Встановлення та налаштування

Як вилікувати комп від вірусу шифрувальника. Як видалити вірус зашифровувати файли і розшифрувати файли. Що ж робити, щоб не зловити вірус-шифрувальник

Кількість вірусів в їх звичному розумінні стає все менше, і причиною тому безкоштовні антивіруси, Які добротно працюють і захищають комп'ютери користувачів. При цьому далеко не всі піклуються про безпеку своїх даних, і вони ризикують заразитися не тільки шкідливими програмами, а й стандартними вірусами, серед яких найбільш поширеним продовжує залишатися «троян» (Trojan). Він може проявляти себе різними способами, але один з найнебезпечніших - шифровка файлів. Якщо вірус зашифрував файли на комп'ютері, повернути дані не факт, що вийде, але деякі дієві методи є, і про них мова піде нижче.

Шифрує вірус: що собою представляє і як діє

У мережі можна знайти сотні різновидів вірусів, які шифрують файли. Їх дії приводять до одного наслідку - дані користувача на комп'ютері отримують невідомий формат, який не вдається відкрити за допомогою стандартних програм. Ось лише деякі з форматів, в які можуть бути зашифровані дані на комп'ютері в результаті дії вірусів: .locked, .xtbl, .kraken, .cbf, .oshit і багато інших. У деяких випадках безпосередньо в розширення файлів прописується e-mail адресу творців вірусу.

Серед найбільш поширених вірусів, які шифрують файли, можна назвати Trojan-Ransom.Win32.Auraі Trojan-Ransom.Win32.Rakhni. Вони мають безліч форм, і вірус навіть може не носити назву Trojan (наприклад, CryptoLocker), але дії їх практично не відрізняються. Регулярно випускаються нові версії шифруючих вірусів, щоб творцям антивірусних програм було складніше боротися з новими форматами.

Якщо шифрує вірус проник на комп'ютер, то він обов'язково себе проявить не тільки блокуванням файлів, але і пропозицією до користувача розблокувати їх за грошову плату. На екрані може з'явитися банер, на якому буде написано, куди потрібно перевести гроші, щоб зняти блокування з файлів. Коли такий банер не з'являється, слід пошукати «лист» від розробників вірусу на робочому столі, такий файл в більшості випадків називається ReadMe.txt.

Залежно від розробників вірусу, розцінки на дешифрацию файлів можуть відрізнятися. При цьому далеко не факт, що при відправці грошей творцям вірусу, вони надішлють назад спосіб розблокування. У більшості випадків гроші йдуть «в нікуди», а спосіб дешифрування користувач комп'ютера не отримує.

Після того як вірус виявився на вашому комп'ютері і ви побачили на екрані код, який потрібно відправити на певну адресу, щоб отримати дешифратор, не варто цього робити. Насамперед перепишіть цей код на листок паперу, оскільки новий створений файл може також зазнати кодуванні. Після цього можна закривати інформацію від розробників вірусу і постаратися знайти в інтернеті спосіб, як позбутися від шифрувальника файлів в вашому конкретному випадку. Нижче ми наведемо основні програми, які дозволяють видалити вірус і розшифрувати файли, але їх не можна назвати універсальними, і творці антивірусного забезпеченнярегулярно розширюють список рішень.

Позбутися від вірусу, шифрувального файли, досить просто за допомогою безкоштовних версійантивірусів. Добре з вірусами, шифр файли, справляються 3 безкоштовних програми:

  • Malwarebytes Antimalware;
  • Dr.Web Cure It;
  • Kaspersky Internet Security.

Зазначені вище програми повністю безкоштовні або мають пробні версії. Рекомендуємо скористатися рішенням від Dr.Web або Kespersky після того, як ви перевірите систему за допомогою Malwarebytes Antimalware. Зайвий раз нагадаємо, що встановлювати 2 або більше антивірусів на комп'ютер одночасно не рекомендується, тому перед установкою кожного нового рішення необхідно видалити попереднє.

Як ми зазначали вище, ідеальним вирішенням проблеми в даній ситуації стане підбір інструкції, яка дозволяє впоратися конкретно з вашою проблемою. Такі інструкції, найчастіше, розміщені на сайтах розробників антивірусів. Нижче ми наведемо кілька актуальних антивірусних утиліт, які дозволяють впоратися з різними видами «троянів» та іншими типами шифрувальників.


Вище наведена лише мала частина антивірусних утиліт, які дозволяють розшифрувати заражені файли. Варто відзначити, що якщо ви спробуєте просто, прагнучи повернути дані, вони, навпаки, будуть втрачені назавжди - цього робити не варто.

В Останнім часомспостерігається сплеск активності нового покоління шкідливих комп'ютерних програм. З'явилися вони досить давно (6 - 8 років тому), але темпи їх впровадження досягли свого максимуму саме зараз. Все частіше можна зіткнутися з тим, що вірус зашифрував файли.

Уже відомо, що це не просто примітивні шкідливі ПО, наприклад, (що викликають появу синього екрану), А серйозні програми, націлені на пошкодження, як правило, бухгалтерських даних. Вони шифрують всі наявні файли, що знаходяться в межах досяжності, включаючи дані 1С бухгалтерії, docx, xlsx, jpg, doc, xls, pdf, zip.

Особлива небезпека розглянутих вірусів

Вона полягає в тому, що при цьому застосовується RSA-ключ, який прив'язаний до конкретного комп'ютера користувача, через що універсальний дешифратор ( декріптор) Відсутнє. Віруси, активізовані в одному з комп'ютерів, можуть не спрацювати в іншому.

Небезпека також ще в тому, що вже більше року в Інтернеті розміщено готові програми-будівельники (білдери), що дозволяють розробити такого роду вірус навіть кулхацкер (особистостям, котрі вважають себе хакерами, але при цьому не вивчають програмування).

В даний час з'явилися більш потужні їх модифікації.

Спосіб застосування даних шкідливих програм

Розсилка вірусу проводиться цілеспрямовано, як правило, в бухгалтерію підприємства. Спочатку здійснюється збір е-мейлів відділів кадрів, бухгалтерій з таких баз даних, як, наприклад, hh.ru. Далі проводиться розсилка листів. Вони найчастіше містять прохання стосовно прийняття на певну посаду. До такого листа з резюме, всередині якого реальний документз імплантованим OLE-об'єктом (pdf-файл з вірусом).

У ситуаціях, коли співробітники бухгалтерії відразу запускали даний документ, після перезавантаження відбувалося наступне: вірус перейменував і зашифрував файли, а потім самоліквідувалася.

Такого роду лист, як правило, адекватно написано і відправлено з неспамерского ящика (ім'я відповідає підпису). Вакансія завжди запитується виходячи з профілюючою діяльності компанії, через що підозри не виникають.

Ні ліцензійний "Касперський" ( антивірусна програма), Ні "Вірус Тотал" (онлайн-сервіс перевірки вкладень на віруси) не можуть убезпечити комп'ютер в даному випадку. Зрідка деякі антивірусні програми при скануванні видають, що у вкладенні знаходиться Gen: Variant.Zusy.71505.

Як уникнути зараження даним вірусом?

Слід перевіряти кожен отриманий файл. Особлива увага приділяється вордівський документ, які мають впроваджені pdf.

Варіанти «заражених» листів

Їх досить багато. Найпоширеніші варіанти того, як вірус зашифрував файли, представлені нижче. У всіх випадках на електронну пошту приходять такі документи:

  1. Повідомлення щодо початку процесу розгляду поданого на конкретну компанію судового позову (в листі пропонується перевірити дані за допомогою переходу за вказаним URL).
  2. Лист з ВАС РФ про стягнення боргу.
  3. Повідомлення з Ощадбанку щодо збільшення існуючої заборгованості.
  4. Повідомлення про фіксації порушення ПДР.
  5. Лист з Колекторного агентства з зазначенням максимально можливої ​​відстрочки платежу.

Повідомлення про шифрування файлів

Воно після зараження з'явиться в кореневій папці диска С. Іноді в усі каталоги з пошкодженим текстом поміщаються файли типу ЧТО_ДЕЛАТЬ.txt, CONTACT.txt. Там користувача інформують про шифрування його файлів, яке здійснено за допомогою надійних криптостійкі алгоритмів. А також його попереджають про недоцільність застосування сторонніх утиліт, Так як це може привести до остаточного пошкодження файлів, що, в свою чергу, призведе до неможливості їх подальшої розшифровки.

У повідомленні рекомендується залишити комп'ютер в незмінному стані. У ньому зазначено час зберігання наданого ключа (як правило, це 2 доби). Прописана точна дата, після якої будь-якого роду звернення будуть ігноруватися.

В кінці надається е-мейл. Там також говориться, що користувач повинен вказати свій ID і що будь-який з нижчеперелічених дій може привести до ліквідації ключа, а саме:

Як розшифрувати файли, зашифровані вірусом?

Даного роду шифрування досить потужне: файлу присвоюється таке розширення, як perfect, nochance тощо. Зламати просто неможливо, проте можна спробувати підключити криптоаналітику і відшукати лазівку (в деяких ситуаціях допоможе Dr. WEB).

Існує ще 1 спосіб, як відновити зашифровані вірусом файли, але він підходить не до всіх вірусів, до того ж потрібно витягти вихідний exe разом з даної шкідливою програмою, що досить нелегко здійснити після самоліквідації.

Прохання вірусу стосовно введення спеціального коду - незначна перевірка, так як файл до цього моменту вже має дешифратор (код від, так би мовити, зловмисників не буде потрібно). суть даного способу- вписування в проник вірус (в саме місце порівняння вводиться коду) порожніх команд. Результат - шкідлива програма сама запускає дешифрування файлів і тим самим їх повністю відновлює.

У кожному окремому вірус своя спеціальна функція шифрування, через що стороннім файлів (файлом формату exe) розшифрувати не вийде, або ж можна спробувати підібрати вищевказану функцію, для чого необхідно все дії здійснювати на WinAPI.

файли: що робити?

Для проведення процедури дешифрування буде потрібно:

Як уникнути втрати даних через розглянутого зловмисних програм?

Варто знати, що в ситуації, коли вірус зашифрував файли, для процесу їх дешифрування буде потрібно час. важливим моментомвиступає те, що в вищезгаданому шкідливі програми існує помилка, що дозволяє зберегти частину файлів, якщо швидко знеструмити комп'ютер (висмикнути вилку з розетки, вимкнути мережевий фільтр, витягнути батарею у випадку з ноутбуком), як тільки з'явиться велика кількість файлів з раніше зазначених розширенням.

Ще раз слід підкреслити, що головне - це постійно створювати резервні копії, але не в іншу папку, що не на знімний носій, Вставлений в комп'ютер, так як дана модифікація вірусу добереться і до цих місць. Варто зберігати бекапи на іншому комп'ютері, на вінчестер, який постійно не приєднаний до комп'ютера, і в хмару.

Ставитися слід з підозрою до всіх документів, які приходять на пошту від невідомих осіб (у вигляді резюме, накладної, Постанови з ВАС РФ або податкової та ін.). Не треба їх запускати на своєму комп'ютері (для цих цілей можна виділити нетбук, який не містить важливих даних).

Шкідлива програма * [Email protected]: Способи усунення

У ситуації, коли вищезгаданий вірус зашифрував файли cbf, doc, jpg і т. Д., Існує всього три варіанти розвитку події:

  1. Найпростіший спосіб позбутися від нього - видалити всі заражені файли (це прийнятно, якщо тільки дані не особливо важливі).
  2. Зайти в лабораторію антивірусної програми, наприклад, Dr. WEB. Вислати розробникам кілька заражених файлів обов'язково разом з ключем для дешифрування, що знаходиться на комп'ютері в якості KEY.PRIVATE.
  3. Самий витратний спосіб. Він передбачає оплату запитаної хакерами суми за дешифрування заражених файлів. Як правило, вартість даної послуги в межах 200 - 500 дол. США. Це прийнятно в ситуації, коли вірус зашифрував файли великої компанії, В якій щодня протікає істотний інформаційний потік, і дана шкідлива програма може за лічені секунди завдати колосальної шкоди. У зв'язку з цим оплата - найшвидший варіант відновлення заражених файлів.

Іноді результативним виявляється і додатковий варіант. У разі коли вірус зашифрував файли ( [Email protected] _com або інше шкідливе ПЗ), може допомогти на кілька днів назад.

Програма для дешифрування RectorDecryptor

Якщо вірус зашифрував файли jpg, Doc, cbf і т. П., То може допомогти спеціальна програма. Для цього спочатку потрібно зайти в автозавантаження і відключити всі, крім антивіруса. Далі необхідно перезавантажити комп'ютер. Переглянути всі файли, виділити підозрілі. В поле під назвою «Команда» зазначено місце розташування конкретного файлу (увага приділяти варто додатків, які не мають підпису: виробник - немає даних).

Всі підозрілі файли треба видалити, після чого буде потрібно почистити кеші браузерів, тимчасові папки (для цього підійде програма CCleaner).

Щоб приступити до дешифрування, необхідно завантажити вищевказану програму. Потім запустити її і натиснути кнопку «Почати перевірку», вказавши змінені файли і їх розширення. В сучасних версіяхданої програми можна вказати лише сам заражений файл і натиснути кнопку «Відкрити». Після цього файли будуть розшифровані.

Згодом утиліта автоматично здійснює перевірку всіх комп'ютерних даних, включаючи файли, що знаходяться на приєднаному мережевому диску, і дешифрує їх. Даний процес відновлення може зайняти кілька годин (в залежності від обсягу роботи і швидкодії комп'ютера).

У підсумку все будуть розшифровані в ту ж саму директорію, де вони перебували спочатку. На завершення залишиться лише видалити всі наявні файли з підозрілим розширенням, для чого можна проставити галочку в запиті «Видаляти зашифровані файли після успішної розшифровки», натиснувши попередньо кнопку «Змінити параметри перевірки». Однак краще її не ставити, тому що в разі невдалої дешифрування файлів вони можуть піти, і згодом доведеться їх спочатку відновлювати.

Отже, якщо вірус зашифрував файли doc, Cbf, jpg т. Д., Не слід поспішати з оплатою коду. Може, він і не знадобиться.

Нюанси видалення зашифрованих файлів

При спробі ліквідації всіх пошкоджених файлівза допомогою стандартного пошуку і подальшого видалення може початися зависання і уповільнення роботи комп'ютера. У зв'язку з цим для даної процедури варто скористатися спеціальною Після її запуску необхідно вписати наступне: del «<диск>:\*.<расширение зараженного файла>»/ F / s.

Обов'язково треба видалити такі файли, як «Прочитай-меня.txt», для чого в тій же командному рядкуслід вказати: del «<диск>:\*.<имя файла>»/ F / s.

Таким чином, можна відзначити, що в разі, якщо вірус перейменував і зашифрував файли, то не варто відразу витрачати кошти на покупку ключа у зловмисників, спочатку варто спробувати розібратися в проблемі самостійно. Краще вкласти гроші в придбання спеціальної програми для розшифровки пошкоджених файлів.

Наостанок варто нагадати, що в даній статті розглядалося питання стосовно того, як розшифрувати файли, зашифровані вірусом.

Під шифрувальником (кріптолокерамі) мається на увазі сімейство шкідливих програм, які за допомогою різних алгоритмів шифрування блокують доступ користувачів до файлів на комп'ютері (відомі, наприклад, сbf, chipdale, just, foxmail inbox com, watnik91 aol com і ін.).

Зазвичай вірус шифрує популярні типи файлів користувача: документи, електронні таблиці, Бази даних 1С, будь-які масиви даних, фотографії і т. Д. Розшифровка файлів пропонується за гроші - творці вимагають перерахувати певну суму, зазвичай в біткоіни. І в разі, якщо в організації не приймалися належних заходів щодо забезпечення схоронності важливої ​​інформації, Перерахування необхідної суми зловмисникам може стати єдиним способом відновити працездатність компанії.

У більшості випадків вірус поширюється через електронну пошту, маскуючись під цілком звичайні листи: повідомлення з податкової, акти і договори, інформацію про покупки і т. Д. Завантажуючи і відкриваючи такий файл, користувач, сам того не розуміючи, запускає шкідливий код. Вірус послідовно шифрує потрібні файли, А також видаляє вихідні екземпляри методами гарантованого знищення (щоб користувач не зміг відновити недавно вилучені файли за допомогою спеціальних засобів).

сучасні шифрувальники

Шифрувальники і інші віруси, які блокують доступ користувачів до даних - не нова проблемав інформаційної безпеки. Перші версії з'явилися ще в 90-х роках, проте вони в основному використовували або «слабке» (нестійкі алгоритми, малий розмір ключа), або симетричне шифрування (одним ключем шифрувалися файли у великого числа жертв, також була можливість відновити ключ, вивчивши код вірусу ), або взагалі придумували власні алгоритми. Сучасні екземпляри позбавлені таких недоліків, зловмисники використовують гібридне шифрування: за допомогою симетричних алгоритмів вміст файлів шифрується з дуже високою швидкістю, а ключ шифрування шифрується асиметричним алгоритмом. Це означає, що для розшифровки файлів потрібен ключ, яким володіє тільки зловмисник, в вихідному кодіпрограми його годі й шукати. Для прикладу, CryptoLocker використовує алгоритм RSA з довжиною ключа 2048 біт в поєднанні з симетричним алгоритмом AES з довжиною ключа 256 біт. Дані алгоритми в даний час визнані крипостійкість.

Комп'ютер заражений вірусом. Що робити?

Варто мати на увазі, що у вірусах-шифрувальники хоч і використовуються сучасні алгоритми шифрування, але вони не здатні зашифрувати миттєво всі файли на комп'ютері. Шифрування йде послідовно, швидкість залежить від розміру шифрованих файлів. Тому якщо ви виявили у процесі роботи, що звичні файли і програми перестали коректно відкриватися, то слід негайно припинити роботу на комп'ютері і вимкнути його. Тим самим ви можете захистити частину файлів від шифрування.

Після того, як ви зіткнулися з проблемою, насамперед потрібно позбутися від самого вірусу. Зупинятися докладно на цьому не будемо, досить спробувати вилікувати комп'ютер за допомогою антивірусних програм або видалити вірус вручну. Варто тільки відзначити, що найчастіше вірус після завершення алгоритму шифрування самознищується, тим самим ускладнюючи можливість розшифровки файлів без звернення за допомогою до зловмисників. В такому випадку антивірусна програма може нічого і не виявити.

Головне питання - як відновити зашифровані дані? На жаль, відновлення файлів після вірусу-шифрувальника практично неможливо. По крайней мере, гарантувати повне відновленняданих в разі успішного зараження ніхто не буде. багато виробників антивірусних засобівпропонують свою допомогу з дешифрування файлів. Для цього потрібно відправити зашифрований файл і додаткову інформацію(Файл з контактами зловмисників, відкритий ключ) через спеціальні форми, розміщені на сайтах виробників. Є невеликий шанс, що з конкретним вірусом знайшли спосіб боротися і ваші файли успішно розшифрують.

Спробуйте скористатися утилітами відновлення віддалених файлів. Можливо, вірус не використовував методи гарантованого знищення і деякі файли вдасться відновити (особливо це може спрацювати з файлами великого розміру, наприклад з файлами в кілька десятків гігабайт). Також є шанс відновити файли з тіньових копій. При використанні функцій відновлення системи Windowsстворює знімки ( «снапшоти»), в яких можуть міститися дані файлів на час створення точки відновлення.

Якщо були зашифровані ваші дані в хмарних сервісах, Зверніться в техпідтримку або вивчіть можливості сервісу, яким користуєтеся: в більшості випадків сервіси надають функцію «відкату» на попередні версіїфайлів, таким чином, їх можна відновити.

Чого ми настійно не рекомендуємо робити - йти на поводу у вимагачів і платити за розшифровку. Були випадки, коли люди віддавали гроші, а ключі не отримували. Ніхто не гарантує, що зловмисники, отримавши гроші, дійсно вишлють ключ шифрування і ви зможете відновити файли.

Як захиститися від вірусу-шифрувальника. Превентивні заходи

Запобігти небезпечні наслідки легше, ніж їх виправити:

  • Використовуйте надійні антивірусні засоби і регулярно оновлюйте антивірусні бази. Звучить банально, але це значно знизить ймовірність успішного впровадження вірусу на ваш комп'ютер.
  • Зберігайте резервні копії ваших даних.

Найкраще це робити за допомогою спеціалізованих засобів резервного копіювання. Більшість кріптолокеров вміють шифрувати в тому числі і резервні копії, тому має сенс зберігати резервні копії на інших комп'ютерах (наприклад, на серверах) або на відчужуваних носіях.

Обмежте права на зміни файлів в папках з резервними копіями, Дозволивши тільки дозапис. Крім наслідків шифрувальника, системи резервного копіювання нейтралізують безліч інших загроз, пов'язаних з втратою даних. Поширення вірусу в черговий раз демонструє актуальність і важливість використання таких систем. Відновити дані набагато легше, ніж розшифрувати!

  • Обмежте програмне середовище в домені.

ще одним ефективним способомборотьби є обмеження на запуск деяких потенційно небезпечних типів файлів, наприклад, з расшіреніямі.js, .cmd, .bat, .vba, .ps1 і т. д. Це можна зробити за допомогою засобу AppLocker (в Enterprise-редакціях) або політик SRP централізовано в домені. У мережі є досить докладні керівництва, як це зробити. У більшості випадків користувачеві немає необхідності використовувати файли сценаріїв, зазначені вище, і у шифрувальника буде менше шансів на успішне впровадження.

  • Будьте уважні.

Уважність - один з найефективніших методів запобігання загрози. Ставтеся підозріло до кожного листа, отриманого від невідомих осіб. Не поспішайте відкривати всі вкладення, при виникненні сумнівів краще зверніться з питанням до адміністратора.

Олександр Власов, Старший інженер відділу впровадження систем захисту інформації компанії «СКБ Контур»

Існує велика кількість найрізноманітніших шкідливих програм. Серед них зустрічається вкрай неприємні віруси-шифрувальники, які потрапивши на комп'ютер, починають шифрувати файли користувачів. У деяких випадках є непогані шанси розшифрувати свої файли, але буває, що це і не вдається. Ми розглянемо всі необхідні дії, як для першого, так і для другого випадку в випадки коли.

Ці віруси можуть трохи відрізнятися, але в цілому, їх дії завжди одні й ті ж:

  • встановитися на комп'ютер;
  • зашифрувати всі файли, які можуть мати хоч якусь цінність (документи, фотографії);
  • при спробі відкрити ці файли, вимагати від користувача внесення певної суми на гаманець або рахунок зловмисника, інакше доступ до вмісту ніколи не відкриється.

Вірус зашифрував файли в xtbl

В даний час отримав досить велике поширення вірус, здатний зашифровувати файли і змінювати їх розширення на.xtbl, а так само замінювати їх назва на абсолютно випадкові символи.

Крім того, на видному місці створюється спеціальний файл з інструкціями readme.txt. У ньому, зловмисник, ставить користувача перед фактом того, що все його важливі дані були зашифровані і тепер їх так просто не відкрити, доповнюючи це тим, що для повернення всього до свого попереднього стану, необхідно виконати певні дії пов'язані з передачею грошей шахраєві (зазвичай, перед цим необхідно відправити певний код на один із запропонованих адрес електронної пошти). Часто такі послання ще доповнюються припискою, що при спробі самостійно розшифрувати всі свої файли, ви ризикуєте їх навіки втратити.

На превеликий жаль, в даний момент, офіційно ніхто зміг расшіфровать.xtbl, якщо з'явиться робочий спосіб, ми обов'язково про це повідомимо в статті. Серед користувачів є ті, у кого був подібний досвід з цим вірусом і вони оплатили шахраям потрібну суму, отримавши натомість розшифровку своїх документів. Але це вкрай ризикований крок, адже серед зловмисників зустрічаються і ті, хто особливо не стане морочитися з обіцяної дешифруванням, в результаті це будуть гроші на вітер.

Що тоді робити, запитаєте ви? Пропонуємо кілька порад, які допоможуть повернути всі свої дані і при цьому, ви не будете йти на поводу у шахраїв і дарувати їм свої гроші. І так, що потрібно зробити:

  1. Якщо вмієте працювати в диспетчері завдань, то негайно припиніть шифрування файлів, зупинивши підозрілий процес. Одночасно з цим, вимкніть комп'ютер від інтернету - багатьом шифрувальником необхідне підключення до мережі.
  2. Візьміть листочок і запишіть на нього код, пропонований для відправки на пошту зловмисникам (листочок тому, що файл, в який будете записувати так само може стати недоступним для читання).
  3. За допомогою антивірусних засобів Malwarebytes Antimalware, пробного Антивірусу Kaspersky IS або CureIt, видалити шкідливу програму. Для більшої надійності, краще послідовно скористатися всіма запропонованими засобами. Хоча Антивірус Касперського можна не встановлювати, якщо в системі вже є один основний антивірус, інакше можуть виникнути програмні конфлікти. Всі інші утиліти можете застосовувати в будь-якій ситуації.
  4. Почекати, поки одна з антивірусних компаній не розробить робочий дешифратор для таких файлів. Оперативніше всього справляється Kaspersky Lab.
  5. Додатково, ви можете відправити на [Email protected]копію файлу, що був зашифрованістю, з необхідним кодом і якщо є, цей же файл в первісному вигляді. Цілком можливо, це може прискорити розробку методу дешифровки файлів.

Ні в якому разі не виконуйте:

  • перейменування цих документів;
  • зміна їх розширення;
  • видалення файлів.

Ці троянські програми також займаються шифруванням файлів користувачів з подальшим вимаганням. При цьому, у зашифрованих файлів можуть бути наступні розширення:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (не обов'язково цей троян, є й інші, які встановлюють цей же розширення).
  • [Email protected] _com
  • .oshit
  • Та інші.

На щастя, вже створена спеціальна утилітадля розшифровки - RakhniDecryptor. Завантажити її можна з офіційного сайту.

На цьому ж сайті можна ознайомитися з інструкцією, детально і наочно показує, як користуватися утилітою для розшифровки всіх файлів, над якими попрацював троян. В принципі, для більшої надійності, варто виключити пункт видалення зашифрованих файлів. Але швидше за все, що розробники добре постаралися над створенням утиліти і цілісності даних нічого не загрожує.

Ті, хто користується ліцензійним антивірусом Dr.Web, мають безкоштовний доступдо розшифровки від розробників http://support.drweb.com/new/free_unlocker/.

Інші різновиди вірусів-шифрувальників

Іноді можуть траплятися й інші віруси, шифрувальні важливі файли і що вимагають оплату за повернення всього в первинний вигляд. Пропонуємо невеликий список з утилітами для боротьби з наслідками роботи найбільш поширених вірусів. Там же ви зможете ознайомитися з основними ознаками, за якими можна відрізнити ту чи іншу троянську програму.

Крім того, хорошим способомбуде сканування свого ПК антивірусом Касперського, який виявить непроханого гостя і присвоїть йому назву. За цей титул вже можна шукати і дешифратор для нього.

  • Trojan-Ransom.Win32.Rector- типовий шифратор-вимагач, який вимагає відправити смс або виконати інші дії подібного роду, беремо дешифратор за цим посиланням.
  • Trojan-Ransom.Win32.Xorist- різновид попереднього трояна, дешифратор з керівництвом по його застосуванню можете отримати.
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- для цих хлопців так само є спеціальна утиліта, дивимося по посиланню.
  • Trojan.Encoder858, Trojan.Encoder.741- ці шкідливий можна виявити утилітою CureIt. У них схожі назви, але можуть відрізнятися номера в кінці імені. Дешифратор шукаємо за назвою вірусу або, якщо користуєтеся ліцензійним Dr.Web, можете вдатися до допомоги спеціального ресурсу.
  • CryptoLacker- щоб повернути свої файли, відвідайте цей сайт і через нього згенеруйте спеціальну програму для відновлення своїх документів.

Нещодавно, Лабораторія Касперського співпрацюючи зі своїми колегами з Нідерландів, створила декріптор дозволяє відновити файли після того, як над ними попрацював вірус CoinVault.

У коментарях можете ділитися своїми способами дешифрування файлів, адже ця інформація буде корисна і іншим користувачам, які можуть зіткнутися з подібним шкідливим програмним забезпеченням.

Хакери-вимагачі дуже схожі на звичайних шантажистів. Як в реальному світі, так і в кібер-середовищі є одиничний або груповий об'єкт атаки. Його або крадуть або роблять недоступним. Далі злочинці використовують певні засоби комунікації з жертвами для передачі своїх вимог. Комп'ютерні шахраї зазвичай вибирають лише кілька форматів для письма з вимогою викупу, але його копії можна виявити практично в будь-якій ділянці пам'яті інфікованої системи. У разі сім'ї шпигунського ПЗ, відомого як Troldesh або Shade, при контакті з жертвою аферисти практикують особливий підхід.

Рассммотрім ближче цей штам вірусу-шифрувальника, який орієнтований на російськомовну аудиторію. Більшість аналогічних інфекцій визначає розкладку клавіатури на атакується ПК, і якщо однією з мов є російська, вторгнення припиняється. Однак вірус-вимагач XTBLнерозбірливий: на жаль для користувачів, атака розгортається незалежно від їх географічного розташування та мовних уподобань. Наочним втіленням такої універсальності є попередження, яке з'являється у вигляді фону робочого столу, а також ТХТ файлу з інструкцією по сплаті викупу.

Вірус XTBL зазвичай поширюється через спам. Повідомлення нагадують листи відомих брендів, або просто кидаються в очі, оскільки в темі повідомлення використовуються такі вирази, як «Терміново!» або «Важливі фінансові документи». Фішингова виверт спрацює, коли одержувач такого ел. повідомлення завантажить ZIP-файл, що містить код JavaScript, або об'єкт Docm з потенційно вразливим макросом.

Виконавши базовий алгоритм на скомпрометувати ПК, троян-здирник переходить до пошуку даних, які можуть представляти цінність для користувача. З цією метою вірус сканує локальну і зовнішню пам'ять, Одночасно зіставляючи кожен файл з набором форматів, підібраних на основі розширення об'єкта. Все файли.jpg, .wav, .doc, .xls, а також безліч інших об'єктів піддаються шифрування через симетричний блоковий крипто-алгоритм AES-256.

Розрізняють два аспекти такого шкідливого впливу. Перш за все, користувач втрачає доступ до важливих даних. Крім того, імена файлів піддаються глибокої кодуванні, з якої на виході виходить безглуздим набором з шістнадцяткових символів. Все, що об'єднує імена уражених файлів, це доданий до них розширення xtbl, тобто назва кібер-загрози. Імена зашифрованих файлів іноді мають особливий формат. У деяких версіях Troldesh імена зашифрованих об'єктів можуть залишатися без змін, а в кінці додається унікальний код: [Email protected], [Email protected], or [Email protected]

Очевидно, зловмисники, запровадивши адреси ел. пошти безпосередньо в назви фалів, вказують жертвам спосіб комунікації. Електронна поштатакож вказана в іншому місці, а саме в листі-вимозі викупу, яке міститься в файлі "Readme.txt". Такі Notepad-документи з'являться на Робочому столі, а також у всіх папках з закодованими даними. Ключовий посил полягає в наступному:

"Все файли були зашифровані. Щоб розшифрувати їх, Вам необхідно відправити код: [Ваш унікальний шифр] на електронну адресу [Email protected] or [Email protected]Далі ви отримаєте всі необхідні інструкції. Спроби розшифрувати самостійно не приведуть ні до чого, крім безповоротної втрати інформації "

Електронна адреса може змінюватися в залежності від розповсюджує вірус групи шантажистів.

Що стосується подальшого розвитку подій: в загальних рисах, шахраї відповідають рекомендацією перерахувати викуп, який може становити 3 біткойн, або іншу суму в цьому діапазоні. Зверніть увагу, ніхто не може гарантувати, що хакери виконають свою обіцянку навіть після отримання грошей. Щоб відновити доступ к.xtbl файлів, які постраждали користувачам рекомендується в першу чергу випробувати всі доступні тернатівние способи. У деяких випадках дані можна привести в порядок за допомогою служби тіньового копіювання томів (Volume Shadow Copy), передбаченої безпосередньо в ОС Windows, а також програм-дешифраторів і відновлення даних від незалежних розробників ПЗ.

Видалити вірус-шифрувальник XTBL за допомогою автоматичного чистильника

Виключно ефективний метод роботи з шкідливим ПО взагалі і програмами-вимагачами зокрема. Використання зарекомендував себе захисного комплексу гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видаленняодним клацанням миші. Зверніть увагу, мова йде про двох різних процесах: деінсталяції інфекції та відновлення файлів на Вашому ПК. Проте, загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянів з її допомогою.

  1. . Після запуску програмного засобу, натисніть кнопку Start Computer Scan(Почати сканування).
  2. Встановлене ПЗ надасть звіт по виявленим в ході сканування загрозам. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглядається шкідливий ПО буде повністю видалено.

Відновити доступ до зашифрованих файлів з расшіреніем.xtbl

Як було відзначено, програма-вимагач XTBL блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи дійсно можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитися.

Дешифратор - програма автоматичного відновленняфайлів

Відомо досить неординарне обставина. Дана інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою вимагання, таким чином, націлений на їх копії. Це надає можливість таким програмних засобівяк відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, ефективність которй була підтверджена вже не один раз.

Тіньові копії томів

В основі підходу передбачена Windows процедурарезервного копіювання файлів, яка повторюється в кожній точці відновлення. важлива умовароботи даного методу: Функція "Відновлення системи" повинна бути активована до моменту зараження. При цьому будь-які зміни в файл, внесені після точки відновлення, в відновленої версії файлу відображатися не будуть.

Резервне копіювання

Це найкращий серед всіх не пов'язаних з викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-здирника на Ваш комп'ютер, для відновлення зашифрованих файлів знадобитися просто увійти до відповідного інтерфейс, вибрати необхідні файлиі запустити механізм відновлення даних з резерву. Перед виконанням операції необхідно упевнитися, що здирницькі ПО повністю видалено.

Перевірити можливу наявність залишкових компонентів вірусу-здирника XTBL

очищення в ручному режимічревата упущенням окремих фрагментів здирницькі ПО, які можуть уникнути видалення у вигляді укритті об'єктів операційної системиабо елементів реєстру. Щоб виключити ризик часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою допомогою надійного універсального антивірусного комплексу.