Instalace a konfigurace

Jak vyléčit počítač z ransomwarového viru. Jak odstranit soubory šifrující virus a dešifrovat soubory. Co dělat, aby nedošlo k zachycení viru ransomware

Počet virů v jejich obvyklém smyslu je stále méně a důvodem jsou bezplatné antiviry, které dobře fungují a chrání počítače uživatelů. Současně ne každému záleží na zabezpečení jejich dat a riskují, že se nakazí nejen škodlivými programy, ale také standardními viry, mezi nimiž zůstává nejrozšířenější Trojan. Může se projevovat různými způsoby, ale jedním z nejnebezpečnějších je šifrování souborů. Pokud má virus v počítači zašifrované soubory, není pravda, že data vrátí, ale existují některé účinné metody, o nichž bude pojednáno níže.

Šifrovací virus: co to je a jak to funguje

Na webu jsou stovky virů, které šifrují soubory. Jejich akce vedou k jednomu následku - uživatelská data v počítači obdrží neznámý formát, který nelze otevřít pomocí standardních programů. Zde jsou jen některé z formátů, ve kterých lze data v počítači šifrovat v důsledku virů: .locked, .xtbl, .kraken, .cbf, .oshit a mnoho dalších. V některých případech je e-mailová adresa tvůrců virů zapsána přímo do přípony souboru.

Mezi nejčastější viry, které šifrují soubory, patří Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni... Mají mnoho podob a virus nemusí nést ani jméno Trojan (například CryptoLocker), ale jejich akce jsou prakticky stejné. Pravidelně jsou vydávány nové verze šifrovacích virů, které vývojářům antivirového softwaru ztěžují práci s novými formáty.

Pokud šifrovací virus pronikl do počítače, pak se to jistě projeví nejen blokováním souborů, ale také nabídkou uživateli za poplatek je odblokovat. Na obrazovce se může objevit banner, na který bude napsán, kde potřebujete převést peníze, abyste mohli odstranit zámek ze souborů. Pokud se takový banner neobjeví, měli byste hledat „dopis“ od vývojářů viru na ploše, takový soubor se ve většině případů nazývá ReadMe.txt.

Míra dešifrování souborů se může lišit v závislosti na vývojářích virů. Zároveň to není ani zdaleka tak, že při zasílání peněz tvůrcům viru pošlou zpět odemykací metodu. Ve většině případů peníze nikam nevedou a uživatel počítače neobdrží dešifrovací metodu.

Jakmile se virus objeví ve vašem počítači a na obrazovce se zobrazí kód, který je třeba odeslat na konkrétní adresu, aby bylo možné získat decryptor, neměli byste to dělat. Nejprve tento kód zkopírujte na kousek papíru, protože nově vytvořený soubor může být také zašifrován. Poté můžete zavřít informace od vývojářů viru a pokusit se najít na internetu způsob, jak se ve vašem konkrétním případě zbavit šifrování souborů. Níže uvádíme hlavní programy, které vám umožňují odstranit viry a dešifrovat soubory, ale nelze je nazvat univerzálními, a tvůrci antivirového softwaru pravidelně rozšiřují seznam řešení.

Zbavit se viru, který šifruje soubory, je pomocí bezplatných verzí antivirového softwaru docela snadné. Tři bezplatné programy se dobře vyrovnávají s viry, které šifrují soubory:

  • Malwarebytes Antimalware;
  • Dr.Web Cure It;
  • Kaspersky Internet Security.

Aplikace uvedené výše jsou zcela bezplatnou nebo zkušební verzí. Po skenování systému pomocí Malwarebytes Antimalware doporučujeme použít řešení od Dr.Web nebo Kespersky. Ještě jednou vám připomínáme, že se nedoporučuje instalovat na počítač 2 nebo více antivirů současně, proto před instalací každého nového řešení musíte odstranit předchozí.

Jak jsme si poznamenali výše, ideálním řešením problému v této situaci by byl výběr pokynů, které vám umožní konkrétně vyřešit váš problém. Tyto pokyny jsou nejčastěji zveřejňovány na webových stránkách vývojářů antivirových programů. Níže uvádíme několik aktuálních antivirových nástrojů, které si poradí s různými typy trojských koní a dalšími typy ransomwaru.


Výše uvedené je jen malá část antivirových nástrojů, které mohou dešifrovat infikované soubory. Stojí za zmínku, že pokud se pokusíte data zkusit získat zpět, budou naopak navždy ztracena - neměli byste to dělat.

V poslední době došlo k prudkému nárůstu aktivity nové generace škodlivých počítačových programů. Objevily se už dávno (před 6 - 8 lety), ale tempo jejich implementace dosáhlo svého maxima právě teď. Stále více se můžete setkat s tím, že soubory šifrované virem.

Je již známo, že se nejedná pouze o primitivní malware (způsobující vzhled modré obrazovky), ale o závažné programy, jejichž cílem je zpravidla poškodit účetní data. Šifrují všechny dostupné soubory, které jsou na dosah, včetně 1C účetních dat, docx, xlsx, jpg, doc, xls, pdf, zip.

Zvláštní nebezpečí dotyčných virů

Spočívá v tom, že v tomto případě je použit klíč RSA, který je vázán na počítač konkrétního uživatele, což je důvod, proč univerzální decryptor ( decryptor) není přítomen. Viry aktivované v jednom z počítačů nemusí fungovat v jiném.

Nebezpečí také spočívá v tom, že již více než rok byly na internet zveřejněny hotové programy pro stavitele, které umožňují i \u200b\u200bkulkhackerům takový virus vyvinout (jednotlivci, kteří se považují za hackery, ale programování neštudují).

Nyní se objevily výkonnější úpravy.

Jak je tento malware injektován

Virus se zasílá účelně, zpravidla do účetního oddělení společnosti. Nejprve se e-maily shromažďují z oddělení lidských zdrojů, účetních oddělení z databází, jako je například hh.ru. Poté jsou dopisy odeslány. Nejčastěji obsahují žádost o přijetí na určitou pozici. Na takový dopis s životopisem, uvnitř kterého je skutečný dokument s implantovaným objektem OLE (soubor PDF s virem).

V situacích, kdy účetní oddělení tento dokument okamžitě spustilo, došlo po restartu k následujícímu: virus přejmenoval a zašifroval soubory a poté se sám zničil.

Tento druh dopisu je zpravidla adekvátně psán a odesílán z nevyžádané poštovní schránky (jméno odpovídá podpisu). Volné místo je vždy požadováno na základě hlavní činnosti společnosti, takže nevznikají žádné podezření.

Počítač v tomto případě nemůže chránit ani licencovaný „Kaspersky“ (antivirový program) ani „Virus Total“ (online služba pro kontrolu příloh na přítomnost virů). Některé antivirové programy občas při skenování zveřejní, že příloha obsahuje Gen: Variant.Zusy.71505.

Jak se mohu vyhnout tomuto viru?

Každý přijatý soubor by měl být zkontrolován. Zvláštní pozornost je věnována dokumentům Word, které mají vložené soubory PDF.

Varianty „infikovaných“ e-mailů

Je jich spousta. Nejběžnější možnosti, jak jsou soubory šifrované virem uvedeny níže. Ve všech případech jsou následující dokumenty přijímány e-mailem:

  1. Oznámení o zahájení procesu posuzování žaloby podané na konkrétní společnost (dopis navrhuje zkontrolovat údaje kliknutím na uvedený odkaz).
  2. Dopis Nejvyššího rozhodčího soudu Ruské federace o vymáhání pohledávek.
  3. Zpráva od Sberbank týkající se zvýšení stávajícího dluhu.
  4. Oznámení o opravě narušení provozu.
  5. Dopis inkasní agentury uvádějící maximální možné zpoždění platby.

Oznámení o šifrování souborů

Po infekci se objeví v kořenové složce jednotky C. Někdy jsou soubory typu CHTO_DOE.txt, CONTACT.txt umístěny do všech adresářů s poškozeným textem. Tam je uživatel informován o šifrování svých souborů, které se provádí pomocí spolehlivých kryptografických algoritmů. A je také varován před neodborností používání nástrojů třetích stran, protože to může vést k trvalému poškození souborů, což zase povede k nemožnosti jejich následného dešifrování.

Oznámení doporučuje ponechat počítač beze změny. Udává dobu uložení poskytnutého klíče (zpravidla jsou to 2 dny). Je stanoveno přesné datum, po kterém bude jakýkoli druh odvolání ignorován.

Na konci je uveden e-mail. Rovněž říká, že uživatel musí poskytnout své ID a že některá z následujících akcí může vést k odstranění klíče, a to:

Jak dešifrovat soubory šifrované virem?

Tento druh šifrování je velmi silný: souboru je přiřazeno takové rozšíření, jako je perfect, nochance atd. Je prostě nemožné ho prolomit, ale můžete se pokusit připojit kryptanalytiky a najít mezeru (v některých situacích vám pomůže Dr. WEB).

Existuje ještě 1 způsob, jak obnovit soubory šifrované virem, ale nefunguje to u všech virů, navíc budete muset vytáhnout původní soubor exe spolu s tímto škodlivým programem, což po sebezničení není snadné.

Žádost viru týkající se zavedení zvláštního kódu je nepodstatná kontrola, protože soubor již v tuto chvíli obsahuje dešifrování (kód od takřka vetřelců nebude vyžadován). Podstatou této metody je zadávání prázdných příkazů do proniklého viru (na místě porovnání zadaného kódu). Ve výsledku začne škodlivý program dešifrovat soubory a tím je zcela obnoví.

Každý jednotlivý virus má svou vlastní speciální funkci šifrování, což znamená, že nelze dešifrovat spustitelný soubor jiného výrobce (soubor ve formátu exe), nebo se můžete pokusit vybrat výše uvedenou funkci, u které musíte provést všechny akce na WinAPI.

soubory: co dělat?

K provedení dešifrování budete potřebovat:

Jak zabránit ztrátě dat v důsledku příslušného malwaru?

Stojí za to vědět, že v situaci, kdy virus zašifroval soubory, bude jejich dešifrování nějakou dobu trvat. Důležitým bodem je, že ve výše uvedeném malwaru je chyba, která umožňuje uložit některé soubory, pokud rychle vypnete počítač (vytáhnete zástrčku, vypnete přepěťovou ochranu, vyjmete baterii v případě notebooku), jakmile se objeví velké množství souborů s dříve určenou příponou ...

Ještě jednou je třeba zdůraznit, že hlavní je neustále vytvářet zálohu, ale ne do jiné složky, ne na vyměnitelné médium vložené do počítače, protože tato úprava viru se dostane i na tato místa. Stojí za to ukládat zálohy na jiný počítač, na pevný disk, který není trvale připojen k počítači, a do cloudu.

S podezřením je třeba zacházet se všemi dokumenty, které přicházejí na poštu od neznámých osob (ve formě životopisu, faktury, usnesení Nejvyššího rozhodčího soudu Ruské federace nebo daňových úřadů atd.). Nemusíte je spouštět na svém počítači (pro tento účel si můžete vybrat netbook, který neobsahuje důležitá data).

Škodlivý program * [chráněno e-mailem]: jak eliminovat

V situaci, kdy výše uvedené soubory šifrované virem cbf, doc, jpg atd., Existují pouze tři možnosti pro vývoj události:

  1. Nejjednodušší způsob, jak se toho zbavit, je smazat všechny infikované soubory (to je přijatelné, pokud data nejsou velmi důležitá).
  2. Přejděte do laboratoře antivirového programu, například Dr. WEB. Je povinné zaslat vývojářům několik infikovaných souborů spolu s dešifrovacím klíčem, který je v počítači umístěn jako KEY.PRIVATE.
  3. Nejdražší způsob. Zahrnuje zaplacení částky požadované hackery za dešifrování infikovaných souborů. Cena této služby se zpravidla pohybuje v rozmezí 200 - 500 USD. To je přijatelné v situaci, kdy virus zašifroval soubory velké společnosti, ve které proudí významný denní tok informací, a tento malware může během několika sekund způsobit obrovské škody. Platba je tedy nejrychlejší způsob, jak obnovit infikované soubory.

Někdy je účinná i další možnost. V případě, že soubory šifrované virem ( [chráněno e-mailem]_com nebo jiný malware) může pomoci před několika dny.

Dekódovací program RectorDecryptor

Pokud virus šifruje soubory jpg, doc, cbf atd., Pak vám může pomoci speciální program. Chcete-li to provést, musíte nejprve spustit a deaktivovat vše kromě antiviru. Dále musíte restartovat počítač. Zobrazit všechny soubory, zvýraznit podezřelé. Pole s názvem „Příkaz“ označuje umístění konkrétního souboru (je třeba věnovat pozornost aplikacím, které nemají podpis: výrobce - žádná data).

Všechny podezřelé soubory musí být odstraněny, poté budete muset vyčistit mezipaměti prohlížeče, dočasné složky (program CCleaner je k tomu vhodný).

Chcete-li zahájit dešifrování, musíte si stáhnout výše uvedený program. Poté jej spusťte a klikněte na tlačítko „Spustit skenování“ označující upravené soubory a jejich příponu. V moderních verzích tohoto programu můžete určit pouze infikovaný soubor a kliknout na tlačítko „Otevřít“. Soubory budou poté dešifrovány.

Následně nástroj automaticky zkontroluje všechna data počítače, včetně souborů na namapované síťové jednotce, a dešifruje je. Tento proces obnovy může trvat několik hodin (v závislosti na množství práce a rychlosti počítače).

Ve výsledku bude každý dešifrován do stejného adresáře, kde byl původně. Nakonec zbývá jen smazat všechny existující soubory s podezřelou příponou, u které můžete zaškrtnout políčko „Smazat šifrované soubory po úspěšném dešifrování“ kliknutím na tlačítko „Změnit nastavení skenování“. Je však lepší jej neinstalovat, protože v případě neúspěšného dešifrování souborů mohou být odstraněny a později je budete muset nejprve obnovit.

Pokud tedy virus zašifroval soubory doc, cbf, jpg atd., Neměli byste spěchat s platbou za kód. Možná nebude potřebný.

Nuance mazání šifrovaných souborů

Při pokusu o odstranění všech poškozených souborů pomocí standardního vyhledávání a následného odstranění může počítač zamrznout a zpomalit. V tomto ohledu stojí za to použít tento postup. Po jeho spuštění musíte zadat následující: del «<диск>:\*.<расширение зараженного файла>"/ F / s.

Nezapomeňte smazat soubory, například „Read-me.txt“, pro které ve stejném příkazovém řádku zadejte: del.<диск>:\*.<имя файла>"/ F / s.

Lze tedy poznamenat, že pokud virus přejmenoval a zašifroval soubory, neměli byste okamžitě utrácet peníze za nákup klíče od útočníků, nejprve byste se měli pokusit problém vyřešit sami. Lepší je investovat do nákupu speciálního programu na dešifrování poškozených souborů.

Nakonec stojí za připomenutí, že tento článek se zabýval otázkou, jak dešifrovat soubory šifrované virem.

Kryptolockery jsou rodina škodlivých programů, které pomocí různých šifrovacích algoritmů blokují přístup uživatelů k souborům v počítači (například cbf, chipdale, just, foxmail inbox com, watnik91 aol com atd.).

Virus obvykle šifruje oblíbené typy uživatelských souborů: dokumenty, tabulky, databáze 1C, všechna datová pole, fotografie atd. Dešifrování souborů je nabízeno za peníze - tvůrci vyžadují převod určité částky, obvykle v bitcoinech. A v případě, že organizace nepřijala náležitá opatření k zajištění bezpečnosti důležitých informací, může se přenos požadované částky na útočníky stát jediným způsobem, jak obnovit výkon společnosti.

Virus se ve většině případů šíří prostřednictvím e-mailu a maskuje se jako zcela obyčejné dopisy: oznámení od daňového úřadu, úkony a smlouvy, informace o nákupech atd. Stažením a otevřením takového souboru uživatel, aniž by si to uvědomil, spustí škodlivý kód. Virus postupně šifruje požadované soubory a také odstraňuje původní kopie pomocí zaručených metod ničení (aby uživatel nemohl obnovit nedávno odstraněné soubory pomocí speciálních nástrojů).

Moderní ransomware

Šifrování ransomware a další viry, které blokují přístup uživatelů k datům, nejsou novým problémem v oblasti zabezpečení informací. První verze se objevily již v 90. letech, ale hlavně používaly buď „slabé“ (nestabilní algoritmy, malá velikost klíče) nebo symetrické šifrování (soubory od velkého počtu obětí byly zašifrovány jedním klíčem, klíč bylo možné obnovit také prozkoumáním virového kódu ), nebo dokonce vymysleli své vlastní algoritmy. Moderní kopie takové nevýhody postrádají, útočníci používají hybridní šifrování: pomocí symetrických algoritmů je obsah souborů šifrován velmi vysokou rychlostí a šifrovací klíč je šifrován asymetrickým algoritmem. To znamená, že k dešifrování souborů potřebujete klíč, který vlastní pouze útočník; nelze jej najít ve zdrojovém kódu programu. Například CryptoLocker používá RSA s 2048bitovým klíčem v kombinaci se symetrickým AES s 256bitovým klíčem. Tyto algoritmy jsou v současné době uznávány jako kryptograficky silné.

Počítač je napaden virem. Co dělat?

Je třeba mít na paměti, že i když šifrovací viry používají moderní šifrovací algoritmy, nejsou schopny okamžitě zašifrovat všechny soubory v počítači. Šifrování je sekvenční, rychlost závisí na velikosti šifrovaných souborů. Proto pokud v průběhu práce zjistíte, že se známé soubory a programy přestaly správně otevírat, měli byste okamžitě přestat pracovat na počítači a vypnout jej. Některé soubory tak můžete chránit před šifrováním.

Jakmile narazíte na problém, prvním krokem je zbavit se samotného viru. Nebudeme se tím podrobně zabývat, stačí se pokusit vyléčit počítač pomocí antivirových programů nebo virus odstranit ručně. Je třeba jen poznamenat, že virus se často samodestruuje po dokončení šifrovacího algoritmu, což ztěžuje dešifrování souborů bez žádosti o pomoc od počítačových zločinců. V takovém případě nemusí antivirový program nic detekovat.

Hlavní otázkou je, jak obnovit šifrovaná data? Obnova souborů po ransomwarovém viru je bohužel téměř nemožná. Přinejmenším nikdo nezaručí úplné obnovení dat v případě úspěšné infekce. Mnoho prodejců antivirových programů nabízí pomoc při dešifrování souborů. K tomu je třeba zaslat zašifrovaný soubor a další informace (soubor s kontakty útočníků, veřejný klíč) prostřednictvím speciálních formulářů zveřejněných na webových stránkách výrobců. Existuje malá šance, že byl nalezen způsob, jak se vypořádat s konkrétním virem a vaše soubory budou úspěšně dešifrovány.

Zkuste použít nástroje k obnovení smazaných souborů. Virus možná nepoužíval zaručené metody zničení a některé soubory lze obnovit (to může fungovat zejména u velkých souborů, například u souborů o několika desítkách gigabajtů). Existuje také možnost obnovit soubory ze stínových kopií. Při použití nástroje Obnovení systému Windows vytvoří snímky („snímky“), které mohou obsahovat data souboru v době vytvoření bodu obnovení.

Pokud byla vaše data šifrována v cloudových službách, obraťte se na technickou podporu nebo prozkoumejte možnosti služby, kterou používáte: ve většině případů tyto služby poskytují funkci „vrácení zpět“ předchozím verzím souborů, takže je lze obnovit.

Důrazně vás od toho nedoporučujeme nechat se vést ransomwarem a platit za dešifrování. Existovaly případy, kdy lidé dávali peníze, ale klíče nedostali. Nikdo nezaručuje, že útočníci po obdržení peněz skutečně zašlou šifrovací klíč a vy budete moci soubory obnovit.

Jak se chránit před ransomwarovým virem. Preventivní opatření

Je snazší zabránit nebezpečným následkům, než je opravit:

  • Používejte spolehlivé antivirové nástroje a pravidelně aktualizujte antivirové databáze. Zní to hrozně, ale výrazně to sníží pravděpodobnost úspěšné injekce viru do vašeho počítače.
  • Uchovávejte zálohy svých dat.

To se nejlépe provádí pomocí specializovaných zálohovacích nástrojů. Většina kryptolockerů je schopna šifrovat také zálohy, takže má smysl ukládat zálohy na jiné počítače (například na servery) nebo na odcizená média.

Omezte práva na úpravy souborů v záložních složkách a povolte pouze zápis po zápisu. Kromě důsledků ransomwaru neutralizují zálohovací systémy mnoho dalších hrozeb spojených se ztrátou dat. Šíření viru opět ukazuje důležitost a důležitost používání těchto systémů. Obnova dat je mnohem jednodušší než dešifrování!

  • Omezte programovací prostředí v doméně.

Dalším účinným způsobem boje je omezení spouštění některých potenciálně nebezpečných typů souborů, například s příponami .js, .cmd, .bat, .vba, .ps1 atd. To lze provést pomocí nástroje AppLocker (v Enterprise- revize) nebo zásady SRP centrálně v doméně. Na internetu je několik velmi podrobných průvodců, jak to udělat. Ve většině případů uživatel nemusí používat výše uvedené soubory skriptů a ransomware bude mít menší šanci na úspěšné nasazení.

  • Buď opatrný.

Všímavost je jednou z nejúčinnějších metod prevence ohrožení. Buďte podezřelí z každého e-mailu, který obdržíte od neznámých osob. Nepokoušejte se otevřít všechny přílohy, pokud máte pochybnosti, je lepší se zeptat správce.

Alexander Vlasov, Vedoucí inženýr oddělení implementace systémů informační bezpečnosti, SKB Kontur

Existuje široká škála škodlivých programů. Mezi nimi jsou extrémně ošklivé ransomwarové viry, které jakmile v počítači začnou šifrovat soubory uživatelů. V některých případech existuje velká šance na dešifrování souborů, ale někdy to nefunguje. Zvažujeme všechna nezbytná opatření, a to jak pro první, tak pro druhý případ, v případech, kdy.

Tyto viry se mohou mírně lišit, ale obecně jsou jejich akce vždy stejné:

  • nainstalovat do počítače;
  • zašifrovat všechny soubory, které mohou mít jakoukoli hodnotu (dokumenty, fotografie);
  • při pokusu o otevření těchto souborů požadujte, aby uživatel vložil určitou částku do peněženky nebo účtu útočníka, jinak nebude přístup k obsahu nikdy otevřen.

Virově šifrované soubory v xtbl

V současné době se virus rozšířil natolik, že dokáže šifrovat soubory, změnit jejich příponu na .xtbl a nahradit jejich jméno zcela náhodnými znaky.

Kromě toho je na prominentním místě vytvořen speciální soubor s pokyny. readme.txt... Útočník v něm konfrontuje uživatele se skutečností, že všechna jeho důležitá data byla zašifrována a nyní není tak snadné je otevřít, což doplňuje skutečností, že aby se vše vrátilo do předchozího stavu, je nutné provést určité akce související s převodem peněz podvodníkovi (obvykle předtím musíte zaslat konkrétní kód na jednu z navrhovaných e-mailových adres). Často jsou takové zprávy doplněny postscriptem, že při pokusu o dešifrování všech souborů sami riskujete, že je navždy ztratíte.

Bohužel v tuto chvíli oficiálně nikdo nebyl schopen dešifrovat .xtbl, pokud se objeví pracovní metoda, určitě o tom budeme informovat v článku. Mezi uživateli jsou ti, kteří měli podobné zkušenosti s tímto virem a zaplatili podvodníkům požadovanou částku a na oplátku dostali dešifrování jejich dokumentů. Jedná se ale o extrémně riskantní krok, protože mezi kyberzločinci jsou i takoví, kteří se slíbeným dešifrováním nijak zvlášť netrápí, nakonec z toho budou peníze.

Co tedy děláš, ptáš se? Nabízíme několik tipů, které vám pomohou získat zpět všechna svá data, a zároveň vás podvodníci nebudou vést a dáváte jim své peníze. Co je tedy třeba udělat:

  1. Pokud víte, jak pracovat ve Správci úloh, okamžitě přerušte šifrování souborů a zastavte podezřelý proces. Zároveň odpojte počítač od Internetu - mnoho ransomwaru vyžaduje připojení k síti.
  2. Vezměte si kousek papíru a napište na něj kód, který se nabízí k zaslání útočníkům poštou (kousek papíru, protože soubor, do kterého budete psát, se také může stát nepřístupným pro čtení).
  3. K odstranění škodlivého softwaru použijte Malwarebytes Antimalware, zkušební verzi Kaspersky IS nebo CureIt Antivirus. Pro větší spolehlivost je lepší důsledně využívat všechny navrhované prostředky. Přestože aplikaci Kaspersky Anti-Virus nelze nainstalovat, pokud systém již má jeden hlavní antivirový program, mohlo by dojít ke konfliktu softwaru. Všechny ostatní nástroje lze použít v jakékoli situaci.
  4. Počkejte, až některá z antivirových společností pro tyto soubory vyvinula funkční dešifrování. Nejúčinnějším způsobem, jak toho dosáhnout, je společnost Kaspersky Lab.
  5. Dále můžete odeslat na adresu [chráněno e-mailem] kopie souboru, který byl zašifrován požadovaným kódem, a pokud existuje, stejný soubor v původní podobě. Je docela možné, že to může urychlit vývoj metody pro dešifrování souborů.

Za žádných okolností nedělejte:

  • přejmenování těchto dokumentů;
  • změna jejich rozšíření;
  • mazání souborů.

Tyto trojské koně také šifrují uživatelské soubory a poté je vykupují. Zároveň mohou mít šifrované soubory následující přípony:

  • .zamčeno
  • . krypto
  • .prasklý
  • .AES256 (nemusí to být nutně tento trojský kůň, existují i \u200b\u200bjiné, které instalují stejnou příponu).
  • [chráněno e-mailem]_com
  • . hovno
  • Jiný.

Naštěstí již byl vytvořen specializovaný dešifrovací nástroj - RakhniDecryptor... Můžete si jej stáhnout z oficiálních webových stránek.

Na stejném webu si můžete přečíst pokyny, které podrobně a jasně ukazují, jak pomocí nástroje dešifrovat všechny soubory, na kterých trojský kůň pracoval. V zásadě pro větší spolehlivost stojí za to vyloučit položku pro mazání šifrovaných souborů. Ale s největší pravděpodobností se vývojáři snažili vytvořit tento nástroj a nic neohrožovalo integritu dat.

Ti, kteří používají licencovaný antivirový program Dr.Web, mají bezplatný přístup k dešifrování od vývojářů http://support.drweb.com/new/free_unlocker/.

Jiné typy ransomwarových virů

Někdy se můžete setkat s jinými viry, které šifrují důležité soubory a požadují platbu za vrácení všeho do původní podoby. Nabízíme malý seznam s nástroji pro řešení následků nejčastějších virů. Zde se také můžete seznámit s hlavními funkcemi, pomocí kterých můžete rozlišit jeden nebo jiný trojský program.

Dobrým způsobem by navíc bylo skenovat počítač pomocí aplikace Kaspersky Anti-Virus, která detekuje nezvaného hosta a přiřadí mu jméno. Pod tímto názvem již můžete hledat dekodér.

  • Trojan-Ransom.Win32.Rector - typický scrambler ransomware, který vyžaduje, abyste odeslali SMS nebo provedli jiné akce tohoto druhu, vezmeme decryptor z tohoto odkazu.
  • Trojan-Ransom.Win32.Xorist - varianta předchozího trojského koně, můžete získat dekodér s příručkou pro jeho použití.
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - pro tyto lidi existuje také speciální nástroj, viz odkaz.
  • Trojan.Encoder858, Trojan.Encoder.741 - tyto malware lze zjistit pomocí nástroje CureIt. Mají podobná jména, ale čísla na konci jména se mohou lišit. Hledáme dekodér podle názvu viru, nebo pokud používáte licencovaný Dr.Web, můžete použít speciální prostředek.
  • CryptoLacker - Chcete-li získat své soubory zpět, navštivte tento web a prostřednictvím něj vygenerujte speciální program pro obnovení vašich dokumentů.

Nedávno společnost Kaspersky Lab ve spolupráci se svými kolegy z Nizozemska vytvořila dešifrování, které vám umožní obnovit soubory poté, co na ně virus pracoval. CoinVault.

V komentářích můžete sdílet své vlastní metody pro dešifrování souborů, protože tyto informace budou užitečné pro ostatní uživatele, kteří se mohou s takovým škodlivým softwarem setkat.

Hackeři ransomwaru jsou velmi podobní běžným vydírání. V reálném světě i v kybernetickém prostředí existuje jediný nebo skupinový cíl útoku. Je odcizen nebo znepřístupněn. Poté zločinci k vyjádření svých požadavků používají určité prostředky komunikace s oběťmi. Počítačoví podvodníci obvykle volí pro výkupné pouze několik formátů, ale jeho kopie lze najít téměř v jakékoli části paměti infikovaného systému. V případě rodiny spywarů známých jako Troldesh nebo Shade používají podvodníci při kontaktu s obětí zvláštní přístup.

Podívejme se blíže na tento kmen viru ransomware, který je zaměřen na rusky mluvící publikum. Většina podobných infekcí určuje rozložení kláves na napadeném počítači a pokud je jedním z jazyků ruština, invaze se zastaví. Nicméně, ransomware virus XTBL nesrozumitelný: bohužel pro uživatele se útok odehrává bez ohledu na jejich geografickou polohu nebo jazykové preference. Živým ztělesněním této všestrannosti je varování, které se objeví v podobě pozadí plochy, stejně jako soubor TXT s pokyny k zaplacení výkupného.

Virus XTBL se obvykle šíří prostřednictvím spamu. Zprávy připomínají dopisy od známých značek nebo jsou jednoduše do očí bijící, protože subjekt zprávy používá výrazy jako „Naléhavé!“ nebo „Důležité finanční dokumenty“. Phishingový trik bude fungovat, když bude příjemcem takového e-mailu. zprávy stáhnou soubor ZIP obsahující kód JavaScript nebo objekt Docm s potenciálně zranitelným makrem.

Po provedení základního algoritmu na napadeném počítači ransomwarový trojský kůň pokračuje v hledání dat, která mohou mít pro uživatele hodnotu. Za tímto účelem virus skenuje místní a externí paměť a současně porovnává každý soubor se sadou formátů vybraných na základě přípony objektu. Všechny soubory .jpg, .wav, .doc, .xls a mnoho dalších objektů jsou šifrovány pomocí symetrického blokového krypto-algoritmu AES-256.

Existují dva aspekty tohoto škodlivého účinku. Nejprve uživatel ztratí přístup k důležitým datům. Názvy souborů jsou navíc hluboce zakódovány, což má za následek nesmyslnou sadu hexadecimálních znaků. Vše, co spojuje názvy infikovaných souborů, je přípona xtbl, která je k nim přidána, tj. název kybernetické hrozby. Názvy šifrovaných souborů mají někdy speciální formát. V některých verzích Troldesh mohou názvy šifrovaných objektů zůstat nezměněny a na konec je přidán jedinečný kód: [chráněno e-mailem], [chráněno e-mailem]nebo [chráněno e-mailem]

Je zřejmé, že útočníci vkládáním e-mailových adres. e-maily přímo do názvů souborů, označují způsob komunikace s oběťmi. E-mail je uveden také jinde, konkrétně výkupné, které je obsaženo v souboru „Readme.txt“. Takové dokumenty v Poznámkovém bloku se objeví na ploše i ve všech zakódovaných datových složkách. Klíčová zpráva je:

"Všechny soubory byly zašifrovány." Chcete-li je dešifrovat, musíte odeslat kód: [váš jedinečný kód] na vaši e-mailovou adresu [chráněno e-mailem] nebo [chráněno e-mailem] Dále obdržíte všechny potřebné pokyny. Pokusy o vlastní dešifrování nepovedou k ničemu jinému než k neodvolatelné ztrátě informací “

E-mailová adresa se může změnit v závislosti na skupině ransomwaru šířící virus.

Pokud jde o další vývoj událostí: obecně řečeno, podvodníci reagují doporučením, aby uvedli výkupné, které může být 3 bitcoiny, nebo jinou částku v tomto rozsahu. Upozorňujeme, že nikdo nemůže zaručit, že hackeři splní svůj slib i po obdržení peněz. Chcete-li obnovit přístup k souborům .xtbl, doporučujeme postiženým uživatelům, aby nejprve vyzkoušeli všechny dostupné mezinárodní metody. V některých případech lze data uklidit pomocí služby Stínová kopie svazku poskytované přímo ve Windows, stejně jako dekodéru a softwaru pro obnovu dat od nezávislých vývojářů softwaru.

Odstraňte virus XTBL ransomware pomocí automatického čističe

Extrémně efektivní metoda řešení malwaru obecně a zejména ransomwaru. Použití osvědčeného bezpečnostního komplexu zajišťuje důkladnou detekci všech virových komponent a jejich úplné odstranění jediným kliknutím. Upozorňujeme, že mluvíme o dvou různých procesech: odinstalování infekce a obnovení souborů ve vašem počítači. Hrozba však musí být určitě odstraněna, protože existují informace o zavedení jiných počítačových trojských koní s její pomocí.

  1. ... Po spuštění softwaru klikněte na tlačítko Spusťte skenování počítače (Zahájit skenování).
  2. Nainstalovaný software poskytne zprávu o hrozbách zjištěných během kontroly. Chcete-li odstranit všechny nalezené hrozby, vyberte tuto možnost Opravit nedostatky (Eliminovat hrozby). Dotyčný malware bude zcela odstraněn.

Obnovte přístup k šifrovaným souborům s příponou .xtbl

Jak již bylo uvedeno, ransomware XTBL uzamkne soubory pomocí silného šifrovacího algoritmu, takže šifrovaná data nelze obnovit mávnutím kouzelné hůlky - pokud nezaplatíte neslýchané výkupné. Některé metody se ale mohou skutečně stát záchranářem, který vám pomůže obnovit důležitá data. Níže se s nimi můžete seznámit.

Dekodér - software pro automatickou obnovu souborů

Je známa velmi mimořádná okolnost. Tato infekce vymaže původní soubory nezašifrované. Proces šifrování ransomwaru se tak zaměřuje na jejich kopie. To umožňuje softwarovým nástrojům, jako je schopnost obnovit odstraněné objekty, i když je zaručena spolehlivost jejich odstranění. Důrazně doporučujeme uchýlit se k postupu obnovy souboru, jehož účinnost byla prokázána více než jednou.

Stínové kopie svazku

Tento přístup je založen na postupu zálohování souborů systému Windows, který se opakuje v každém bodě obnovení. Důležitá podmínka pro fungování této metody: před infikováním musí být aktivována funkce „Obnovení systému“. Veškeré změny provedené v souboru po bodu obnovení se však v obnovené verzi souboru nezobrazí.

Záloha

Toto je nejlepší ze všech metod nevykoupení. Pokud byl postup před zálohováním dat na externí server použit před útokem ransomwaru na váš počítač, pro obnovení šifrovaných souborů stačí zadat příslušné rozhraní, vybrat potřebné soubory a ze zálohy spustit mechanismus obnovy dat. Před provedením operace se musíte ujistit, že je ransomware zcela odstraněn.

Zkontrolujte možné zbytkové součásti ransomwaru XTBL

Ruční čištění je plné vynechání určitých fragmentů ransomwaru, které se mohou vyhnout vymazání jako skryté objekty operačního systému nebo položky registru. Chcete-li eliminovat riziko částečného uchování určitých škodlivých prvků, prohledejte počítač pomocí spolehlivého univerzálního antivirového komplexu.