программы и выбор уровня защиты
Если вам пришлось столкнуться с вирусом-вымогателем, шифрующим файлы на компьютере, то, конечно, не стоит сразу отчаиваться. Попробуйте использовать предложенные методы восстановления испорченной информации. Зачастую это даёт положительный результат. Не применяйте для удаления шифровальщика XTBL непроверенные программы неизвестных разработчиков. Ведь это может только усугубить ситуацию. По возможности установите на ПК одну из программ, предотвращающих работу вируса, и проводите постоянное плановое сканирование Windows на наличие вредоносных процессов.
