Ransomware virus: kako ga ukloniti i vratiti šifrirane datoteke. Datoteke sa ekstenzijom .xtbl - kako dešifrirati i oporaviti informacije

Da li vam se ikada dogodilo da ste putem e-pošte, Skypea ili ICQ-a dobili poruku od nepoznatog pošiljaoca sa linkom do fotografije vašeg prijatelja ili čestitkom za predstojeći praznik? Čini se da ne očekujete nikakvu vrstu podešavanja, a odjednom, kada kliknete na link, na vaš računar se preuzima ozbiljan zlonamjerni softver. Prije nego što shvatite, virus je već šifrirao sve vaše datoteke. Šta učiniti u takvoj situaciji? Da li je moguće vratiti dokumente?

Da biste razumjeli kako se nositi sa zlonamjernim softverom, morate znati šta je to i kako prodire u operativni sistem. Osim toga, uopće nije važno koju verziju Windowsa koristite - virus Critroni ima za cilj zaraziti bilo koji operativni sistem.

Računalni virus za šifriranje: definicija i algoritam djelovanja

Na internetu se pojavio novi kompjuterski virusni softver, mnogima poznat kao CTB (Curve Tor Bitcoin) ili Critroni. Ovo je poboljšani trojanski ransomware, u principu sličan ranije poznatom zlonamjernom softveru CriptoLocker. Ako je virus šifrirao sve datoteke, što učiniti u ovom slučaju? Prije svega, morate razumjeti algoritam njegovog rada. Suština virusa je da šifrira sve vaše datoteke sa ekstenzijama .ctbl, .ctb2, .vault, .xtbl ili drugim. Međutim, nećete ih moći otvoriti dok ne uplatite traženi iznos novca.

Trojan-Ransom.Win32.Shade i Trojan-Ransom.Win32.Onion virusi su uobičajeni. U lokalnoj akciji vrlo su slični STV-u. Mogu se razlikovati po ekstenziji šifriranih datoteka. Trojan-Ransom kodira informacije u .xtbl formatu. Kada otvorite bilo koji fajl, na ekranu se pojavljuje poruka u kojoj se navodi da su vaši lični dokumenti, baze podataka, fotografije i drugi fajlovi šifrovani malverom. Da biste ih dešifrirali, potrebno je platiti jedinstveni ključ, koji je pohranjen na tajnom serveru, i samo u tom slučaju moći ćete izvršiti dešifriranje i kriptografske operacije sa svojim dokumentima. Ali ne brinite, a još manje pošaljite novac na navedeni broj; postoji još jedan način za borbu protiv ove vrste cyber kriminala. Ako je upravo takav virus ušao na vaš računar i šifrirao sve .xtbl fajlove, šta učiniti u takvoj situaciji?

Šta ne raditi ako virus šifriranja prodre u vaš računar

Dešava se da u panici instaliramo antivirusni program i uz njegovu pomoć automatski ili ručno uklonimo virusni softver, uz gubljenje važnih dokumenata. Ovo je neugodno, osim toga, računar može sadržavati podatke na kojima radite mjesecima. Šteta je izgubiti takve dokumente bez mogućnosti njihovog povrata.

Ako je virus šifrirao sve .xtbl datoteke, neki pokušavaju promijeniti ekstenziju, ali to također ne dovodi do pozitivnih rezultata. Ponovnom instalacijom i formatiranjem tvrdog diska trajno ćete ukloniti zlonamjerni program, ali ćete u isto vrijeme izgubiti svaku mogućnost oporavka dokumenta. U ovoj situaciji neće pomoći posebno kreirani programi za dešifriranje, jer je ransomware softver programiran nestandardnim algoritmom i zahtijeva poseban pristup.

Koliko je ransomware virus opasan za lični računar?

Apsolutno je jasno da ni jedan maliciozni program neće koristiti vašem ličnom računaru. Zašto je stvoren takav softver? Čudno je da su takvi programi stvoreni ne samo u svrhu prevare korisnika za što više novca. U stvari, virusni marketing je prilično profitabilan za mnoge pronalazače antivirusnih programa. Na kraju krajeva, kada bi virus šifrirao sve datoteke na vašem računalu, gdje biste se prvo obratili? Naravno, potražite pomoć profesionalaca. Šta je šifrovanje za vaš laptop ili lični računar?

Njihov algoritam rada je nestandardan, tako da će biti nemoguće izliječiti zaražene datoteke konvencionalnim antivirusnim softverom. Uklanjanje zlonamjernih objekata rezultirat će gubitkom podataka. Samo prelazak u karantenu omogućit će osiguranje drugih datoteka koje zlonamjerni virus još nije uspio šifrirati.

Datum isteka zlonamjernog softvera za šifriranje

Ako je vaš računar zaražen Critroni (zlonamjernim softverom) i virus je šifrirao sve vaše datoteke, što trebate učiniti? Ne možete sami dešifrirati .vault-, .xtbl-, .rar formate ručno mijenjajući ekstenziju u .doc, .mp3, .txt i druge. Ako ne platite potreban iznos sajber kriminalcima u roku od 96 sati, oni će vam poslati zastrašujuću prepisku putem e-pošte u kojoj će se navoditi da će svi vaši fajlovi biti trajno izbrisani. U većini slučajeva ljudi su pod utjecajem ovakvih prijetnji i nevoljno, ali poslušno provode navedene radnje, bojeći se da izgube dragocjene informacije. Šteta je što korisnici ne razumiju činjenicu da sajber kriminalci nisu uvijek vjerni svojoj riječi. Nakon što dobiju novac, često više ne brinu o dešifriranju vaših zaključanih datoteka.

Kada tajmer istekne, automatski se zatvara. Ali još uvijek imate priliku da povratite važne dokumente. Na ekranu će se pojaviti poruka koja označava da je vrijeme isteklo, a detaljnije informacije o datotekama u folderu dokumenata možete pogledati u posebno kreiranoj datoteci za notepad DecryptAllFiles.txt.

Načini na koji zlonamjerni softver za šifriranje prodire u operativni sistem

Obično virusi ransomware ulaze u računar putem zaraženih poruka e-pošte ili putem lažnih preuzimanja. To mogu biti lažna ažuriranja flash-a ili lažni video plejeri. Čim se program preuzme na vaše računalo koristeći bilo koju od ovih metoda, on odmah šifrira podatke bez mogućnosti oporavka. Ako je virus šifrirao sve .cbf, .ctbl, .ctb2 datoteke u druge formate i nemate sigurnosnu kopiju dokumenta pohranjenu na prijenosnom mediju, pretpostavite da ih više nećete moći oporaviti. U ovom trenutku, antivirusne laboratorije ne znaju kako da razbiju takve viruse za šifriranje. Bez potrebnog ključa, možete blokirati samo zaražene datoteke, premjestiti ih u karantin ili izbrisati.

Kako izbjeći virus na računaru

Zloslutni svi .xtbl fajlovi. sta da radim? Već ste pročitali mnogo nepotrebnih informacija koje su napisane na većini web stranica, a ne možete pronaći odgovor. Dešava se da u najnepovoljnijem trenutku, kada hitno treba da podnesete izveštaj na poslu, tezu na fakultetu ili odbranite diplomu profesora, računar počne da živi svojim životom: pokvari se, zarazi se virusima. , i smrzava se. Morate biti spremni na takve situacije i čuvati informacije na serveru i prenosivim medijima. Ovo će vam omogućiti da ponovo instalirate operativni sistem u bilo kom trenutku i nakon 20 minuta radite za računarom kao da se ništa nije dogodilo. Ali, nažalost, nismo uvijek tako preduzimljivi.

Da biste izbjegli zarazu računara virusom, prvo morate instalirati dobar antivirusni program. Morate imati pravilno konfiguriran Windows zaštitni zid, koji štiti od raznih zlonamjernih objekata koji prolaze kroz mrežu. I ono što je najvažnije: nemojte preuzimati softver sa neprovjerenih stranica ili torrent trackera. Kako biste izbjegli zarazu vašeg računara virusima, pazite na koje linkove kliknete. Ako primite e-mail od nepoznatog primaoca sa zahtjevom ili ponudom da vidite šta se krije iza linka, najbolje je da poruku premjestite u neželjenu poštu ili je potpuno izbrišete.

Kako bi spriječili da virus jednog dana šifrira sve .xtbl datoteke, laboratorije antivirusnog softvera preporučuju besplatan način zaštite od infekcije virusima za šifriranje: jednom tjedno provjerite njihov status.

Virus je šifrirao sve datoteke na računaru: metode liječenja

Ako ste postali žrtva sajber kriminala i podaci na vašem računaru su zaraženi nekom od vrsta zlonamjernog softvera za šifriranje, vrijeme je da pokušate oporaviti svoje datoteke.

Postoji nekoliko načina za besplatno liječenje zaraženih dokumenata:

1. Najčešća metoda, i vjerovatno najefikasnija u ovom trenutku, je pravljenje rezervnih kopija dokumenata i njihovo vraćanje u slučaju neočekivane infekcije.
2. Softverski algoritam virusa CTB radi na zanimljiv način. Jednom na računaru, kopira datoteke, šifrira ih i briše originalne dokumente, čime se eliminiše mogućnost njihovog oporavka. Ali uz pomoć Photorec ili R-Studio softvera, možete uspjeti sačuvati neke netaknute originalne datoteke. Trebali biste znati da što duže koristite svoj računar nakon što je zaražen, manja je vjerovatnoća da ćete moći oporaviti sve potrebne dokumente.
3. Ako je virus šifrirao sve .vault datoteke, postoji još jedan dobar način za njihovo dešifriranje - korištenjem volumena sjenčanih kopija. Naravno, virus će pokušati da ih sve trajno i nepovratno izbriše, ali se dešava i da neki fajlovi ostanu netaknuti. U ovom slučaju, imat ćete malu, ali šansu da ih vratite.
4. Moguće je pohranjivati ​​podatke na uslugama hostinga datoteka kao što je DropBox. Može se instalirati na vaš računar kao lokalno mapiranje diska. Naravno, virus šifriranja će i njega zaraziti. Ali u ovom slučaju mnogo je realnije vratiti dokumente i važne datoteke.

Softverska prevencija zaraze virusima osobnog računala

Ako se bojite da će zlonamjerni zlonamjerni softver doći na vaš računar i ne želite da podmukli virus šifrira sve vaše datoteke, trebali biste koristiti uređivač lokalnih politika ili uređivač grupa Windows. Zahvaljujući ovom integrisanom softveru, možete postaviti politiku ograničenja programa - i tada nećete biti zabrinuti da će vaš računar biti zaražen.

Kako oporaviti zaražene datoteke

Ako je CTB virus šifrirao sve datoteke, što trebate učiniti u ovom slučaju da vratite potrebne dokumente? Nažalost, u ovom trenutku ni jedan antivirusni laboratorij ne može ponuditi dešifriranje vaših datoteka, ali je moguće neutralizirati infekciju i potpuno je ukloniti sa osobnog računala. Gore su navedene sve efikasne metode oporavka informacija. Ako su vam vaše datoteke previše vrijedne, a niste se potrudili da ih napravite sigurnosnu kopiju na prenosivom disku ili Internet disku, tada ćete morati platiti iznos novca koji su tražili sajber kriminalci. Ali nema šanse da vam ključ za dešifriranje bude poslan čak i nakon uplate.

Kako pronaći zaražene fajlove

Da vidite listu zaraženih datoteka, možete ići na ovu stazu: “Moji dokumenti”\.html ili “C:”\”Korisnici”\”Svi korisnici”\.html. Ovaj html list sadrži podatke ne samo o nasumičnim uputama, već i o zaraženim objektima.

Kako blokirati virus za šifriranje

Nakon što je računar zaražen malverom, prva neophodna radnja korisnika je da uključite mrežu. Ovo se radi pritiskom na taster F10 na tastaturi.

Ako je virus Critroni slučajno dospio na vaš računar i šifrirao sve datoteke u .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf ili bilo kojem drugom formatu, tada ih je već teško oporaviti. Ali ako virus još nije napravio mnogo promjena, vjerovatno će biti blokiran korištenjem politike ograničenja softvera.

Činjenica da je internet pun virusa danas nikoga ne iznenađuje. Mnogi korisnici percipiraju situacije vezane za njihov uticaj na sisteme ili lične podatke, najblaže rečeno, zatvarajući oči, ali samo dok se virus ransomware posebno ne uhvati u sistem. Većina običnih korisnika ne zna kako dezinficirati i dešifrirati podatke pohranjene na tvrdom disku. Stoga se ovaj kontingent „vodi“ na zahtjeve koje postavljaju napadači. Ali da vidimo šta se može učiniti ako se takva prijetnja otkrije ili spriječi da uđe u sistem.

Šta je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji potpuno mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, biće apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i reproducirati multimedijalni sadržaj (grafiku, video ili audio) nakon izlaganja virusu. Čak i standardne radnje za kopiranje ili premještanje objekata nisu dostupne.

Sam virusni softver je alat koji šifrira podatke na takav način da nije uvijek moguće vratiti njihovo prvobitno stanje čak ni nakon uklanjanja prijetnje iz sistema. Tipično, takvi zlonamjerni programi stvaraju svoje kopije i nastanjuju se vrlo duboko u sistemu, tako da je virus koji šifrira datoteke možda potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne rješava prijetnje, a kamoli vraća šifrirane informacije.

Kako prijetnja ulazi u sistem?

Po pravilu, prijetnje ovog tipa uglavnom su usmjerene na velike komercijalne strukture i mogu prodrijeti u kompjutere putem e-mail programa kada zaposlenik otvori navodno priloženi dokument u mejlu, koji je, recimo, dodatak nekoj vrsti ugovora o saradnji ili nabavci proizvoda. plan (komercijalne ponude sa investicijama iz sumnjivih izvora su prvi put za virus).

Nevolja je u tome što se ransomware virus na stroju koji ima pristup lokalnoj mreži može prilagoditi njemu, stvarajući vlastite kopije ne samo u mrežnom okruženju, već i na administratorskom terminalu, ako nema potrebna sredstva zaštite u obliku antivirusnog softvera, firewall-a ili firewall-a.

Ponekad takve prijetnje mogu prodrijeti u kompjuterske sisteme običnih korisnika, koji, uglavnom, nisu od interesa za napadače. To se dešava tokom instalacije nekih programa preuzetih sa sumnjivih Internet resursa. Mnogi korisnici ignorišu upozorenja sistema antivirusne zaštite pri pokretanju preuzimanja, a tokom procesa instalacije ne obraćaju pažnju na ponude za instaliranje dodatnog softvera, panela ili dodataka za pretraživač, a zatim, kako kažu, ugrizu svoje laktovi.

Vrste virusa i malo istorije

Općenito, prijetnje ovog tipa, posebno najopasniji ransomware virus No_more_ransom, klasificirane su ne samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zlonamjerne aplikacije spadaju u kategoriju ransomwarea. Drugim riječima, napadači zahtijevaju određeni mito za dešifriranje informacija, vjerujući da će bez početnog programa biti nemoguće izvršiti ovaj proces. Ovo je djelimično tačno.

Ali, ako zadubite u istoriju, primetićete da je jedan od prvih virusa ovog tipa, iako nije zahtevao novac, bio zloglasni aplet I Love You, koji je u potpunosti šifrovao multimedijalne fajlove (uglavnom muzičke numere) na korisničkim sistemima. . Dešifriranje datoteka nakon ransomware virusa pokazalo se nemogućim u to vrijeme. Sada se upravo s tom prijetnjom može boriti na elementaran način.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Šta ima među virusima - ovdje imate i XTBL, i CBF, i Breaking_Bad, i [email protected], i gomila drugih sranja.

Metoda utjecaja na korisničke datoteke

I ako se donedavno većina napada izvodila korištenjem RSA-1024 algoritama baziranih na AES enkripciji sa istom dubinom bita, isti No_more_ransom ransom virus sada je predstavljen u nekoliko interpretacija koristeći ključeve za šifriranje bazirane na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dešifriranja korištenih algoritama

Nevolja je u tome što su savremeni sistemi za dešifrovanje bili nemoćni pred takvom opasnošću. Dešifriranje datoteka nakon ransomware virusa baziranog na AES256 još uvijek je donekle podržano, ali s obzirom na veću bitnu dubinu ključa, gotovo svi programeri jednostavno sliježu ramenima. Ovo su, inače, službeno potvrdili stručnjaci iz Kaspersky Lab-a i Eset-a.

U najprimitivnijoj verziji, od korisnika koji kontaktira službu za podršku se traži da pošalje šifriranu datoteku i njen original radi upoređivanja i daljnjih operacija kako bi se odredio algoritam šifriranja i metode oporavka. Ali, u pravilu, u većini slučajeva to ne daje rezultate. No, vjeruje se da virus za šifriranje može sam dešifrirati datoteke pod uvjetom da žrtva pristane na uvjete napadača i plati određeni iznos u novčanom smislu. Međutim, ovakva formulacija pitanja izaziva opravdane sumnje. I zato.

Encryptor virus: kako dezinficirati i dešifrirati datoteke i može li se to učiniti?

Navodno, nakon uplate, hakeri aktiviraju dešifriranje putem daljinskog pristupa svom virusu koji se nalazi na sistemu ili putem dodatnog apleta ako se tijelo virusa izbriše. Ovo izgleda više nego sumnjivo.

Želio bih da napomenem i činjenicu da je internet pun lažnih postova u kojima se tvrdi da je traženi iznos uplaćen i da su podaci uspješno vraćeni. Sve je to laž! I zaista - gdje je garancija da se nakon plaćanja virus šifriranja neće ponovo aktivirati u sistemu? Nije teško razumjeti psihologiju provalnika: plati jednom, plati još jednom. A ako govorimo o posebno važnim informacijama, kao što su konkretni komercijalni, naučni ili vojni razvoji, vlasnici takvih informacija su spremni da plate koliko god žele kako bi osigurali da dosijei ostanu sigurni i zdravi.

Prvi lijek za uklanjanje prijetnje

Ovo je priroda virusa za šifriranje. Kako dezinficirati i dešifrirati datoteke nakon izlaganja prijetnji? Nema šanse, ako nema raspoloživih sredstava, koja takođe ne pomažu uvek. Ali možete pokušati.

Pretpostavimo da se u sistemu pojavio ransomware virus. Kako izliječiti zaražene fajlove? Prvo, trebalo bi da izvršite dubinsko skeniranje sistema bez upotrebe S.M.A.R.T tehnologije, koja detektuje pretnje samo kada su sektori za pokretanje sistema i sistemski fajlovi oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bi bila pokretanje sa Kaspersky Rescue Disk, koji može da se pokrene čak i pre nego što operativni sistem počne da radi.

Ali ovo je samo pola bitke, jer se na ovaj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. O tome kako dešifrirati informacije će se raspravljati zasebno, ali za sada se fokusirajmo na činjenicu da one mogu postojati potpuno otvoreno u sistemu u obliku službeno instaliranih programa i aplikacija (drskost napadača nema granica, jer prijetnja čak ni pokušati se prikriti).

U tom slučaju trebate koristiti odjeljak Programi i funkcije, gdje se vrši standardna deinstalacija. Međutim, morate obratiti pažnju na činjenicu da standardni deinstalacijski program za Windows sisteme ne briše u potpunosti sve programske datoteke. Konkretno, ransom ransom virus je sposoban da kreira sopstvene fascikle u osnovnim direktorijumima sistema (obično u Csrss direktorijumima, gde je prisutna izvršna datoteka istog imena csrss.exe). Windows, System32 ili korisnički direktoriji (Korisnici na sistemskom disku) su odabrani kao glavna lokacija.

Osim toga, virus No_more_ransom ransom upisuje svoje ključeve u registar u obliku veze, naizgled na službenu uslugu Client Server Runtime Subsystem, što mnoge dovodi u zabludu, jer bi ova usluga trebala biti odgovorna za interakciju klijentskog i serverskog softvera. . Sam ključ se nalazi u mapi Run, do koje se može doći preko HKLM grane. Jasno je da će takve ključeve morati ručno izbrisati.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže preostale datoteke i ključeve registratora (ali samo ako je virus vidljiv na sistemu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar koju možete učiniti.

Rješenja koja nude programeri antivirusnog softvera

Vjeruje se da se dešifriranje ransomware virusa može obaviti pomoću posebnih uslužnih programa, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste trebali računati na njih (osim toga, mnogi od njih brišu datoteke nakon dešifriranja, a zatim oporavljene datoteke nestaju zbog prisustva tijela virusa koje prije nije uklonjeno).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje još nije stvoreno. Ali problem može biti i to što kada pokušate koristiti dešifriranje, nema garancije da datoteke koje se izliječe neće biti izbrisane. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, može doći i do kobnog ishoda - cijeli sistem će biti nefunkcionalan. Osim toga, moderni virus za šifriranje može utjecati ne samo na podatke pohranjene na tvrdom disku računala, već i na datoteke u pohrani u oblaku. Ali ne postoje rješenja za oporavak podataka. Osim toga, kako se ispostavilo, mnoge usluge poduzimaju nedovoljno efikasne mjere zaštite (isti OneDrive ugrađen u Windows 10, koji je izložen direktno iz operativnog sistema).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada je zaražena takvim virusima. Naravno, ako imate original oštećenog fajla, možete ga poslati na ispitivanje u antivirusnu laboratoriju. Istina, postoje i vrlo ozbiljne sumnje u to da će prosječan korisnik kreirati rezervne kopije podataka, koji, kada se pohranjuju na hard disk, također mogu biti izloženi zlonamjernom kodu. A činjenica da korisnici kopiraju informacije na prijenosni medij, kako bi izbjegli probleme, uopće se ne raspravlja.

Dakle, da bi se problem radikalno riješio, nameće se zaključak: potpuno formatiranje tvrdog diska i svih logičkih particija uz uklanjanje informacija. Pa šta da radimo? Morat ćete se žrtvovati ako ne želite da se virus ili njegova samosčuvana kopija ponovo aktiviraju u sistemu.

Da biste to učinili, ne biste trebali koristiti alate samih Windows sistema (to znači formatiranje virtualnih particija, jer ako pokušate pristupiti sistemskom disku, bit će izdana zabrana). Bolje je pokretati s optičkih medija kao što je LiveCD ili instalacijskih distribucija, poput onih kreiranih pomoću alata za kreiranje medija za Windows 10.

Prije početka formatiranja, ako je virus uklonjen iz sistema, možete pokušati vratiti integritet komponenti sistema putem komandne linije (sfc /scannow), ali to neće imati efekta u smislu dešifriranja i otključavanja podataka. Stoga je format c: jedino ispravno moguće rješenje, sviđalo se to vama ili ne. Ovo je jedini način da se u potpunosti riješite prijetnji ovog tipa. Avaj, nema drugog načina! Čak se i liječenje standardnim lijekovima koje nudi većina antivirusnih paketa pokazalo nemoćnim.

Umjesto pogovora

U smislu očiglednih zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica ove vrste prijetnji (žalosno, ali istinito – to je potvrdila većina programera i stručnjaka za antivirusni softver u oblasti kriptografije).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji prošli oni koji su direktno uključeni u razvoj i implementaciju takvih tehnologija? Zaista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Biljeska! 256! Ovaj sistem, kako se ispostavilo, nije paravan modernim virusima. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, izbjegavanje unošenja prijetnje u sistem je prilično jednostavno. U najjednostavnijoj verziji, sve dolazne poruke sa prilozima u Outlooku, Thunderbirdu i drugim klijentima e-pošte treba da skenirate antivirusom odmah nakon prijema i ni u kom slučaju ne otvarate priloge dok se skeniranje ne završi. Također treba pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili maskirani kao standardni dodaci poput ažuriranja Flash Player-a ili nečeg drugog). Bolje je ažurirati multimedijalne komponente putem službenih web stranica. Ovo je jedini način da barem nekako spriječite takve prijetnje da prodru u vaš vlastiti sistem. Posljedice mogu biti potpuno nepredvidive, s obzirom da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za kompaniju takav razvoj događaja može rezultirati pravim krahom svih poduhvata.

Konačno, administrator sistema ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti alate za zaštitu softvera. Isti zaštitni zid (firewall) ne bi trebao biti softver, već “hardver” (naravno, sa pratećim softverom). I, podrazumjeva se da ne biste trebali štedjeti ni na kupovini antivirusnih paketa. Bolje je kupiti licencirani paket nego instalirati primitivne programe koji navodno pružaju zaštitu u realnom vremenu samo prema programeru.

A ako je prijetnja već prodrla u sistem, redoslijed radnji bi trebao uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaj dešifriranja oštećenih podataka. U idealnom slučaju, puni format (napomena, ne brzi sa brisanjem sadržaja, već potpun, po mogućnosti sa restauracijom ili zamjenom postojećeg sistema datoteka, sektora za pokretanje i zapisa).

Pozdrav svima, danas ću vam reći kako dešifrirati datoteke nakon virusa u Windowsu. Jedan od najproblematičnijih zlonamjernih programa današnjice je trojanac, ili virus, koji šifrira datoteke na disku korisnika. Neke od ovih datoteka se mogu dešifrirati, ali druge se još ne mogu dešifrirati. U članku ću opisati moguće algoritme djelovanja u obje situacije.

Postoji nekoliko modifikacija ovog virusa, ali generalna suština posla je u tome da se nakon instalacije na vaš računar, vaši dokumenti, slike i drugi potencijalno važni fajlovi šifruju sa promjenom ekstenzije, nakon čega dobijate poruku da su svi vaši datoteke su šifrirane, a da biste ih dešifrirali morate poslati određeni iznos napadaču.

Fajlovi na računaru su šifrovani u xtbl

Jedna od najnovijih varijanti ransomware virusa šifrira datoteke, zamjenjujući ih datotekama s ekstenzijom .xtbl i imenom koje se sastoji od nasumično odabranog skupa znakova.

Istovremeno, na računar se postavlja tekstualni fajl readme.txt sa približno sledećim sadržajem: „Vaše datoteke su šifrovane. Da biste ih dešifrirali, morate poslati kod na e-mail adresu [email protected], [email protected] ili [email protected]. Zatim ćete dobiti sva potrebna uputstva. Pokušaji da sami dešifrujete datoteke dovest će do nepovratnog gubitka informacija” (adresa pošte i tekst mogu se razlikovati).

Nažalost, trenutno ne postoji način za dešifrovanje .xtbl (čim bude dostupan, uputstva će biti ažurirana). Neki korisnici koji su imali zaista važne informacije na svom računaru prijavljuju na antivirusnim forumima da su autorima virusa poslali 5.000 rubalja ili drugi potreban iznos i dobili dešifrator, ali to je vrlo rizično: možda nećete dobiti ništa.

Šta učiniti ako su datoteke šifrirane u .xtbl formatu? Moje preporuke su sljedeće (ali se razlikuju od onih na mnogim drugim tematskim stranicama, gdje se npr. preporučuje da se računar odmah isključi iz napajanja ili ne uklanja virus. Po meni je to nepotrebno, a pod nekim okolnostima to može biti i štetno, ali na vama je da odlučite.):

1. Ako znate kako, prekinuti proces šifriranja brisanjem odgovarajućih zadataka u upravitelju zadataka, isključivanjem računara s interneta (ovo može biti neophodan uslov za šifriranje)
2. Zapamtite ili zapišite kod koji napadači traže da se pošalje na e-mail adresu (samo ne u tekstualnu datoteku na računaru, za svaki slučaj, da ni ona ne bude šifrirana).
3. Koristeći Malwarebytes Antimalware, probnu verziju Kaspersky Internet Security ili Dr.Web Cure It, uklonite virus koji šifrira fajlove (svi ovi alati to dobro rade). Savjetujem vam da naizmjence koristite prvi i drugi proizvod s liste (međutim, ako imate instaliran antivirus, instaliranje drugog "odozdo" je nepoželjno, jer može dovesti do problema s računalom.)
4. Sačekajte da se pojavi dešifrator neke antivirusne kompanije. Kaspersky Lab je ovdje na čelu.
5. Također možete poslati primjer šifrirane datoteke i potreban kod na [email protected], ako imate nešifrovanu kopiju iste datoteke, pošaljite i nju. U teoriji, ovo bi moglo ubrzati pojavu dešifratora.

Šta ne treba raditi:

• Preimenujte šifrirane datoteke, promijenite ekstenziju i izbrišite ih ako su vam važne.

Ovo je vjerovatno sve što trenutno mogu reći o šifrovanim datotekama sa ekstenzijom .xtbl.

Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni

Sljedeći trojanac šifrira datoteke i instalira ekstenzije sa ove liste:

• .locked
• .crypto
• .kraken
• .AES256 (ne nužno ovaj trojanac, postoje i drugi koji instaliraju istu ekstenziju).
• .codercsu@gmail_com
• .oshit
• I drugi.

Za dešifrovanje datoteka nakon rada ovih virusa, Kaspersky web stranica ima besplatni uslužni program pod nazivom RakhniDecryptor, dostupan na službenoj stranici http://support.kaspersky.ru/viruses/dizinfection/10556.

Tu su i detaljne upute za korištenje ovog uslužnog programa, koje pokazuju kako vratiti šifrirane datoteke, iz kojih bih, za svaki slučaj, uklonio stavku "Izbriši šifrirane datoteke nakon uspješnog dešifriranja" (iako mislim da će sve biti u redu s instaliranom opcijom) .

Ako imate Dr.Web antivirusnu licencu, možete koristiti besplatnu dešifriranje od ove kompanije na stranici http://support.drweb.com/new/free_unlocker/

Više opcija za ransomware virus

Manje uobičajeni, ali se također susreću, su sljedeći trojanci koji šifriraju datoteke i traže novac za dešifriranje. Dostavljene veze ne sadrže samo uslužne programe za vraćanje vaših datoteka, već i opis znakova koji će vam pomoći da utvrdite da imate ovaj određeni virus. Iako je općenito optimalan način skeniranja sistema pomoću Kaspersky antivirusa, saznati ime trojanca prema klasifikaciji ove kompanije, a zatim potražiti uslužni program pod tim imenom.

• Trojan-Ransom.Win32.Rector - besplatni RectorDecryptor uslužni program za dešifriranje i upute za korištenje dostupni su ovdje: http://support.kaspersky.ru/viruses/dizinfection/4264
• Trojan-Ransom.Win32.Xorist je sličan trojanac koji prikazuje prozor u kojem se traži da pošaljete plaćeni SMS ili kontaktirate putem e-pošte kako biste dobili upute za dešifriranje. Upute za vraćanje šifriranih datoteka i uslužni program XoristDecryptor za to su dostupni na stranici http://support.kaspersky.ru/viruses/dizinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor uslužni programhttp://support.kaspersky.ru/viruses/dizinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i drugi sa istim imenom (prilikom pretraživanja Dr.Web antivirusa ili uslužnog programa Cure It) i različitim brojevima - pokušajte pretražiti internet po imenu trojanca. Za neke od njih postoje uslužni programi za dešifriranje iz Dr.Web-a, također ako niste uspjeli pronaći uslužni program, ali imate Dr.Web licencu, možete koristiti zvaničnu stranicu http://support.drweb.com/new/free_unlocker /
• CryptoLocker - za dešifriranje datoteka nakon što CryptoLocker radi, možete koristiti web-mjesto http://decryptolocker.com - nakon slanja uzorka datoteke, dobit ćete ključ i uslužni program za oporavak vaših datoteka.

Pa, iz najnovijih vesti – Kaspersky Lab je zajedno sa službenicima za sprovođenje zakona iz Holandije razvio Ransomware Decryptor (http://noransom.kaspersky.com) za dešifrovanje datoteka nakon CoinVaulta, ali ovaj ransomware još nije pronađen na našim geografskim širinama.

Usput, ako se iznenada pokaže da imate nešto za dodati (jer možda nemam vremena pratiti što se događa s metodama dešifriranja), javite mi u komentarima, ove informacije će biti korisne drugim korisnicima koji su suočen sa problemom.

Sami virusi kao kompjuterska prijetnja danas nikoga ne iznenađuju. Ali ako su ranije uticali na sistem u cjelini, uzrokujući poremećaje u njegovom radu, danas, s pojavom takve vrste kao što je virus šifriranja, akcije prodorne prijetnje utječu na više korisničkih podataka. On predstavlja možda čak i veću prijetnju od izvršnih aplikacija koje destruktivne za Windows ili špijunskih apleta.

Šta je ransomware virus?

Sam kod, napisan u samokopirajućem virusu, uključuje šifriranje gotovo svih korisničkih podataka posebnim kriptografskim algoritmima, bez utjecaja na sistemske datoteke operativnog sistema.

U početku, logika uticaja virusa mnogima nije bila sasvim jasna. Sve je postalo jasno tek kada su hakeri koji su kreirali takve aplete počeli tražiti novac za vraćanje originalne strukture datoteka. Istovremeno, sam šifrirani virus ne dopušta vam dešifriranje datoteka zbog svojih karakteristika. Da biste to učinili, potreban vam je poseban dešifrator, ako želite, šifra, lozinka ili algoritam potreban za vraćanje željenog sadržaja.

Princip prodora u sistem i rad virusnog koda

Takvo sranje je po pravilu prilično teško „pokupiti“ na internetu. Glavni izvor širenja „zaraze“ je e-pošta na nivou programa instaliranih na određenom računarskom terminalu, kao što su Outlook, Thunderbird, The Bat, itd. Odmah da napomenemo: ovo se ne odnosi na internet servere pošte, budući da imaju prilično visok stepen zaštite, a pristup korisničkim podacima moguć je samo na nivou

Druga stvar je aplikacija na kompjuterskom terminalu. Ovdje je polje djelovanja virusa toliko široko da je to nemoguće zamisliti. Istina, ovdje vrijedi i rezervirati: u većini slučajeva virusi ciljaju velike kompanije od kojih mogu „otrgnuti“ novac za davanje koda za dešifriranje. To je razumljivo, jer ne samo na lokalnim kompjuterskim terminalima, već i na serverima takvih kompanija, fajlovi se mogu pohraniti, da tako kažem, u jednom primjerku, koji se ni pod kojim uvjetima ne može uništiti. A onda dešifriranje datoteka nakon ransomware virusa postaje prilično problematično.

Naravno, običan korisnik može biti podložan takvom napadu, ali u većini slučajeva to je malo vjerojatno ako slijedite najjednostavnije preporuke za otvaranje priloga s ekstenzijama nepoznatog tipa. Čak i ako klijent e-pošte detektuje prilog sa ekstenzijom .jpg kao standardnu ​​grafičku datoteku, prvo se mora provjeriti kao standardno instaliran na sistemu.

Ako se to ne učini, kada ga otvorite dvostrukim klikom (standardna metoda), pokrenut će se aktivacija koda i započeti proces enkripcije, nakon čega isti Breaking_Bad (encryptor virus) neće samo biti nemoguće ukloniti, ali isto tako datoteke se neće moći vratiti nakon što se prijetnja eliminira.

Opće posljedice prodora svih virusa ovog tipa

Kao što je već spomenuto, većina virusa ovog tipa ulazi u sistem putem e-pošte. Pa, recimo da velika organizacija primi pismo na određenu registrovanu e-poštu sa sadržajem poput „Promijenili smo ugovor, skenirana kopija je u prilogu“ ili „Poslana vam je faktura za otpremu robe (kopija tamo)“. Naravno, nesuđeni zaposlenik otvara fajl i...

Svi korisnički fajlovi na nivou kancelarijskih dokumenata, multimedije, specijalizovanih AutoCAD projekata ili bilo kojih drugih arhivskih podataka se trenutno šifruju, a ako se računarski terminal nalazi na lokalnoj mreži, virus se može dalje prenositi, šifrujući podatke na drugim mašinama (ovo postaje uočljiv odmah nakon „kočenja“ sistema i zamrzavanja programa ili trenutno pokrenutih aplikacija).

Na kraju procesa enkripcije, sam virus očito šalje neku vrstu izvještaja, nakon čega kompanija može dobiti poruku da je takva i takva prijetnja prodrla u sistem i da je samo takva i takva organizacija može dešifrirati. Ovo obično uključuje virus. [email protected]. Slijedi zahtjev za plaćanje usluga dešifriranja uz ponudu slanja nekoliko fajlova na e-mail klijenta, što je najčešće fiktivno.

Šteta od izlaganja kodu

Ako netko još nije shvatio: dešifriranje datoteka nakon ransomware virusa je prilično naporan proces. Čak i ako ne pokleknete pred zahtjevima napadača i pokušate uključiti zvanične vladine agencije u suzbijanje i sprječavanje kompjuterskog kriminala, obično od toga ne proizlazi ništa dobro.

Ako izbrišete sve datoteke, izradite pa čak i kopirate originalne podatke sa prenosivog medija (naravno, ako postoji takva kopija), sve će i dalje biti šifrirano ponovo ako se virus aktivira. Stoga se ne treba previše zavaravati, pogotovo jer kada isti fleš disk ubacite u USB port, korisnik neće ni primijetiti kako će virus šifrirati i podatke na njemu. Onda nećete imati nikakvih problema.

Prvorođenče u porodici

Skrenimo pažnju na prvi virus za šifriranje. U vrijeme njegovog pojavljivanja, niko još nije razmišljao kako izliječiti i dešifrirati datoteke nakon što su bili izloženi izvršnom kodu sadržanom u prilogu e-pošte s ponudom za upoznavanje. Svest o razmerama katastrofe došla je tek s vremenom.

Taj virus je imao romantično ime "Volim te". Nesuđeni korisnik otvorio je prilog u e-poruci i primio potpuno nemoguće multimedijalne datoteke (grafike, video i audio). Tada su, međutim, takve radnje izgledale destruktivnije (šteta po medijske biblioteke korisnika), a za to niko nije tražio novac.

Najnovije modifikacije

Kao što vidimo, evolucija tehnologije postala je prilično profitabilan posao, posebno ako se uzme u obzir da mnogi menadžeri velikih organizacija odmah potrčavaju da plate za napore dešifriranja, uopće ne razmišljajući da bi mogli izgubiti i novac i informacije.

Uzgred, nemojte gledati sve ove "pogrešne" postove na internetu, govoreći: "Uplatio sam/platio potreban iznos, poslali su mi kod, sve je vraćeno." Gluposti! Sve ovo pišu sami programeri virusa kako bi privukli potencijalne, izvinite, „naivčine“. Ali, po standardima običnog korisnika, iznosi za plaćanje su prilično ozbiljni: od stotina do nekoliko hiljada ili desetina hiljada evra ili dolara.

Pogledajmo sada najnovije tipove virusa ove vrste, koji su zabilježeni relativno nedavno. Svi su praktički slični i spadaju ne samo u kategoriju enkriptora, već i u grupu takozvanih ransomware-a. U nekim slučajevima se ponašaju ispravnije (kao paycrypt), naizgled šaljući službene poslovne ponude ili poruke da je nekome stalo do sigurnosti korisnika ili organizacije. Takav virus za šifriranje jednostavno obmanjuje korisnika svojom porukom. Ako preduzme i najmanju radnju da plati, to je to - "razvod" će biti potpun.

XTBL virus

Ovaj relativno noviji može se klasificirati kao klasična verzija ransomwarea. Obično ulazi u sistem putem e-poruka koje sadrže priloge datoteka, što je standard za Windows screensaver. Sistem i korisnik misle da je sve u redu i aktiviraju pregled ili spremanje priloga.

Nažalost, to dovodi do tužnih posljedica: nazivi datoteka se pretvaraju u skup znakova, a glavnoj ekstenziji se dodaje .xtbl, nakon čega se na željenu e-mail adresu šalje poruka o mogućnosti dešifriranja nakon plaćanja navedenog iznosa (obično 5 hiljada rubalja).

CBF virus

Ova vrsta virusa također spada u klasike žanra. Pojavljuje se na sistemu nakon otvaranja priloga e-pošte, a zatim preimenuje korisničke datoteke, dodajući na kraju ekstenziju poput .nochance ili .perfect.

Nažalost, dešifriranje ransomware virusa ove vrste za analizu sadržaja koda čak ni u fazi njegovog pojavljivanja u sistemu nije moguće, jer se nakon dovršetka svojih radnji samouništava. Čak ni ono što mnogi vjeruju da je univerzalni alat kao što je RectorDecryptor ne pomaže. Ponovo, korisnik dobija pismo sa zahtevom za plaćanje, za šta mu se daju dva dana.

Breaking_Bad virus

Ova vrsta prijetnje radi na isti način, ali preimenuje datoteke u standardnoj verziji, dodajući .breaking_bad ekstenziji.

Situacija nije ograničena na ovo. Za razliku od prethodnih virusa, ovaj može kreirati još jednu ekstenziju - .Heisenberg, tako da nije uvijek moguće pronaći sve zaražene datoteke. Dakle, Breaking_Bad (virus ransomware) je prilično ozbiljna prijetnja. Usput, postoje slučajevi kada čak i Kaspersky Endpoint Security 10 paket licenci propušta ovu vrstu prijetnje.

Virus [email protected]

Evo još jedne, možda i najozbiljnije prijetnje, koja je uglavnom usmjerena na velike komercijalne organizacije. Po pravilu, neko odeljenje dobije pismo koje sadrži naizgled izmene ugovora o nabavci, ili čak samo fakturu. Prilog može sadržati običnu .jpg datoteku (kao što je slika), ali češće - izvršni script.js (Java aplet).

Kako dešifrirati ovu vrstu virusa za šifriranje? Sudeći po tome da se tamo koristi neki nepoznati algoritam RSA-1024, nikako. Na osnovu imena, možete pretpostaviti da se radi o 1024-bitnom sistemu šifriranja. Ali, ako se neko sjeća, danas se 256-bitni AES smatra najnaprednijim.

Encryptor virus: kako dezinficirati i dešifrirati datoteke pomoću antivirusnog softvera

Do danas još nisu pronađena rješenja za dešifriranje prijetnji ovog tipa. Čak i takvi majstori u oblasti antivirusne zaštite kao što su Kaspersky, Dr. Web i Eset ne mogu pronaći ključ za rješavanje problema kada je sistem zaražen virusom za šifriranje. Kako dezinficirati fajlove? U većini slučajeva predlaže se slanje zahtjeva službenoj web stranici antivirusnog programera (usput, samo ako sistem ima licenciran softver ovog programera).

U tom slučaju morate priložiti nekoliko šifriranih datoteka, kao i njihove "zdrave" originale, ako ih ima. Općenito, uglavnom, malo ljudi sprema kopije podataka, tako da problem njihovog odsustva samo pogoršava ionako neugodnu situaciju.

Mogući načini za ručno prepoznavanje i uklanjanje prijetnje

Da, skeniranje konvencionalnim antivirusnim programima identificira prijetnje, pa čak ih i uklanja iz sistema. Ali šta učiniti s informacijama?

Neki pokušavaju koristiti programe za dešifriranje poput već spomenutog uslužnog programa RectorDecryptor (RakhniDecryptor). Odmah da primijetimo: ovo neće pomoći. A u slučaju virusa Breaking_Bad, on može samo naštetiti. I zato.

Činjenica je da ljudi koji stvaraju takve viruse pokušavaju da se zaštite i daju smjernice drugima. Kada se koriste uslužni programi za dešifriranje, virus može reagirati na način da se cijeli sistem sruši, uz potpuno uništenje svih podataka pohranjenih na tvrdim diskovima ili logičkim particijama. Ovo je, da tako kažem, indikativna lekcija za pouku svih onih koji ne žele da plate. Možemo se osloniti samo na zvanične antivirusne laboratorije.

Kardinalne metode

Međutim, ako su stvari zaista loše, morat ćete žrtvovati informacije. Da biste se u potpunosti riješili prijetnje, morate formatirati cijeli tvrdi disk, uključujući virtualne particije, a zatim ponovo instalirati operativni sistem.

Nažalost, drugog izlaza nema. Čak ni do određene sačuvane tačke vraćanja neće pomoći. Virus može nestati, ali datoteke će ostati šifrirane.

Umjesto pogovora

U zaključku, vrijedi napomenuti da je situacija sljedeća: ransomware virus prodire u sistem, obavlja svoj prljavi posao i ne liječi se nijednom poznatom metodom. Alati za zaštitu od virusa nisu bili spremni za ovu vrstu prijetnji. Podrazumijeva se da je moguće otkriti virus nakon izlaganja ili ga ukloniti. Ali šifrirane informacije će ostati ružne. Stoga se nadam da će najbolji umovi kompanija za razvoj antivirusnog softvera ipak pronaći rješenje, iako će to, sudeći po algoritmima šifriranja, biti vrlo teško izvodljivo. Sjetite se samo mašine za šifriranje Enigma koju je njemačka mornarica imala tokom Drugog svjetskog rata. Najbolji kriptografi nisu mogli riješiti problem algoritma za dešifriranje poruka dok se ne dočepaju uređaja. I ovdje stvari stoje ovako.