Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 7, XP
  • Radni fajlovi pretvoreni u .xtbl: pacifikujemo ransomware virus. Virus šifriranja - šta je to, zašto je opasan

Radni fajlovi pretvoreni u .xtbl: pacifikujemo ransomware virus. Virus šifriranja - šta je to, zašto je opasan

10.05.2019 Windows 7, XP

Danas se korisnici računara i laptopa sve više suočavaju sa zlonamjernim softverom koji datoteke zamjenjuje njihovim šifriranim kopijama. U osnovi, to su virusi. Jedan od najopasnijih u ovoj seriji je XTBL enkriptor. Šta je ovo štetočina, kako ulazi u računar korisnika i da li je moguće povratiti oštećene informacije?

Šta je XTBL enkriptor i kako ulazi u računar

Ako pronađete datoteke na svom računaru ili laptopu sa dugačak naslov, koji imaju ekstenziju .xtbl, onda se može sa sigurnošću reći da je sistem dobio opasni virus- XTBL enkriptor. Utječe na sve verzije Windows OS-a. Gotovo je nemoguće samostalno dešifrirati takve datoteke, jer program koristi hibridni način rada, u kojem je odabir ključa jednostavno nemoguć.

Sistemski direktoriji su ispunjeni zaraženim datotekama. Unosi se dodaju u Windows registar koji automatski pokreće virus svaki put kada se OS pokrene.

Skoro sve vrste fajlova su šifrovane – grafički, tekstualni, arhivski, mail, video, muzika, itd. Postaje nemoguće raditi u Windows-u.

Kako to radi? XTBL enkriptor pokrenut u Windowsu prvo skenira sve logički pogoni. Ovo uključuje oblak i mrežna skladišta nalazi na računaru. Kao rezultat toga, datoteke se grupišu po ekstenzijama, a zatim šifriraju. Na taj način sve vrijedne informacije smještene u korisničke mape postaju nedostupne.


Ovo je slika koju će korisnik vidjeti umjesto ikona s imenima poznatih datoteka

Pod uticajem XTBL enkriptora, ekstenzija datoteke se menja. Sada korisnik vidi ikonu prazan list i dugačak naslov koji završava na .xtbl umjesto slike ili teksta u Wordu. Osim toga, na radnoj površini se pojavljuje poruka, svojevrsna instrukcija za oporavak šifriranih informacija, koja zahtijeva plaćanje za otključavanje. Ovo nije ništa drugo nego ucjena za otkupninu.


Ova poruka se prikazuje u "desktop" prozoru računara

Distribucija XTBL ransomwarea se obično događa putem e-pošte. E-mail sadrži priloge ili dokumente zaražene virusom. Prevarant privlači korisnika šarenim naslovom. Sve je urađeno tako da poruka koja kaže da ste vi, na primer, osvojili milion, bude otvorena. Ne odgovarajte na takve poruke, inače postoji veliki rizik da će virus završiti u vašem OS-u.

Da li je moguće povratiti informacije

Možete pokušati dešifrirati informacije pomoću posebnih uslužnih programa. Međutim, ne postoji garancija da ćete se moći riješiti virusa i oporaviti oštećene datoteke.

Trenutno, XTBL ransomware predstavlja jasnu prijetnju svim računarima na kojima je instaliran Windows. Čak ni priznati lideri u borbi protiv virusa - Dr.Web i Kaspersky Lab - nemaju 100% rješenje za ovaj problem.

Uklanjanje virusa i vraćanje šifriranih datoteka

Tu je različite metode i programe koji vam omogućavaju rad sa XTBL enkriptorom. Neki uklanjaju sam virus, dok drugi pokušavaju dešifrirati zaključane datoteke ili vratiti njihove prethodne kopije.

Prekid kompjuterske infekcije

Ako imate sreće da na svom računaru primetite početak pojavljivanja fajlova sa ekstenzijom .xtbl, onda je sasvim moguće da prekinete proces dalje infekcije.

Kaspersky Virus Removal Tool za uklanjanje XTBL ransomware-a

Svi takvi programi bi trebali biti otvoreni u OS-u koji je prethodno pokrenut siguran način sa opcijom preuzimanja mrežnih drajvera. U ovom slučaju, virus je mnogo lakše ukloniti, jer je minimalan broj sistemski procesi potrebno za pokretanje Windowsa.

Za pokretanje u bezbednom režimu u Windows XP, 7 tokom pokretanja sistema, stalno pritiskajte taster F8 i nakon što se pojavi prozor menija, izaberite odgovarajuću stavku. Kada koristite Windows 8, 10, ponovo pokrenite OS dok držite Taster Shift. Tokom procesa pokretanja, otvorit će se prozor u kojem možete odabrati potrebnu opciju sigurnog pokretanja.


Odabir sigurnog načina rada sa učitavanjem mrežnih drajvera

Kaspersky Virus program Alat za uklanjanje savršeno prepoznaje XTBL encryptor i uklanja ovu vrstu virusa. Pokrenite skeniranje računara klikom na odgovarajuće dugme nakon preuzimanja uslužnog programa. Nakon što se skeniranje završi, izbrišite otkrivene zlonamjerne datoteke.


Pokretanje skeniranja računara za prisustvo XTBL enkriptora u Windows OS-u uz naknadno uklanjanje virusa

Dr.Web CureIt!

Algoritam za provjeru i uklanjanje virusa praktički se ne razlikuje od prethodne verzije. Skenirajte sve logičke diskove pomoću uslužnog programa. Da biste to učinili, samo trebate slijediti komande programa nakon pokretanja. Na kraju procesa, riješite se zaraženih datoteka klikom na dugme "Dezinficiraj".


Neutralizacija zlonamjerne datoteke nakon pokretanja Windows skeniranja

Malwarebytes Anti-malware

Program će izvršiti korak-po-korak provjeru vašeg računala na zlonamjerne kodove i uništiti ih.

  1. Instalirajte i pokrenite uslužni program Anti-malware.
  2. Odaberite "Pokreni skeniranje" na dnu prozora koji se otvori.
  3. Pričekajte da se proces završi i označite potvrdne okvire sa zaraženim datotekama.
  4. Izbriši odabrano.


Uklanjanje zlonamjernih datoteka XTBL enkriptora otkrivenih tokom skeniranja

Online skripta za dešifriranje iz Dr.Web-a

Na službenoj web stranici Dr.Web-a, u odjeljku podrške, nalazi se kartica sa hostiranom online skriptom za dešifriranje datoteka. Treba imati na umu da će samo oni korisnici na čijim računarima je instaliran antivirus ovog programera moći koristiti dešifriranje na mreži.


Pročitajte uputstva, popunite sve što je potrebno i kliknite na dugme "Pošalji".

RectorDecryptor uslužni program za dešifrovanje iz kompanije Kaspersky Lab

Dešifrovanjem fajla takođe upravlja Kaspersky Lab. Na službenoj web stranici možete preuzeti uslužni program RectorDecryptor.exe za verzije Windows Vista, 7, 8 klikom na linkove menija "Podrška - Iscjeljivanje i dešifriranje datoteka - RectorDecryptor - Kako dešifrirati datoteke". Pokrenite program, pokrenite provjeru, a zatim izbrišite šifrirane datoteke odabirom odgovarajuće stavke.


Skeniranje i dešifriranje datoteka zaraženih XTBL ransomwareom

Vraćanje šifriranih datoteka iz sigurnosne kopije

Počevši od Windows 7, možete pokušati vratiti datoteke iz rezervnih kopija.


ShadowExplorer za oporavak šifriranih datoteka

Program je prenosiva opcija, može se preuzeti sa bilo kojeg medija.


QPhotoRec

Program je posebno dizajniran za oporavak oštećenih i izbrisanih datoteka. Koristeći ugrađene algoritame, uslužni program pronalazi i vraća u prvobitno stanje sve izgubljene informacije.

QPhotoRec je besplatan.

Nažalost, postoji samo engleska verzija QPhotoRec-a, ali nije teško otkriti postavke, interfejs je intuitivan.

  1. Pokrenite program.
  2. Označite logičke diskove sa šifriranim informacijama.
  3. Kliknite na dugme Formati datoteka i OK.
  4. Odaberite pomoću dugmeta za pretraživanje koje se nalazi na dnu otvoren prozor, gdje da sačuvate datoteke i započnete proceduru oporavka klikom na Traži.


QPhotoRec obnavlja datoteke izbrisane pomoću XTBL enkriptora i zamijenjene njihovim vlastitim kopijama

Kako dešifrirati datoteke - video

Šta ne treba raditi

  1. Nikada ne preduzimajte radnje u koje niste potpuno sigurni. Bolje je pozvati stručnjaka iz servisni centar ili sami odnesite svoj računar tamo.
  2. Ne otvarati email poruke od nepoznatih pošiljalaca.
  3. Ni u kom slučaju nemojte slijediti primjer zlonamjernika-ucjenjivača, pristajajući da im prenesete novac. Najvjerovatnije to neće dati rezultat.
  4. Nemojte ručno preimenovati ekstenzije šifrovanih datoteka i nemojte žuriti da ponovo instalirate Windows. Možda će biti moguće pronaći rješenje koje će ispraviti situaciju.

Prevencija

Pokušajte instalirati pouzdana zaštita od prodiranja u vaš računar XTBL ransomware-a i sličnih ransomware virusa. Ovi programi uključuju:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

Unatoč činjenici da su svi na engleskom, rad s takvim uslužnim programima je prilično jednostavan. Pokrenite program i odaberite nivo zaštite u postavkama.


Pokretanje aplikacije i odabir nivoa zaštite

Ako ste se morali suočiti s virusom ransomware koji šifrira datoteke na vašem računalu, onda, naravno, ne biste trebali odmah očajavati. Pokušajte koristiti predložene metode za oporavak oštećenih informacija. Često to daje pozitivan rezultat. Ne koristiti za uklanjanje XTBL ransomware neprovjereni programi nepoznatih programera. Uostalom, ovo može samo pogoršati situaciju. Ako je moguće, instalirajte na svoj PC jedan od programa koji sprječavaju rad virusa i provodite ga po redovnom rasporedu Windows skeniranje za zlonamerne procese.

Tipično, zlonamjerni softver radi kako bi stekao kontrolu nad računarom, uključio ga u zombi mrežu ili ukrao lične podatke. Nepažljiv korisnik možda neće dugo primijetiti da je sistem zaražen. Ali ransomware, posebno xtbl, radi na potpuno drugačiji način. Oni čine korisničke datoteke neupotrebljivim tako što ih šifriraju najsloženijim algoritmom i zahtijevaju veliku svotu od vlasnika za mogućnost povrata informacija.

Uzrok problema: xtbl virus

Xtbl ransomware virus je dobio ime po tome što korisnički dokumenti šifrirani njime dobijaju ekstenziju .xtbl. Tipično, koderi ostavljaju ključ u tijelu datoteke tako da univerzalni program za dešifriranje može vratiti informacije u originalni oblik. Međutim, virus je dizajniran za druge svrhe, pa se umjesto ključa na ekranu pojavljuje ponuda za plaćanje određenog iznosa korištenjem anonimnih podataka.

Kako radi xtbl virus

Virus ulazi u računar uz pomoć e-mail e-poruke sa zaraženim prilozima datoteka kancelarijske aplikacije. Nakon što korisnik otvori sadržaj poruke, zlonamjerni softver počinje tražiti fotografije, ključeve, video zapise, dokumente i tako dalje, a zatim ih pomoću originalnog složenog algoritma (hibridna enkripcija) pretvara u xtbl skladišta.

Virus koristi sistemske fascikle za skladištenje svojih datoteka.

Virus se dodaje na startup listu. Da bi to uradio, dodaje unose u Windows registar u odjeljcima:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Zaraženi računar radi stabilno, sistem se ne ruši, već ulazi ram memorija uvijek postoji mala aplikacija (ili dvije) s nerazumljivim imenom. A fascikle sa radnim fajlovima korisnika poprimaju čudan izgled.

Sljedeća poruka se pojavljuje na radnoj površini umjesto početnog ekrana:

Vaši fajlovi su šifrirani. Da ih dešifrujete, morate poslati kod na e-mail adresa: [email protected](šifra slijedi). Tada ćete dobiti daljnje upute. Samostalni pokušaji dešifriranja datoteka dovest će do njihovog potpunog uništenja.

Isti tekst je sadržan u generiranoj datoteci Kako dešifrirati vaše files.txt. Adresa e-pošte, kod, traženi iznos se mogu promijeniti.

Često neki prevaranti zarađuju novac na drugima - broj se ubacuje u tijelo virusa e-novčanik ransomware koji nema način da dešifruje datoteke. Dakle, lakovjerni korisnik koji šalje novac ne dobija ništa zauzvrat.

Zašto ne biste trebali plaćati iznuđivače

Nemoguće je pristati na saradnju sa iznuđivačima ne samo zbog moralnih principa. Ovo je takođe nerazumno sa praktične tačke gledišta.

  1. Prijevara. Nije sigurno da će napadači moći dešifrirati vaše datoteke. Ni jedna od navodno dešifriranih fotografija koja vam je vraćena ne služi kao dokaz – možda je jednostavno original ukraden prije šifriranja. Uplaćeni novac će biti beskorisan.
  2. Mogućnost ponavljanja. Potvrđujući svoju spremnost da platite, postat ćete poželjniji plijen za drugi napad. Možda će sljedeći put vaši fajlovi imati drugačiju ekstenziju i druga poruka će se pojaviti na uvodnom ekranu, ali novac će ići istim ljudima.
  3. Povjerljivost. Dok su fajlovi, iako šifrovani, na vašem računaru. Pregovaranjem sa "poštenim negativcima" bićete primorani da im pošaljete sve svoje lične podatke. Algoritam ne predviđa dobijanje ključa i nezavisnu dešifrovanje, već samo slanje datoteka u dekoder.
  4. Kompjuterska infekcija. Vaš računar je još uvijek zaražen, tako da dešifriranje datoteka nije potpuno rješenje problema.

Kako zaštititi svoj sistem od virusa

Univerzalna pravila protiv zlonamjernog softvera i minimiziranja štete pomoći će i u ovom slučaju.

  1. Čuvajte se nasumičnih veza. Nema potrebe za otvaranjem e-pošte primljenih od nepoznatih pošiljatelja, uključujući reklame i bonus ponude. U ekstremnim slučajevima, možete ih pročitati tako što ćete prvo spremiti prilog na disk i provjeriti ga antivirusom.
  2. Uživajte u zaštiti. Antivirusni programi neprestano popunjavaju biblioteke zlonamjernih kodova, tako da trenutna verzija Defender neće propustiti većinu virusa na vašem računaru.
  3. Distribuirajte pristup. Virus će uzrokovati mnogo više štete ako uđe kroz njega račun administrator. Bolje je raditi u ime korisnika, čime se dramatično sužava mogućnost infekcije.
  4. Stvoriti rezervne kopije. Važne informacije treba redovno praviti rezervne kopije na spoljnim medijima koji se čuvaju odvojeno od računara. Takođe, ne zaboravite kreirati rezervne tačke Windows oporavak.

Da li je moguće povratiti šifrirane informacije

Dobra vijest je da je oporavak podataka moguć. Loša vijest: ne možete to učiniti sami. Razlog tome je posebnost algoritma šifriranja, za odabir ključa za koji je potrebno mnogo više resursa i akumuliranog znanja od redovni korisnik. Srećom, antivirusni programeri smatraju da je stvar časti pozabaviti se svakim zlonamjernim softverom, pa čak i ako se trenutno ne mogu nositi s vašim ransomwareom, sigurno će pronaći rješenje za mjesec ili dva. Morat ćete biti strpljivi.

Zbog potrebe kontaktiranja stručnjaka, algoritam za rad sa zaraženim računarom se mijenja. Opšte pravilo: što manje promjena, to bolje. Antivirusi određuju način liječenja prema „generičkim karakteristikama“ zlonamjernog programa, stoga su zaražene datoteke izvor za njih važna informacija. Morate ih ukloniti tek nakon što riješite glavni problem.

Drugo pravilo: zaustaviti virus po svaku cijenu. Možda još nije pokvario sve informacije, a tragovi enkriptora su ostali u RAM-u, s kojim ga možete identificirati. Stoga morate odmah isključiti računar iz mreže, a laptop isključiti dugim pritiskom na dugme za mrežu. Ovaj put, standardna "nježna" procedura gašenja, koja omogućava da svi procesi napuste graciozan, neće raditi, jer jedan od njih kodira vaše podatke.

Vraćanje šifriranih datoteka

Ako ste isključili računar

Ako ste uspjeli isključiti računalo prije završetka procesa šifriranja, onda ga ne morate sami uključivati. "Bolesne" odmah odnesite specijalistima, prekinuto kodiranje značajno povećava šanse za spremanje ličnih datoteka. Ovdje također možete sigurno provjeriti svoje medije za pohranu i napraviti sigurnosne kopije. Sa velikom vjerovatnoćom, sam virus će biti poznat, pa će liječenje biti uspješno.

Ako je šifriranje završeno

Nažalost, šansa za uspješno prekidanje procesa šifriranja je vrlo mala. Obično virus ima vremena da kodira datoteke i ukloni nepotrebne tragove sa računara. I sada imate dva problema: Windows je i dalje zaražen, a lični fajlovi su se pretvorili u skup znakova. Da biste riješili drugi problem, trebate koristiti pomoć proizvođača antivirusnog softvera.

Dr. Web

Dr.Web Lab pruža svoje usluge dešifriranja besplatno samo vlasnicima komercijalnih licenci. Drugim riječima, ako još niste njihov kupac, ali želite oporaviti svoje datoteke, morat ćete kupiti program. S obzirom na trenutnu situaciju, ovo je prava investicija.

Sljedeći korak je odlazak na web stranicu proizvođača i popunjavanje formulara za prijavu.

Ako među šifriranim datotekama ima onih čije su kopije pohranjene na vanjskim medijima, njihov prijenos će uvelike olakšati rad dekodera.

Kaspersky

Kaspersky Lab je razvio sopstveni uslužni program za dešifrovanje pod nazivom RectorDecryptor, koji se može preuzeti na računar sa zvaničnog sajta kompanije.

Za svaku verziju operativni sistem, uključujući Windows 7, ima svoj vlastiti uslužni program. Nakon preuzimanja, pritisnite dugme na ekranu „Pokreni skeniranje“.

Rad službi može kasniti neko vrijeme ako je virus relativno nov. U tom slučaju kompanija obično šalje obavijest. Ponekad dešifriranje može potrajati nekoliko mjeseci.

Ostale usluge

Sve je više servisa sa sličnim funkcijama, što ukazuje na potražnju za uslugama dešifriranja. Algoritam radnji je isti: idemo na stranicu (na primjer, https://decryptolocker.com/), registriramo se i šaljemo šifriranu datoteku.

Programi dekodera

Postoji mnogo ponuda „univerzalnih dekodera“ (naravno, plaćenih) na mreži, ali je njihova korisnost upitna. Naravno, ako sami proizvođači virusa napišu dešifrator, on će uspješno raditi, ali isti program će biti beskoristan za drugu zlonamjernu aplikaciju. Osim toga, stručnjaci koji se redovno susreću s virusima obično imaju kompletan paket neophodne komunalije, tako da imaju sve pokrenute programe sa velikom vjerovatnoćom. Kupovina takvog dekodera će vjerovatno biti gubitak novca.

Kako dešifrirati datoteke koristeći Kaspersky Lab - video

Samopovraćaj informacija

Ako iz nekog razloga ne možete kontaktirati stručnjake treće strane, možete pokušati sami povratiti podatke. Rezervisaćemo da u slučaju kvara, fajlovi mogu biti trajno izgubljeni.

Oporavak izbrisanih fajlova

Nakon šifriranja, virus se uklanja izvorne datoteke. Međutim, Windows 7 pohranjuje sve izbrisane informacije neko vrijeme u obliku takozvane kopije u sjeni.

ShadowExplorer je uslužni program dizajniran za vraćanje datoteka iz njihovih kopija u sjeni.

PhotoRec

Besplatni uslužni program PhotoRec radi na istom principu, ali u batch modu.

  1. Preuzmite arhivu sa web stranice programera i raspakirajte je na disk. Izvršni fajl se zove QPhotoRec_Win.
  2. Kada se pokrene, aplikacija će prikazati listu svih dostupnih disk uređaja u dijaloškom okviru. Odaberite onu gdje su pohranjene šifrirane datoteke i odredite putanju za spremanje vraćenih kopija.

    Za skladištenje je bolje koristiti eksterne medije, kao što je USB fleš disk, jer je svako upisivanje na disk opasno brisanjem sjenčanih kopija.

  3. Nakon što odaberete željene direktorije, pritisnite dugme za okvir Formati datoteka.
  4. Padajući meni je lista tipova datoteka koje aplikacija može oporaviti. Prema zadanim postavkama, postoji kvačica pored svake, međutim, da biste ubrzali rad, možete ukloniti dodatne "ptice", ostavljajući samo one koje odgovaraju tipovima datoteka koje se vraćaju. Kada završite sa odabirom, pritisnite dugme OK na ekranu.
  5. Kada se izbor završi, dugme za pretragu na ekranu postaje dostupno. Kliknite na njega. Postupak oporavka je dugotrajan proces, stoga budite strpljivi.
  6. Nakon što sačekate da se proces završi, pritisnite dugme za izlaz na ekranu i izađite iz programa.
  7. Obnovljene datoteke se nalaze u prethodno navedenom direktoriju i podijeljene u foldere s istim nazivima recup_dir.1, recup_dir.2, recup_dir.3 i tako dalje. Prođite kroz svaki redom i vratite im originalna imena.

Uklanjanje virusa

Pošto je virus ušao u računar, instaliran zaštitni programi nisu uspjeli u svom zadatku. Možete pokušati potražiti pomoć izvana.

Bitan! Uklanjanje virusa liječi računar, ali ne vraća šifrovane datoteke. Osim toga, instaliranje novog softvera može oštetiti ili izbrisati neke od zasjenjenih kopija datoteka potrebnih za njihovo vraćanje. Stoga je bolje instalirati aplikacije na druge diskove.

Kaspersky Virus Removal Tool

Besplatan program poznatog programera antivirusnog softvera, koji se može preuzeti sa Kaspersky Lab web stranice. Poslije pokretanje Kaspersky Alat za uklanjanje virusa traži od vas da odmah započnete skeniranje.

Nakon pritiska na veliko dugme na ekranu "Pokreni skeniranje", program počinje da skenira računar.

Ostaje pričekati kraj skeniranja i ukloniti pronađene nepozvane goste.

Malwarebytes Anti-malware

Još jedan programer antivirusnog softvera koji nudi besplatna verzija skener. Algoritam akcija je isti:

  1. Preuzmi sa službena stranica instalacijski fajl proizvođača za Malwarebytes Anti-malware, zatim pokrenite instalacijski program tako što ćete odgovoriti na pitanja i kliknuti na Dalje.
  2. Glavni prozor će od vas tražiti da odmah ažurirate program (korisna procedura za ažuriranje virusnih baza podataka). Nakon toga pokrenite provjeru klikom na odgovarajuće dugme.
  3. Malwarebytes Anti-malware skenira sistem korak po korak, prikazujući srednje rezultate na ekranu.
  4. Pronađeni virusi, uključujući ransomware, prikazani su u završnom prozoru. Riješite ih se pritiskom na dugme "Izbriši odabrano" na ekranu.

    Za ispravno brisanje neke zlonamjerne aplikacije Malwarebytes Anti-malware će od vas zatražiti da ponovo pokrenete sistem, morate se složiti s tim. Nakon nastavka rada windows antivirus nastavite sa čišćenjem.

Šta ne treba raditi

Virus XTBL, kao i drugi ransomware virusi, oštećuje i sistem i korisničke informacije. Stoga, da biste smanjili moguću štetu, potrebno je poduzeti neke mjere opreza:

  1. Nemojte čekati da se šifriranje završi. Ako je šifriranje datoteke počelo pred vašim očima, ne biste trebali čekati kako će se završiti ili pokušavati programski prekinuti proces. Odmah isključite napajanje računara i pozovite stručnjake.
  2. Ne pokušavajte sami ukloniti virus ako možete vjerovati profesionalcima.
  3. Nemojte ponovo instalirati sistem do kraja tretmana. Virus će sigurno zaraziti i novi sistem.
  4. Nemojte preimenovati šifrovane datoteke. Ovo će samo zakomplicirati rad dekodera.
  5. Ne pokušavajte čitati zaražene datoteke na drugom računaru dok se virus ne ukloni. To može dovesti do širenja infekcije.
  6. Ne plaćajte iznuđivače. Ovo je beskorisno i potiče kreatore virusa i prevarante.
  7. Ne zaboravite na prevenciju. Instaliranje antivirusnog programa, redovite sigurnosne kopije, kreiranje tačaka vraćanja značajno će smanjiti moguću štetu od zlonamjernog softvera.

Liječenje računara zaraženog ransomware virusom je duga i ne uvijek uspješna procedura. Stoga je veoma važno poduzeti mjere opreza kada primate informacije s mreže i radite s neprovjerenim vanjskim medijima.

podsjetiti: Trojanci iz porodice Trojan.Encoder su malware, šifriranje datoteka na hard disku računara i traženje novca za njihovo dešifrovanje. Fajlovi *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar i tako dalje mogu biti šifrovani.
Nije bilo moguće osobno upoznati cijelu porodicu ovog virusa, ali, kako pokazuje praksa, način infekcije, liječenja i dešifriranja je približno isti za sve:
1. žrtva se zarazi putem neželjene e-pošte sa prilogom (rjeđe infekcijom),
2. virus prepoznaje i uklanja (već) gotovo svaki antivirus sa svježim bazama podataka,
3. datoteke se dešifriraju odabirom lozinki-ključeva za vrste šifriranja koje se koriste.
Na primjer, Trojan.Encoder.225 koristi RC4 (modificirano) + DES enkripciju, dok Trojan.Encoder.263 koristi BlowFish u CTR modu. Ovi virusi su trenutno dešifrovani za 99% na osnovu lične prakse.

Ali nije sve tako glatko. Neki ransomware virusi zahtijevaju mjeseci kontinuiranog dešifriranja (Trojan.Encoder.102), dok drugi (Trojan.Encoder.283) uopće ne mogu dešifrirati čak ni stručnjaci Doctor Weba, što, zapravo, igra ključnu ulogu u ovom članku. .

Sada po redu.

Početkom avgusta 2013. kontaktirali su me klijenti sa problemom sa fajlovima šifrovanim virusom Trojan.Encoder.225. Virus je, u to vrijeme, nov, niko ništa ne zna, postoje 2-3 tematska Google linka na internetu. Nakon duge pretrage na internetu, ispostavilo se da je jedina (pronađena) organizacija koja se bavi problemom dešifriranja datoteka nakon ovog virusa Doctor Web. Naime: daje preporuke, pomaže pri kontaktiranju tehničke podrške, razvija vlastite dekriptore itd.

Negativno povlačenje.

I iskoristio bih ovu priliku da istaknem dva tov minus "Kaspersky Lab". Što, kada kontaktirate njihovu tehničku podršku, odbacuje "radimo na ovom pitanju, obavijestit ćemo vas poštom o rezultatima." A ipak, minus je što nikad nisam dobio odgovor na zahtjev. Nakon 4 mjeseca. Jebeš ti vrijeme reakcije. I ovdje težim standardu "ne više od jednog sata od registracije prijave".
Šteta, druže Jevgenij Kasperski, CEO Kaspersky Lab. Ali na njemu "sjedi" dobra polovina svih kompanija. Pa, dobro, licence završavaju u januaru-martu 2014. Vrijedi li razgovarati o tome da li ću produžiti licencu?;)

Predstavljam lica "specijalista" iz "jednostavnijih" kompanija, da tako kažem, NE divova antivirusne industrije. Vjerovatno se općenito "stisnuo u kut" i "tiho plakao".
Mada, šta je tu, apsolutno svi su se “zajebali” do kraja. Antivirus, u principu, nije trebao dozvoliti da ovaj virus uđe u računar. Posebno s obzirom moderne tehnologije. A „oni“, DŽINOVI anti-VIRUS industrije, navodno imaju sve pod kontrolom, „heurističku analizu“, „sistem anticipacije“, „proaktivnu odbranu“...

GDE JE BILO SVI OVI SUPER-SISTEMI KADA JE RADNIK HR OTVORIO "ŠTETNO" PISMO SA PREDMETOM "SAŽETAK"???
Šta zaposleni treba da misli?
Ako nas VI ne možete zaštititi, zašto ste nam onda uopšte potrebni?

I sve bi bilo u redu sa Doctor Webom, ali da biste dobili pomoć, morate, naravno, imati licencu za bilo koji njihov softverski proizvod. Prilikom kontaktiranja tehničke podrške (u daljem tekstu TP), morate dati serijski broj Dr.Web i ne zaboravite odabrati "zahtjev za liječenje" u redu "Kategorija zahtjeva:" ili im jednostavno dostaviti šifriranu datoteku u laboratorij. Odmah ću rezervisati da takozvani „log ključevi“ Dr.Web-a, koji su postavljeni u serijama na Internetu, nisu prikladni, jer ne potvrđuju kupovinu bilo kojeg softverskog proizvoda, već su pregledan od strane stručnjaka za TP za jednu ili dvije. Lakše je kupiti "deshman" licencu. Jer ako ste preuzeli dešifrovanje, ova licenca će vam se isplatiti milion puta. Pogotovo ako je fascikla sa slikama "Egipat 2012" bila u jednom primjerku...

Pokušaj #1

Dakle, nakon što sam kupio “licencu za 2 računara na godinu dana” za n-svotu novca, kontaktirao TP i pružio neke fajlove, dobio sam vezu do te225decrypt.exe uslužnog programa za dešifrovanje verzije 1.3.0.0. U iščekivanju uspjeha, pokrećem uslužni program (morate ga usmjeriti na jedan od šifriranih *. doc fajlovi). Uslužni program pokreće selekciju, nemilosrdno učitavajući 90-100% starog procesora E5300 DualCore, 2600 MHz (overklokan na 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital.
Evo, paralelno sa mnom, u rad je uključen i kolega na core i5 2500k PC-u (overclocking na 4.5ghz) / 16 ram 1600 / ssd intel(ovo je za poređenje proteklog vremena na kraju članka).
Nakon 6 dana, uslužni program je izvijestio o dešifriranju 7277 datoteka. Ali sreća nije dugo trajala. Svi fajlovi su dešifrovani "krivo". to je npr. Microsoft dokumenti office otvoren, ali sa različitim greškama: "Riječ je pronašla sadržaj u *.docx dokumentu koji nije mogao biti pročitan" ili "Ne mogu otvoriti *.docx datoteku zbog grešaka u njenom sadržaju." *.jpg fajlovi se takođe otvaraju ili sa greškom, ili se 95% slike ispostavi da je izbledela crna ili zelena pozadina. *.rar fajlovi imaju "Neočekivani kraj arhive".
Generalno, potpuni neuspjeh.

Pokušaj #2

Pišemo TP o rezultatima. Molimo dostavite nekoliko fajlova. Dan kasnije, opet daju vezu na uslužni program te225decrypt.exe, ali već verziju 1.3.2.0. Pa, da počnemo, tada ionako nije bilo alternative. Potrebno je oko 6 dana i uslužni program završava svoj rad s greškom "Nije moguće odabrati parametre šifriranja." Ukupno 13 dana "u vodu."
Ali mi ne odustajemo, računajte važnih dokumenata naš *glupi* klijent bez elementarnih rezervnih kopija.

Pokušaj #3

Pišemo TP o rezultatima. Molimo dostavite nekoliko fajlova. I, kao što ste možda pretpostavili, dan kasnije daju vezu na isti uslužni program te225decrypt.exe, ali već verziju 1.4.2.0. Pa da počnemo, jer nije bilo alternative, ni od Kaspersky Laba, ni od ESET NOD32, ni od drugih proizvođača antivirusnih rješenja. A sada, nakon 5 dana 3 sata 14 minuta (123,5 sati), uslužni program prijavljuje dešifriranje datoteka (za kolegu na core i5, dešifriranje je trajalo samo 21 sat i 10 minuta).
Pa, mislim da jeste, nije. I o čudu: potpuni uspjeh! Svi fajlovi su ispravno dešifrovani. Sve se otvara, zatvara, izgleda, uređuje i sprema ispravno.

Svi su sretni, KRAJ.

“Gdje je priča o virusu Trojan.Encoder.263?”, pitate. A na sljedećem PC-u, ispod stola... je bilo. Tamo je sve bilo jednostavnije: pišemo u TP Doctor Weba, uzimamo uslužni program te263decrypt.exe, pokrećemo ga, čekamo 6,5 dana, voila! i sve je spremno. Sumirajući, mogu vam dati nekoliko savjeta sa Doctor Web foruma u mom izdanju:

Šta učiniti u slučaju zaraze ransomware virusom:
- poslati u laboratoriju za viruse Dr. Web ili u obrascu „Pošalji sumnjiv fajl» šifrirani doc fajl.
- Sačekajte odgovor od zaposlenika Dr.Web-a, a zatim slijedite njegova uputstva.

Šta NE raditi:
- promijeniti ekstenziju šifriranih datoteka; Inače, s dobro odabranim ključem, uslužni program jednostavno neće "vidjeti" datoteke koje je potrebno dešifrirati.
- samostalno koristite bez savjetovanja sa stručnjacima bilo koje programe za dešifriranje / oporavak podataka.

Pažnja, imajući server oslobođen od drugih zadataka, nudim svoje besplatne usluge dešifriranja VAŠIH podataka. Server core i7-3770K sa overklokom na *određene frekvencije*, 16GB RAM-a i SSD Vertex 4.
Za sve aktivne korisnike Habra, korištenje mojih resursa će biti BESPLATNO!!!
Pisite mi u licne ili druge kontakte. Već sam "pojeo psa" na ovome. Stoga, nisam previše lijen da stavim server za dešifriranje noću.
Ovaj virus je “pošast” modernosti, a uzimanje “plina” od saboraca nije humano. Mada, ako neko "baci" par dolara na moj Yandex.money račun 410011278501419 - neće mi smetati. Ali to uopće nije potrebno. Kontakt. Zahtjeve obrađujem u slobodno vrijeme.

Novi tragovi!

Počevši od 12.08.2013., novi virus iz iste serije Trojan.Encoder počeo se širiti pod klasifikacijom Doctor Weba - Trojan.Encoder.263, ali sa RSA enkripcija. Ovaj pogled od danas (20.12.2013.) nedešifrljivo, jer koristi vrlo jaku metodu šifriranja.

Svima koji su pogođeni ovim virusom preporučujem:
1. Korištenje ugrađenog Windows pretraga pronađite sve datoteke koje sadrže ekstenziju .perfect, kopirajte ih na vanjski medij.
2. Kopirajte isti fajl CONTACT.txt
3. Stavite ovaj vanjski medij na policu.
4. Pričekajte da se pojavi uslužni program za dekoder.

Šta NE raditi:
Ne morate imati posla sa prevarantima. Ovo je glupo. U više od 50% slučajeva, nakon "isplate" od približno 5000 rubalja, nećete dobiti NIŠTA. Nema novca, nema dekodera.
Pošteno radi, treba napomenuti da na Internetu ima onih “sretnika” koji su za “plijen” dešifriranjem vratili svoje fajlove. Ali ne vjerujte ovim ljudima. Da sam pisac virusa, prva stvar koju bih uradio je da širim informacije poput „Platio sam, a oni su mi poslali dešifrovanje!!!“.
Iza ovih "sretnika" možda još uvijek stoje isti napadači.

Pa... hajde da vam ostalima poželimo sreću antivirusne kompanije u kreiranju uslužnog programa za dešifriranje datoteka nakon virusa grupe Trojan.Encoder.

Posebno se zahvaljujemo na radu na kreiranju uslužnih programa za dekodere drugu v.martyanovu sa foruma Doctor Web.

Ransomware hakeri su vrlo slični običnim ucjenjivačima. I u stvarnom svijetu iu sajber okruženju postoji pojedinačni ili grupni objekt napada. Ili je ukraden ili nedostupan. Nadalje, počinioci koriste određena sredstva komunikacije sa žrtvama kako bi prenijeli svoje zahtjeve. Kompjuterski prevaranti obično biraju samo nekoliko formata za poruku o otkupnini, ali njene kopije se mogu naći na gotovo svakoj memorijskoj lokaciji na zaraženom sistemu. U slučaju porodice špijunskog softvera poznate kao Troldesh ili Shade, prevaranti imaju drugačiji pristup kada kontaktiraju žrtvu.

Pogledajmo pobliže ovu vrstu virusa za šifriranje, koja je namijenjena publici koja govori ruski. Većina sličnih infekcija detektuje raspored tastature na napadnutom računaru, a ako je jedan od jezika ruski, upad prestaje. Međutim, ransomware XTBL promiskuitetno: nažalost za korisnike, napad se odvija bez obzira na njihovu geografsku lokaciju i preferencije jezika. Jasno oličenje ove svestranosti je upozorenje koje se pojavljuje kao pozadina radne površine, kao i TXT fajl sa uputstvima za plaćanje otkupnine.

Virus XTBL se obično širi putem neželjene pošte. Poruke su kao pisma poznatih brendova, ili su jednostavno upadljivi jer predmet poruke koristi izraze kao što su "Hitno!" ili "Važni finansijski dokumenti." Phishing trik će raditi kada primalac takve e-pošte. poruke će preuzeti ZIP datoteku koja sadrži JavaScript kod ili Docm objekt s potencijalno ranjivim makroom.

Nakon izvršenja osnovnog algoritma na kompromitovanom računaru, ransomware trojanac nastavlja da traži podatke koji bi mogli biti od vrednosti za korisnika. U tu svrhu, virus skenira lokalni i eksterna memorija, dok istovremeno mapira svaki fajl u skup formata koji se podudaraju na osnovu ekstenzije objekta. Sve .jpg, .wav, .doc, .xls datoteke, kao i mnogi drugi objekti, šifrirani su korištenjem AES-256 simetričnog blok kripto algoritma.

Postoje dva aspekta ovoga štetan uticaj. Prije svega, korisnik gubi pristup važnim podacima. Osim toga, nazivi datoteka su duboko kodirani, što rezultira besmislenim skupom heksadecimalnih znakova kao izlazom. Sve što objedinjuje nazive zahvaćenih datoteka dodaje im se .xtbl ekstenzija, tj. naziv sajber prijetnje. Nazivi šifriranih datoteka ponekad imaju poseban format. U nekim verzijama Troldesha, imena šifriranih objekata mogu ostati nepromijenjena, a na kraju se dodaje jedinstveni kod: [email protected], [email protected], ili [email protected]

Očigledno, napadači, koji su uveli adrese e-pošte. mail direktno u nazive datoteka, ukazati žrtvama kako da komuniciraju. E-pošta je također navedena na drugom mjestu, naime u poruci o otkupnini koja se nalazi u datoteci “Readme.txt”. Takvi Notepad dokumenti će se pojaviti na radnoj površini, kao iu svim folderima sa kodiranim podacima. Ključna poruka je:

“Svi fajlovi su šifrirani. Da biste ih dešifrirali, potrebno je da pošaljete kod: [Vaša jedinstvena šifra] na adresu e-pošte [email protected] ili [email protected] Zatim dobijate sve neophodna uputstva. Pokušaji samostalnog dešifriranja neće dovesti do ničega, osim do nepovratnog gubitka informacija”

Adresa e-pošte može se promijeniti ovisno o grupi ransomwarea koja širi virus.

U vezi dalji razvoj događaji: općenito, prevaranti odgovaraju preporukom otkupnine, koja može biti 3 bitcoina ili drugi iznos u ovom rasponu. Imajte na umu da niko ne može garantovati da će hakeri održati obećanje čak i nakon što dobiju novac. Za vraćanje pristupa .xtbl datotekama, pogođenim korisnicima se savjetuje da prvo isprobaju sve dostupne alternativne metode. U nekim slučajevima, podaci se mogu urediti korištenjem usluge sjena kopija volumeni (Volume Shadow Copy), koji se nalaze direktno u Windows OS-u, kao i programi za dešifriranje i oporavak podataka nezavisnih programera softvera.

Uklonite XTBL ransomware automatskim čistačem

Isključivo efikasan metod bave se malverom općenito i ransomwareom posebno. Upotreba dokazanog sigurnosnog kompleksa jamči temeljitost detekcije bilo koje virusne komponente, njihove potpuno uklanjanje jednim klikom. Bilješka, mi pričamo o dva različita procesa: deinstaliranju infekcije i vraćanju datoteka na vaš PC. Međutim, prijetnju svakako treba ukloniti, jer postoje informacije o uvođenju drugih kompjuterskih trojanaca uz njenu pomoć.

  1. . Nakon pokretanja softvera, kliknite na dugme Pokrenite skeniranje računara(Pokreni skeniranje).
  2. Instalirani softver će dati izvještaj o prijetnjama otkrivenim tokom skeniranja. Da biste uklonili sve pronađene prijetnje, odaberite opciju Fix Threats(Uklonite prijetnje). Predmetni zlonamjerni softver će biti u potpunosti uklonjen.

Vratite pristup šifrovanim datotekama sa ekstenzijom .xtbl

Kao što je napomenuto, XTBL ransomware zaključava datoteke snažnim algoritmom šifriranja, tako da se šifrirani podaci ne mogu vratiti mahanjem čarobnog štapića - ako se ne uzme u obzir plaćanje nečuvenog otkupa. Ali neke metode zaista mogu postati spas koji će vam pomoći da povratite važne podatke. U nastavku se možete upoznati sa njima.

Decryptor - program za automatski oporavak datoteka

Poznata je vrlo neobična okolnost. Ova infekcija briše originalne datoteke u nešifriranom obliku. Proces iznuđivanja enkripcije stoga cilja na njihove kopije. Ovo omogućava softverske alate kao što je oporavak izbrisanih objekata, čak i ako je zagarantovana pouzdanost njihovog uklanjanja. Preporučljivo je pribjeći proceduri oporavka datoteka, čija je učinkovitost potvrđena više puta.

Volume Shadow Copies

Pristup se zasniva na Windows procedura Rezervna kopija datoteke, što se ponavlja u svakoj tački vraćanja. Važan uslov rad ovu metodu: Oporavak sistema mora biti aktiviran prije infekcije. Međutim, sve promjene napravljene u datoteci nakon točke vraćanja neće se odraziti na vraćenu verziju datoteke.

Backup

Ovo je najbolja od svih metoda bez otkupa. Ako je procedura za pravljenje rezervnih kopija podataka na eksternom serveru korišćena pre nego što je ransomware napao vaš računar, da biste vratili šifrovane datoteke, jednostavno morate da uđete u odgovarajući interfejs, izaberite potrebne datoteke i pokrenuti mehanizam za vraćanje podataka iz sigurnosne kopije. Prije izvođenja operacije, morate biti sigurni da je ransomware potpuno uklonjen.

Provjerite postoji li moguće prisustvo preostalih komponenti XTBL ransomware virusa

Ručno čišćenje je ispunjeno rizikom da nedostaju dijelovi ransomware-a koji mogu izbjeći uklanjanje u obliku skrivenih objekata operativnog sistema ili unosa u registar. Da biste eliminirali rizik od djelomičnog očuvanja pojedinačnih zlonamjernih elemenata, skenirajte svoje računalo pomoću pouzdanog univerzalnog antivirusnog kompleksa.

Činjenica da je internet pun virusa danas nikoga ne iznenađuje. Mnogi korisnici doživljavaju situacije vezane za njihov uticaj na sisteme ili lične podatke, najblaže rečeno, gledajući kroz prste, ali samo dok se virus za šifrovanje posebno ne nastani u sistemu. Većina običnih korisnika ne zna kako izliječiti i dešifrirati podatke pohranjene na tvrdom disku. Dakle, ovaj kontingent se "vodi" na zahteve koje postavljaju uljezi. Ali hajde da vidimo šta se može učiniti ako se takva pretnja otkrije ili da se spreči njen prodor u sistem.

Šta je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji u potpunosti mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, otvaranje šifrovane tekstualne datoteke za čitanje ili uređivanje, kao i reprodukciju multimedijalnog sadržaja (grafike, video ili audio), nakon izlaganja virusu, bit će apsolutno nemoguće. Čak ni standardne radnje za kopiranje ili premještanje objekata nisu dostupne.

Samo softversko punjenje virusa je alat koji šifrira podatke na takav način da nije uvijek moguće vratiti njihovo prvobitno stanje čak ni nakon što je prijetnja uklonjena iz sistema. Tipično, takvi zlonamjerni programi stvaraju svoje kopije i vrlo se duboko nasele u sistemu, tako da može biti potpuno nemoguće ukloniti virus šifriranja datoteka. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne oslobađa utjecaja prijetnje, a da ne spominjemo oporavak šifriranih informacija.

Kako prijetnja ulazi u sistem?

Po pravilu, prijetnje ovog tipa su uglavnom usmjerene na velike komercijalne strukture i mogu prodrijeti u kompjutere programi za e-poštu, kada zaposlenik otvori navodno priloženi dokument u e-mailu, koji je, recimo, dodatak nekoj vrsti ugovora o saradnji ili planu nabavke proizvoda (komercijalne ponude sa prilozima iz sumnjivih izvora su prvi put za virus) .

Problem je što virus ransomware na mašini koja ima pristup lokalna mreža, može mu se prilagoditi, stvarajući vlastite kopije ne samo u mrežno okruženje, ali i na administratorskom terminalu, ako nema potrebne alate zaštite u vidu antivirusnog softvera, firewall-a ili firewall-a.

Ponekad takve prijetnje mogu prodrijeti i u kompjuterske sisteme običnih korisnika, koji, uglavnom, nisu od interesa za uljeze. To se događa u vrijeme instalacije nekih programa preuzetih sa sumnjivih Internet resursa. Mnogi korisnici zanemaruju upozorenja kada započnu preuzimanje. antivirusni sistem zaštite, a tokom procesa instalacije ne obraćaju pažnju na ponude za ugradnju dodatnog softvera, panela ili dodataka za pretraživače, a onda se, kako kažu, grizu za laktove.

Različiti virusi i malo istorije

U osnovi, prijetnje ovog tipa, a posebno najviše opasni ransomware virus No_more_ransom, klasificiraju se ne samo kao alati za šifriranje podataka ili blokiranje pristupa njima. U stvari, svi jesu zlonamjerne aplikacije spadaju u kategoriju ransomware-a. Drugim riječima, napadači zahtijevaju određenu svotu novca za dešifriranje informacija, vjerujući da će ovaj proces biti nemoguće provesti bez inicijalnog programa. Djelomično je tako.

Ali, ako zadubite u istoriju, možete vidjeti da je jedan od prvih virusa ovog tipa, iako nije postavljao zahtjeve za novcem, bio zloglasni aplet I Love You, koji je potpuno šifriran u korisničkih sistema multimedijalne datoteke (uglavnom muzičke numere). Dešifriranje datoteka nakon ransomware virusa u to vrijeme pokazalo se nemogućim. Sada je upravo sa tom prijetnjom moguće boriti se elementarno.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Šta ima među virusima - ovdje imate i XTBL, i CBF, i Breaking_Bad, i [email protected], i gomila drugih sranja.

Metodologija utjecaja na korisničke datoteke

I ako je do nedavno većina napada vršena korištenjem RSA-1024 algoritama zasnovanih na AES enkripcija sa istom dubinom bita, isti virus za šifrovanje No_more_ransom danas je predstavljen u nekoliko interpretacija koristeći ključeve za šifrovanje zasnovane na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dekodiranja korištenih algoritama

Problem je u tome savremeni sistemi dešifrovanje pred takvom opasnošću pokazalo se nemoćnim. Dešifriranje datoteka nakon virusa za šifriranje baziranog na AES256 još uvijek je nekako podržano, a s većom brzinom bita ključa, gotovo svi programeri jednostavno sliježu ramenima. To su, inače, službeno potvrdili stručnjaci iz Kaspersky Lab-a i Eset-a.

U najprimitivnijoj verziji, korisnik koji je kontaktirao službu podrške pozvan je da pošalje šifriranu datoteku i njen original radi upoređivanja i daljnjih operacija za određivanje algoritma šifriranja i metoda oporavka. Ali, u pravilu, u većini slučajeva to ne funkcionira. Ali virus šifriranja može sam dešifrirati datoteke, kako se vjeruje, pod uslovom da žrtva pristane na uslove napadača i plati određeni iznos u novčanom smislu. Međutim, takva formulacija pitanja izaziva opravdane sumnje. I zato.

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Navodno, nakon uplate, hakeri aktiviraju dešifriranje putem daljinski pristup na vlastiti virus, koji se nalazi u sistemu, ili preko dodatnog appleta, ako je tijelo virusa izbrisano. Izgleda više nego sumnjivo.

Napominjem i činjenicu da je internet pun lažnih postova u kojima se navodi da je, kažu, uplaćena potrebna suma, a podaci su uspješno vraćeni. Sve su to laži! A istina je - gdje je garancija da se nakon plaćanja virus šifriranja u sistemu neće ponovo aktivirati? Nije teško razumjeti psihologiju provalnika: ako jednom platiš, platit ćeš opet. A kada su u pitanju posebno važne informacije, poput konkretnih komercijalnih, naučnih ili vojnih dešavanja, vlasnici takvih informacija spremni su da plate koliko žele, sve dok su fajlovi sigurni i zdravi.

Prvi lijek za prijetnju

Takva je priroda ransomware virusa. Kako izliječiti i dešifrirati datoteke nakon što su bili izloženi prijetnji? Da, nema šanse, ako nema improviziranih sredstava, koja također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se u sistemu pojavio ransomware virus. Kako izliječiti zaražene fajlove? Za početak, trebalo bi da izvršite dubinsko skeniranje sistema bez upotrebe S.M.A.R.T. tehnologije, koja omogućava otkrivanje pretnji samo kada su oštećene boot sektori i sistemske datoteke.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već promašio prijetnju, već primijeniti prenosivi uslužni programi. Najbolja opcija bi bila pokretanje sa Kaspersky diska Rescue Disk, koji se može pokrenuti i prije pokretanja operativnog sistema.

Ali ovo je samo pola bitke, jer se na ovaj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. O tome kako dešifrirati informacije će se raspravljati zasebno, ali za sada se fokusirajmo na činjenicu da oni mogu sasvim otvoreno postojati u sistemu u obliku službenog instalirane programe i aplikacije (arogancija napadača ne poznaje granice, budući da prijetnja ni ne pokušava da se prikrije).

U ovom slučaju, trebali biste koristiti odjeljak Programi i funkcije, gdje standardno brisanje. Međutim, morate obratiti pažnju na činjenicu da standardni deinstalator Windows sistema ne uklanja u potpunosti sve programske datoteke. Konkretno, virus enkripcije otkupnine može stvoriti sopstvene fascikle u osnovnim direktorijumima sistema (obično su to direktorijumi Csrss, gde se nalazi izvršna datoteka csrss.exe istog imena). Odabrano kao glavna lokacija Windows folderi, System32 ili korisničkih direktorija (Korisnici na sistemskom disku).

Osim toga, virus enkripcije No_more_ransom upisuje vlastite ključeve u registar u obliku veze, čini se, na službenu sistemski servis Client Server Runtime Subsystem, što je za mnoge obmanjujuće, budući da bi ovaj servis trebao biti odgovoran za interakciju između klijentskog i serverskog softvera. Sam ključ se nalazi u folderu Run, do kojeg se može doći preko HKLM grane. Jasno je da ćete takve ključeve morati ručno izbrisati.

Da biste to olakšali, možete koristiti pomoćne programe kao što je iObit Uninstaller koji traže rezidualni fajlovi i automatski ključevi registratora (ali samo ako je virus vidljiv u sistemu kao instalirana aplikacija). Ali ovo je najlakše učiniti.

Rješenja koja nude programeri antivirusnog softvera

Dešifriranje virusa za šifriranje, kako se vjeruje, može se obaviti pomoću specijalne usluge, iako ako postoje tehnologije sa ključem od 2048 ili 3072 bita, na njih ne treba baš računati (osim toga, mnoge od njih brišu datoteke nakon dešifriranja, a zatim oporavljene datoteke nestaju zbog prisustva tijela virusa koje ranije nije izbrisan).

Međutim, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje još nije stvoreno. Ali problem može biti i u činjenici da kada pokušate da koristite dešifrator, nema garancije da izlečeni fajlovi neće biti izbrisani. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, može doći do fatalnog ishoda - cijeli sistem će biti nefunkcionalan. Osim toga, moderni ransomware virus može utjecati ne samo na podatke pohranjene na tvrdom disku računara, već i na datoteke u skladištu u oblaku. I nema rješenja za oporavak podataka. Osim toga, kako se ispostavilo, u mnogim uslugama se poduzimaju nedovoljno efikasne mjere zaštite (isti ugrađeni OneDrive u Windows 10, na koji se utiče direktno iz operativnog sistema).

Radikalno rješenje problema

Kao što je već jasno, najsavremenije metode pozitivan rezultat kada je zaražen takvim virusima ne daje. Naravno, ako postoji original oštećen fajl, može se poslati na ispitivanje u antivirusnu laboratoriju. Istina, postoje i vrlo ozbiljne sumnje da će običan korisnik kreirati rezervne kopije podataka na koje, kada se pohranjuju na hard disk, također može utjecati. zlonamjernog koda. A o činjenici da korisnici kopiraju informacije na prijenosni medij, kako bi izbjegli nevolje, uopće ne govorimo.

Dakle za kardinalna odluka problem zaključak se nameće sam od sebe: potpuno formatiranje hard disk i sve logičke particije sa uklanjanjem informacija. Pa šta da radimo? Morat ćete donirati ako ne želite da se virus ili njegova samosčuvana kopija ponovo aktiviraju u sistemu.

Za to ne biste trebali koristiti alate samih Windows sistema (što znači formatiranje virtuelne particije, jer ako pokušate da pristupite sistemskom disku, biće izdata zabrana). Bolje je koristiti dizanje s optičkih medija kao što je LiveCD ili instalacijske distribucije, na primjer, kreiran pomoću uslužnog programa Media Creation Alat za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sistema, možete pokušati vratiti integritet komponenti sistema putem komandna linija(sfc /scannow), ali u smislu dešifriranja i otključavanja podataka, ovo neće raditi. Stoga je format c: jedini ispravan. Moguće rješenje sviđalo ti se to ili ne. Ovo je jedini način da se u potpunosti riješite ovih vrsta prijetnji. Avaj, nema drugog načina! Čak i liječenje standardnim lijekovima koje nudi većina antivirusni paketi ispada da je nemoćan.

Umjesto pogovora

U smislu očiglednih zaključaka, možemo samo reći da je jedinstvena i rješenje na jednom mjestu kako bi se uklonile posljedice utjecaja takvih prijetnji danas ne postoji (tužno, ali istinito - to potvrđuje većina programera antivirusnog softvera i kriptografa).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji propuštali oni koji su direktno uključeni u razvoj i implementaciju ovakvih tehnologija? Zaista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Biljeska! 256! Ovaj sistem, kako se ispostavilo, nije pogodan za moderne viruse. Što onda reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, prilično je lako izbjeći uvođenje prijetnje u sistem. U samom jednostavna verzija treba provjeriti sve dolazne poruke sa prilozima Outlook programi, Thunderbird i druge e-mail klijente sa antivirusom odmah po prijemu i ni u kom slučaju ne otvarajte priloge do kraja skeniranja. Također treba pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili maskirani u standardne dodatke kao što su flash ažuriranja Igrač ili bilo šta drugo). Medijske komponente se najbolje ažuriraju preko službenih stranica. Samo na taj način moguće je barem nekako spriječiti prodor ovakvih prijetnji sopstveni sistem. Posljedice mogu biti potpuno nepredvidive, s obzirom da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za kompaniju se takav razvoj događaja može pretvoriti u pravi kolaps svih poduhvata.

Konačno, i Administrator sistema ne bi trebalo da sedi besposlen. Softver zaštitu u takvoj situaciji bolje je isključiti. Isti firewall firewall) ne bi trebao biti softver, već “hardver” (naravno, sa povezanim softverom na ploči). I, podrazumjeva se da se ušteda na kupovini antivirusnih paketa također ne isplati. Bolje kupiti licencni paket, a ne instalirati primitivne programe koji navodno pružaju zaštitu u realnom vremenu samo od riječi programera.

A ako je prijetnja već prodrla u sistem, redoslijed radnji trebao bi uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaje dešifriranja oštećenih podataka. U idealnom slučaju, potpuno formatiranje (imajte na umu, ne brzo sa brisanjem sadržaja, već potpuno, po mogućnosti sa vraćanjem ili zamjenom postojećeg sistem podataka, sektori za pokretanje i zapisi).

Top Related Articles

O nagradi mus-tv Glasanje za mus tv nominacije
O nagradi mus-tv Glasanje za mus tv nominacije
Nagrada
Nagrada "Za doprinos razvoju muzičke industrije"
Kako djeluje virus gripe: zašto se razbolijevamo?
Kako djeluje virus gripe: zašto se razbolijevamo?
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.