Skedarët e punës të shndërruar në .xtbl: ne qetësojmë virusin ransomware. Ransomware - çfarë është, pse është e rrezikshme

Sot, përdoruesit e kompjuterëve dhe laptopëve po përballen gjithnjë e më shumë me malware që zëvendësojnë skedarët me kopjet e tyre të koduara. Në fakt, këto janë viruse. Një nga më të rrezikshmit në këtë seri është ransomware XTBL. Çfarë është ky dëmtues, si futet në kompjuterin e përdoruesit dhe a është e mundur të rikuperoni informacionin e dëmtuar?

Çfarë është një ransomware XTBL dhe si futet në një kompjuter

Nëse gjeni skedarë me një emër të gjatë dhe zgjerimin .xtbl në kompjuterin ose laptopin tuaj, atëherë mund të themi me besim se një virus i rrezikshëm - XTBL ransomware - ka hyrë në sistem. Ndikon në të gjitha versionet e Windows OS. Është pothuajse e pamundur të deshifroni skedarë të tillë vetë, sepse programi përdor një mënyrë hibride, në të cilën zgjedhja e çelësit është thjesht e pamundur.

Skedarët e infektuar mbushin drejtoritë e sistemit. Regjistrimet shtohen në regjistrin e Windows që lëshojnë automatikisht virusin sa herë që fillon OS.

Pothuajse të gjitha llojet e skedarëve janë të koduar - grafik, tekst, arkiv, postë, video, muzikë, etj. Puna në Windows bëhet e pamundur.

Si punon? ransomware XTBL i lëshuar në Windows fillimisht skanon të gjitha disqet logjike. Kjo përfshin ruajtjen e cloud dhe rrjetit të vendosur në kompjuterin tuaj. Si rezultat, skedarët grupohen sipas zgjerimit dhe më pas kodohen. Kështu, të gjitha informacionet e vlefshme të vendosura në dosjet e përdoruesit bëhen të paarritshme.

Kjo është fotografia që përdoruesi do të shohë në vend të ikonave me emrat e skedarëve të njohur.

Shtesa e skedarit ndryshon nën ndikimin e ransomware XTBL. Përdoruesi tani sheh një ikonë të fletës bosh dhe një titull të gjatë që përfundon me .xtbl në vend të një imazhi ose teksti në Word. Për më tepër, një mesazh shfaqet në desktop, një lloj udhëzimi për rikuperimin e informacionit të koduar, që kërkon të paguani për zhbllokimin. Ky nuk është gjë tjetër veçse shantazh me shpërblim.

Një mesazh i tillë shfaqet në dritaren "desktop" të kompjuterit.

Shpërndarja e ransomware XTBL zakonisht ndodh me email. Letra përmban skedarë të bashkangjitur ose dokumente të infektuara me një virus. Mashtruesi tërheq përdoruesin me një titull shumëngjyrësh. Gjithçka bëhet në mënyrë që mesazhi që thotë se ju, për shembull, keni fituar një milion, të jetë i hapur. Mos iu përgjigjni mesazheve të tilla, përndryshe ekziston një rrezik i madh që një virus të përfundojë në sistemin tuaj operativ.

A është e mundur të rikuperoni informacionin

Mund të provoni të deshifroni informacionin duke përdorur shërbime speciale. Megjithatë, nuk ka asnjë garanci se do të jeni në gjendje të shpëtoni nga virusi dhe të rikuperoni skedarët e dëmtuar.

Aktualisht, ransomware XTBL paraqet një kërcënim të padyshimtë për të gjithë kompjuterët që përdorin Windows. Edhe liderët e njohur në luftën kundër viruseve - Dr.Web dhe Kaspersky Lab - nuk kanë një zgjidhje 100% për këtë çështje.

Heqja e një virusi dhe rivendosja e skedarëve të koduar

Ka metoda dhe programe të ndryshme që ju lejojnë të punoni me ransomware XTBL. Disa heqin vetë virusin, të tjerë përpiqen të deshifrojnë skedarët e kyçur ose të rivendosin kopjet e tyre të mëparshme.

Ndërprerja e infeksionit të kompjuterit

Nëse keni fatin të vini re fillimin e shfaqjes së skedarëve me shtesën .xtbl në kompjuterin tuaj, atëherë procesi i infektimit të mëtejshëm është mjaft i mundur të ndërpritet.

Kaspersky Virus Removal Tool për të hequr ransomware XTBL

Të gjitha programet e tilla duhet të hapen në një OS që është nisur më parë në modalitetin e sigurt me opsionin për të ngarkuar drejtuesit e rrjetit. Në këtë rast, është shumë më e lehtë për të hequr virusin, pasi numri minimal i proceseve të sistemit të kërkuar për të nisur Windows është i lidhur.

Për të ngarkuar modalitetin e sigurt në Windows XP, 7 gjatë nisjes së sistemit, shtypni vazhdimisht tastin F8 dhe pasi të shfaqet dritarja e menysë, zgjidhni artikullin e duhur. Kur përdorni Windows 8, 10, rinisni sistemin operativ duke mbajtur të shtypur tastin Shift. Gjatë procesit të nisjes, do të hapet një dritare ku mund të zgjidhni opsionin e kërkuar të sigurt të nisjes.

Zgjedhja e modalitetit të sigurt me ngarkimin e drejtuesve të rrjetit

Mjeti i heqjes së virusit Kaspersky njeh në mënyrë të përsosur ransomware-in XTBL dhe heq këtë lloj virusi. Kryeni një skanim kompjuteri duke klikuar butonin përkatës pasi të jetë ngarkuar programi. Pasi të përfundojë skanimi, fshini skedarët me qëllim të keq të zbuluar.

Nisja e një skanimi kompjuterik për praninë e një ransomware XTBL në Windows OS dhe më pas heqja e virusit

Dr.Web CureIt!

Algoritmi për skanimin dhe heqjen e një virusi është praktikisht i njëjtë si në versionin e mëparshëm. Skanoni të gjitha disqet logjike me programin. Për ta bërë këtë, thjesht duhet të ndiqni komandat e programit pas fillimit të tij. Në fund të procesit, hiqni qafe skedarët e infektuar duke klikuar butonin "Neutralize".

Neutralizimi i skedarëve me qëllim të keq pas një skanimi të Windows

Malwarebytes Anti-malware

Programi do të kryejë një skanim hap pas hapi të kompjuterit tuaj për kode me qëllim të keq dhe do t'i shkatërrojë ato.

1. Instaloni dhe ekzekutoni programin Anti-malware.
2. Zgjidhni artikullin "Fillimi i skanimit" në fund të dritares që hapet.
3. Prisni deri në fund të procesit dhe shënoni kutitë me skedarë të infektuar.
4. Fshi përzgjedhjen.

Heqja e skedarëve me qëllim të keq XTBL ransomware të zbuluar gjatë skanimit

Skript-dekoder online nga Dr.Web

Në faqen zyrtare të Dr.Web, në seksionin e mbështetjes, ekziston një skedë me një skript për deshifrimin në internet të skedarëve. Duhet të kihet parasysh se vetëm ata përdorues në kompjuterët e të cilëve është instaluar antivirusi i këtij zhvilluesi do të mund të përdorin dekriptuesin në internet.

Lexoni udhëzimet, plotësoni gjithçka që ju nevojitet dhe klikoni butonin "Dërgo".

Shërbimi i deshifrimit RectorDecryptor nga Kaspersky Lab

Kaspersky Lab gjithashtu deshifron skedarët. Në faqen zyrtare, mund të shkarkoni programin RectorDecryptor.exe për Windows Vista, 7, 8 duke ndjekur lidhjet në menunë "Mbështetje - Trajtimi dhe deshifrimi i skedarëve - RectorDecryptor - Si të deshifroni skedarët". Drejtoni programin, kontrolloni atë dhe më pas fshini skedarët e koduar duke zgjedhur artikullin e duhur.

Skanimi dhe deshifrimi i skedarëve të infektuar me ransomware XTBL

Rivendosja e skedarëve të koduar nga një kopje rezervë

Duke filluar në Windows 7, mund të provoni të rivendosni skedarët nga kopjet rezervë.

ShadowExplorer për të rikuperuar skedarët e koduar

Programi është një version portativ, ai mund të shkarkohet nga çdo media.

QPhotoRec

Programi është krijuar posaçërisht për të rikuperuar skedarët e dëmtuar dhe të fshirë. Duke përdorur algoritme të integruara, programi gjen dhe rikthen të gjithë informacionin e humbur në gjendjen e tij origjinale.

QPhotoRec është një program falas.

Fatkeqësisht, ekziston vetëm një version anglisht i QPhotoRec, por nuk është e vështirë të kuptosh cilësimet, ndërfaqja është intuitive.

1. Ekzekutoni programin.
2. Kontrolloni disqet logjike me informacion të koduar.
3. Klikoni butonin Formatet e skedarit dhe OK.
4. Duke përdorur butonin Browse që ndodhet në fund të dritares së hapur, zgjidhni vendndodhjen për të ruajtur skedarët dhe filloni procedurën e rivendosjes duke klikuar Search.

QPhotoRec rikuperon skedarët e fshirë nga ransomware XTBL dhe të zëvendësuar me kopjet e tyre

Si të deshifroni skedarët - video

Çfarë nuk duhet bërë

1. Asnjëherë mos ndërmerr veprime për të cilat nuk je plotësisht i sigurt.Është më mirë të ftoni një specialist nga qendra e shërbimit, ose mund ta çoni vetë kompjuterin atje.
2. Mos hapni email nga dërgues të panjohur.
3. Në asnjë rrethanë nuk duhet të udhëhiqeni nga shantazhuesit duke rënë dakord të transferoni para tek ata. Kjo, ka shumë të ngjarë, nuk do të japë një rezultat.
4. Mos riemërtoni manualisht shtesat e skedarëve të koduar dhe mos nxitoni të riinstaloni Windows. Ndoshta do të jetë e mundur të gjendet një zgjidhje që do të korrigjojë situatën.

Profilaksia

Përpiquni të instaloni mbrojtje të besueshme kundër depërtimit të ransomware XTBL dhe viruseve të ngjashëm ransomware në kompjuterin tuaj. Këto programe përfshijnë:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Përkundër faktit se ata janë të gjithë në anglisht, puna me shërbime të tilla është mjaft e thjeshtë. Ekzekutoni programin dhe zgjidhni nivelin e mbrojtjes në cilësimet.

Nisja e programit dhe zgjedhja e nivelit të mbrojtjes

Nëse keni hasur në një virus ransomware që kodon skedarët në kompjuterin tuaj, atëherë, sigurisht, nuk duhet të dëshpëroheni menjëherë. Mundohuni të përdorni metodat e propozuara për të rikuperuar informacionin e dëmtuar. Kjo është shpesh e dobishme. Mos përdorni programe të paverifikuara të zhvilluesve të panjohur për të hequr ransomware XTBL. Në fund të fundit, kjo vetëm mund ta përkeqësojë situatën. Nëse është e mundur, instaloni një nga programet që parandalojnë funksionimin e virusit në kompjuterin tuaj dhe kryeni skanime të rregullta të planifikuara të Windows për procese me qëllim të keq.

Në mënyrë tipike, puna e programeve me qëllim të keq synon marrjen e kontrollit mbi një kompjuter, përfshirjen e tij në një rrjet zombie ose vjedhjen e të dhënave personale. Një përdorues i pavëmendshëm mund të mos vërejë për një kohë të gjatë që sistemi është i infektuar. Por viruset ransomware, në veçanti xtbl, funksionojnë në një mënyrë krejtësisht të ndryshme. Ata i bëjnë skedarët e përdoruesve të papërdorshëm duke i enkriptuar me algoritmin më kompleks dhe duke kërkuar një shumë të madhe nga pronari për aftësinë për të rikuperuar informacionin.

Shkaku i problemit: virusi xtbl

Virusi ransomware xtbl mori emrin e tij nga fakti se dokumentet e përdoruesit të koduara prej tij marrin shtesën .xtbl. Zakonisht, koduesit lënë një çelës në trupin e skedarit në mënyrë që një program dekoder universal të mund të rivendosë informacionin në formën e tij origjinale. Megjithatë, virusi është menduar për qëllime të tjera, kështu që në vend të një çelësi, në ekran shfaqet një ofertë për të paguar një shumë të caktuar duke përdorur detaje anonime të llogarisë.

Si funksionon virusi xtbl

Virusi hyn në kompjuter përmes mesazheve të postës elektronike me bashkëngjitje të infektuara, të cilat janë skedarë të aplikacioneve të zyrës. Pasi përdoruesi të ketë hapur përmbajtjen e mesazhit, malware fillon të kërkojë foto, çelësa, video, dokumente etj., dhe më pas, duke përdorur një algoritëm kompleks origjinal (kriptim hibrid), i kthen ato në depo xtbl.

Virusi përdor dosjet e sistemit për të ruajtur skedarët e tij.

Virusi shtohet në listën e fillimit. Për ta bërë këtë, ai shton hyrje në regjistrin e Windows në seksionet e mëposhtme:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Kompjuteri i infektuar funksionon në mënyrë të qëndrueshme, sistemi nuk "dështon", por gjithmonë ka një aplikacion të vogël (ose dy) me një emër të pakuptueshëm në RAM. Dhe dosjet me skedarët e punës të përdoruesit marrin një pamje të çuditshme.

Në vend të një ekrani spërkatës, një mesazh shfaqet në desktop:

Skedarët tuaj janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin në adresën e emailit: [email i mbrojtur](kodi vijon). Më pas do të merrni udhëzime të mëtejshme. Përpjekjet e pavarura për të deshifruar skedarët do të çojnë në shkatërrimin e tyre të plotë.

I njëjti tekst gjendet në skedarin Si të deshifroni skedarët tuaj.txt të gjeneruar. Adresa e emailit, kodi, shuma e kërkuar mund të ndryshojnë.

Shumë shpesh, disa mashtrues fitojnë para nga të tjerët - numri i portofolit elektronik të ransomware futet në trupin e virusit, duke mos pasur asnjë mënyrë për të deshifruar skedarët. Pra, një përdorues sylesh, pasi ka dërguar para, nuk merr asgjë në këmbim.

Pse nuk duhet të paguani ransomware

Është e pamundur të pranosh të bashkëpunosh me zhvatësit jo vetëm për shkak të parimeve morale. Kjo është e paarsyeshme nga pikëpamja praktike.

1. Mashtrim. Nuk është fakt që sulmuesit do të jenë në gjendje të deshifrojnë skedarët tuaj. Një nga fotografitë e supozuara të deshifruara të kthyera tek ju nuk shërben as si provë - mund të jetë thjesht origjinali i vjedhur përpara kriptimit. Paratë e paguara do të shkojnë të kota.
2. Përsëritshmëria. Duke konfirmuar gatishmërinë tuaj për të paguar, do të bëheni pre më e dëshirueshme për një sulm të përsëritur. Ndoshta herën tjetër skedarët tuaj do të kenë një shtrirje të ndryshme dhe një mesazh tjetër do të shfaqet në ekranin me spërkatje, por paratë do të shkojnë për të njëjtët njerëz.
3. Konfidencialiteti. Ndërsa skedarët janë të koduar, ato janë në kompjuterin tuaj. Pasi të keni rënë dakord me "zuzarët e ndershëm", do të detyroheni t'u dërgoni atyre të gjitha informacionet tuaja personale. Algoritmi nuk parashikon marrjen e një çelësi dhe deshifrimin e tij më vete, vetëm dërgimin e skedarëve në një dekoder.
4. Infeksion kompjuterik. Kompjuteri juaj është ende i infektuar, kështu që deshifrimi i skedarit nuk është një zgjidhje e plotë për problemin.

Si të mbroni sistemin tuaj nga një virus

Rregullat universale për mbrojtjen nga malware dhe minimizimin e dëmeve do të ndihmojnë edhe në këtë rast.

1. Kujdes nga lidhjet e rastësishme. Nuk ka nevojë të hapni emailet e marra nga dërgues të panjohur, duke përfshirë reklamat dhe ofertat e bonusit. Në raste ekstreme, mund t'i lexoni ato duke ruajtur së pari shtojcën në disk dhe duke e kontrolluar atë me një antivirus.
2. Përfitoni nga mbrojtja. Programet antivirus po shtojnë vazhdimisht kodet me qëllim të keq në bibliotekat e tyre, kështu që versioni aktual i mbrojtësit nuk do të lejojë shumicën e viruseve në kompjuterin tuaj.
3. Shpërndani aksesin. Virusi do të bëjë shumë më tepër dëm nëse depërton përmes llogarisë së administratorit. Është më mirë të punosh në emër të përdoruesit, duke ulur kështu në mënyrë drastike shanset e infektimit.
4. Krijoni kopje rezervë. Informacioni i rëndësishëm duhet të kopjohet rregullisht në media të jashtme të ruajtura veçmas nga kompjuteri juaj. Gjithashtu, mos harroni për krijimin e pikave rezervë të rivendosjes së Windows.

A është e mundur të rikuperoni informacionin e koduar

Lajm i mirë: rikuperimi i të dhënave është i mundur. E keqe: ju nuk mund ta bëni këtë vetë. Arsyeja për këtë është veçoria e algoritmit të kriptimit, zgjedhja e çelësit të të cilit kërkon shumë më tepër burime dhe njohuri të grumbulluara sesa një përdorues i zakonshëm. Për fat të mirë, zhvilluesit e antiviruseve e konsiderojnë si çështje nderi të merren me çdo program keqdashës, kështu që edhe nëse aktualisht nuk janë në gjendje të merren me ransomware-in tuaj, ata me siguri do të gjejnë një zgjidhje brenda një ose dy muajsh. Do të duhet të jemi të durueshëm.

Për shkak të nevojës për të kontaktuar specialistë, algoritmi për të punuar me një kompjuter të infektuar po ndryshon. Si rregull i përgjithshëm, sa më pak ndryshime aq më mirë. Antiviruset përcaktojnë metodën e trajtimit bazuar në karakteristikat gjenerike të një programi me qëllim të keq; prandaj, skedarët e infektuar janë një burim informacioni të rëndësishëm për ta. Ato duhet të hiqen vetëm pasi të zgjidhet problemi kryesor.

Rregulli i dytë është ndërprerja e punës së virusit me çdo kusht. Ndoshta ai nuk i ka prishur ende të gjitha informacionet, dhe gjurmët e ransomware mbeten në RAM, me ndihmën e të cilit ai mund të identifikohet. Prandaj, duhet të fikni menjëherë kompjuterin nga rrjeti dhe të fikni laptopin duke shtypur gjatë butonin e rrjetit. Këtë herë, procedura standarde e mbylljes "të kujdesshme", e cila bën të mundur përfundimin e saktë të të gjitha proceseve, nuk do të funksionojë, pasi një prej tyre është kodimi i informacionit tuaj.

Rikuperimi i skedarëve të koduar

Nëse keni arritur të fikni kompjuterin tuaj

Nëse keni arritur të fikni kompjuterin tuaj përpara përfundimit të procesit të kriptimit, atëherë nuk keni nevojë ta ndizni vetë. Merrni "pacientin" direkt te specialistët, kodimi i ndërprerë rrit ndjeshëm shanset për të ruajtur skedarët personalë. Këtu mund të kontrolloni gjithashtu median tuaj të ruajtjes në modalitetin e sigurt dhe të krijoni kopje rezervë. Me një probabilitet të lartë, vetë virusi do të njihet, kështu që trajtimi për të do të jetë i suksesshëm.

Nëse kriptimi është i plotë

Fatkeqësisht, gjasat për të ndërprerë me sukses procesin e kriptimit janë shumë të vogla. Zakonisht, virusi ka kohë për të koduar skedarët dhe për të hequr gjurmët e panevojshme nga kompjuteri. Dhe tani keni dy probleme: Windows është ende i infektuar dhe skedarët personalë janë bërë një grup karakteresh. Për të zgjidhur problemin e dytë, është e nevojshme të përdorni ndihmën e prodhuesve të programeve antivirus.

Dr.Web

Dr.Web Laboratory ofron shërbimet e tij të deshifrimit falas vetëm për pronarët e licencave tregtare. Me fjalë të tjera, nëse nuk jeni ende klienti i tyre, por dëshironi të rivendosni skedarët tuaj, do t'ju duhet të blini programin. Nisur nga situata aktuale, ky është investimi i duhur.

Hapi tjetër është të shkoni në faqen e internetit të prodhuesit dhe të plotësoni formularin e hyrjes.

Nëse midis skedarëve të koduar ka kopje të të cilave janë ruajtur në media të jashtme, transferimi i tyre do të lehtësojë shumë punën e dekoderëve.

Kaspersky

Kaspersky Lab ka zhvilluar mjetin e vet të deshifrimit të quajtur RectorDecryptor, i cili mund të shkarkohet në një kompjuter nga faqja zyrtare e kompanisë.

Çdo version i sistemit operativ, duke përfshirë Windows 7, ka programin e vet. Pasi ta ngarkoni, shtypni butonin "Filloni kontrollin".

Shërbimet mund të zgjasin pak nëse virusi është relativisht i ri. Në këtë rast, kompania zakonisht dërgon një njoftim. Ndonjëherë deshifrimi mund të zgjasë disa muaj.

Shërbime të tjera

Ka gjithnjë e më shumë shërbime me funksione të ngjashme, gjë që tregon kërkesën për shërbime deshifrimi. Algoritmi i veprimeve është i njëjtë: shkoni në sit (për shembull, https://decryptolocker.com/), regjistrohuni dhe dërgoni skedarin e koduar.

Programet e dekoderit

Ka shumë "dekoder universal" (natyrisht, me pagesë) në rrjet, por dobia e tyre është e diskutueshme. Sigurisht, nëse vetë prodhuesit e virusit shkruajnë një dekoder, ai do të funksionojë me sukses, por i njëjti program do të jetë i padobishëm për një aplikacion tjetër me qëllim të keq. Për më tepër, specialistët që hasin rregullisht viruse zakonisht kanë një paketë të plotë të shërbimeve të nevojshme, kështu që ata kanë të gjitha programet e punës me një probabilitet të lartë. Blerja e një dekoderi të tillë ka të ngjarë të jetë humbje parash.

Si të deshifroni skedarët duke përdorur Kaspersky Lab - video

Rikuperimi i informacionit të vetë-shërbimit

Nëse për ndonjë arsye është e pamundur të kontaktoni specialistë të palëve të treta, mund të përpiqeni të rikuperoni informacionin vetë. Le të bëjmë një rezervë që në rast dështimi, skedarët mund të humbasin përgjithmonë.

Rikuperimi i skedarëve të fshirë

Pas kriptimit, virusi fshin skedarët origjinalë. Sidoqoftë, Windows 7 ruan të gjitha informacionet e fshira në formën e të ashtuquajturës kopje hije për ca kohë.

ShadowExplorer është një mjet i krijuar për të rikuperuar skedarët nga kopjet e tyre në hije.

PhotoRec

Programi falas PhotoRec funksionon në të njëjtën mënyrë, por në modalitetin e grupit.

1. Shkarkoni arkivin nga faqja e zhvilluesit dhe shpaketoni atë në disk. Skedari i ekzekutueshëm quhet QPhotoRec_Win.
2. Pas nisjes së aplikacionit, një kuti dialogu do të shfaqë një listë të të gjitha pajisjeve të disponueshme të diskut. Zgjidhni atë ku janë ruajtur skedarët e koduar dhe specifikoni shtegun për të ruajtur kopjet e rikuperuara.
   

   Për ruajtje, është më mirë të përdorni një medium të jashtëm, siç është një USB, pasi çdo shkrim në disk është i rrezikshëm duke fshirë kopjet e hijes.

3. Me drejtoritë e dëshiruara të zgjedhura, shtypni butonin e kornizës "Formatet e skedarit".
4. Menyja rënëse është një listë e llojeve të skedarëve që aplikacioni mund të rivendosë. Si parazgjedhje, ka një shenjë kontrolli pranë secilës, por për të përshpejtuar punën, mund të hiqni "kutitë e kontrollit" të panevojshme, duke lënë vetëm ato që korrespondojnë me llojet e skedarëve që rikthehen. Kur të keni mbaruar me zgjedhjen tuaj, shtypni butonin OK në ekran.
5. Pasi të përfundojë përzgjedhja, butoni i butë "Kërko" bëhet i disponueshëm. Klikoni atë. Procedura e rikuperimit është një proces që kërkon shumë kohë, prandaj jini të durueshëm.
6. Pasi të prisni përfundimin e procesit, shtypni butonin Quit në ekran dhe dilni nga programi.
7. Skedarët e rikuperuar ndodhen në drejtorinë e specifikuar më parë dhe renditen në dosje me emra të njëjtë recup_dir.1, recup_dir.2, recup_dir.3 e kështu me radhë. Kaloni një nga një dhe kthejini ato në emrat e tyre origjinalë.

Heqja e virusit

Meqenëse virusi hyri në kompjuter, programet e instaluara të sigurisë nuk e përballuan detyrën e tyre. Mund të provoni ndihmën e palëve të treta.

E rëndësishme! Heqja e virusit shëron kompjuterin, por nuk rikthen skedarët e koduar. Përveç kësaj, instalimi i softuerit të ri mund të dëmtojë ose fshijë disa kopje hije të skedarëve që kërkohen për t'i rikthyer ato. Prandaj, është më mirë të instaloni aplikacione në disqe të tjerë.

Mjeti për heqjen e virusit Kaspersky

Program falas i një zhvilluesi të njohur të softuerit antivirus, i cili mund të shkarkohet nga faqja e internetit Kaspersky Lab. Pas lëshimit të Kaspersky Virus Removal Tool, ai ju kërkon menjëherë të filloni skanimin.

Pasi të keni shtypur butonin e madh në ekran "Start Scan", programi fillon të skanojë kompjuterin tuaj.

Mbetet të presim deri në fund të skanimit dhe të fshijmë mysafirët e gjetur të paftuar.

Malwarebytes Anti-malware

Një tjetër zhvillues i softuerit antivirus që ofron një version falas të skanerit. Algoritmi i veprimeve është i njëjtë:

1. Shkarkoni skedarin e instalimit për Malwarebytes Anti-malware nga faqja zyrtare e prodhuesit, më pas ekzekutoni instaluesin, duke iu përgjigjur pyetjeve dhe duke klikuar butonin "Tjetër".
2. Dritarja kryesore do të ofrojë përditësimin e menjëhershëm të programit (një procedurë e dobishme për rifreskimin e bazave të të dhënave të viruseve). Pas kësaj, filloni kontrollin duke klikuar në butonin përkatës.
3. Malwarebytes Anti-malware skanon sistemin në faza, duke shfaqur rezultate të përkohshme.
4. Viruset e gjetura, duke përfshirë ransomware, shfaqen në dritaren përfundimtare. Largohuni prej tyre duke shtypur butonin "Fshi të zgjedhurit" në ekran.
   

   Për heqjen e saktë të disa aplikacioneve me qëllim të keq, Malwarebytes Anti-malware do të ofrojë rinisjen e sistemit, ju duhet të pajtoheni me këtë. Pas rifillimit të Windows, antivirusi do të vazhdojë të pastrohet.

Çfarë nuk duhet bërë

Virusi XTBL, si viruset e tjerë ransomware, dëmton si sistemin ashtu edhe informacionin e përdoruesit. Prandaj, për të zvogëluar dëmtimin e mundshëm, duhen marrë disa masa paraprake:

1. Mos prisni për fundin e kriptimit. Nëse enkriptimi i skedarit ka filluar para syve tuaj, mos prisni derisa gjithçka të përfundojë ose përpiquni ta ndërprisni procesin me softuer. Hiqeni kompjuterin menjëherë nga priza dhe telefononi një teknik shërbimi.
2. Mos u përpiqni ta hiqni vetë virusin nëse mund t'u besoni profesionistëve.
3. Mos e riinstaloni sistemin deri në fund të trajtimit. Virusi do të infektojë në mënyrë të sigurt edhe sistemin e ri.
4. Mos riemërtoni skedarët e enkriptuar. Kjo vetëm do të komplikojë punën e dekoderit.
5. Mos u përpiqni të lexoni skedarë të infektuar në një kompjuter tjetër derisa virusi të hiqet. Kjo mund të përhapë infeksionin.
6. Mos paguani zhvatësit. Është e padobishme dhe inkurajon krijuesit e viruseve dhe mashtruesit.
7. Mos harroni për parandalimin. Instalimi i antivirusit, kopje rezervë të rregullt dhe krijimi i pikave të rikuperimit do të zvogëlojë ndjeshëm dëmin e mundshëm nga malware.

Kurimi i një kompjuteri të infektuar me një virus ransomware është një procedurë e gjatë dhe jo gjithmonë e suksesshme. Prandaj, është kaq e rëndësishme të respektohen masat paraprake kur merrni informacion nga rrjeti dhe punoni me media të jashtme të paverifikuara.

Le të kujtojmë: Trojanët e familjes Trojan.Encoder janë programe me qëllim të keq që enkriptojnë skedarët në hard diskun e një kompjuteri dhe kërkojnë para për t'i deshifruar ato. Skedarët * .mp3, * .doc, * .docx, * .pdf, * .jpg, * .rar dhe kështu me radhë mund të kodohen.
Nuk ishte e mundur të njiheshe personalisht me të gjithë familjen e këtij virusi, por, siç tregon praktika, metoda e infeksionit, trajtimit dhe deshifrimit është afërsisht e njëjtë për të gjithë:
1. viktima infektohet përmes një emaili spam me një bashkëngjitje (më rrallë përmes një rruge infektive),
2. virusi njihet dhe hiqet (tashmë) nga pothuajse çdo antivirus me baza të dhënash të reja,
3. skedarët deshifrohen duke zgjedhur fjalëkalimet-çelësat për llojet e enkriptimit të përdorur.
Për shembull, Trojan.Encoder.225 përdor enkriptimin RC4 (i modifikuar) + DES, ndërsa Trojan.Encoder.263 përdor BlowFish në modalitetin CTR. Këto viruse aktualisht janë 99% të deshifruar bazuar në praktikën personale.

Por jo gjithçka është aq e qetë. Disa viruse ransomware kërkojnë muaj deshifrimi të vazhdueshëm (Trojan.Encoder.102), ndërsa të tjerë (Trojan.Encoder.283) nuk janë të gatshëm të korrigjojnë deshifrimin, as për specialistët e Doctor Web, i cili, në fakt, luan një rol kyç. ne kete artikull....

Tani në rregull.

Në fillim të gushtit 2013, klientët më kontaktuan me një problem të skedarëve të koduar nga virusi Trojan.Encoder.225. Virusi në atë kohë është i ri, askush nuk di gjë, ka 2-3 lidhje tematike të Google në internet. Pas një kërkimi të gjatë në internet, rezulton se e vetmja organizatë (e gjetur) që merret me problemin e deshifrimit të skedarëve pas këtij virusi është Doctor Web. Përkatësisht: ai jep rekomandime, ndihmon kur kontakton mbështetjen teknike, zhvillon deshifruesit e tij, etj.

Tërheqje negative.

Dhe, duke shfrytëzuar këtë mundësi, dua të shënoj dy majmëri minus "Kaspersky Lab". Të cilët, kur kontaktojnë mbështetjen e tyre teknike, shkarkojnë "ne po punojmë për këtë çështje, ne do t'i njoftojmë rezultatet me postë". E megjithatë, e keqja është se nuk kam marrë kurrë një përgjigje për kërkesën. Pas 4 muajsh. Mos u dënoni për kohën e reagimit. Dhe këtu po përpiqem për standardin "jo më shumë se një orë nga regjistrimi i aplikacionit".
Me turp, shoku Eugene Kaspersky, CEO i Kaspersky Lab. Por unë kam gjysmën e mirë të të gjitha kompanive "ulur" në të. Epo, mirë, licencat skadojnë në janar-mars 2014. Eshtë e panevojshme të thuhet, a do ta rinovoj licencën time?;)

Unë përfaqësoj fytyrat e "specialistëve" nga kompanitë "më të thjeshta", si të thuash, JO-gjigantë të industrisë së antiviruseve. Ndoshta përgjithësisht "u strukur në një cep" dhe "qanë në heshtje".
Edhe pse, ajo që është tashmë atje, absolutisht të gjitha "të ndyra" në maksimum. Antivirusi, në parim, nuk duhet të kishte lejuar që ky virus të futej në kompjuter. Për më tepër, duke marrë parasysh teknologjitë moderne. Dhe "ata", GJIGANTËT e industrisë antivirus, gjoja kanë gjithçka nën kontroll, "analizë heuretike", "sistemin parandalues", "mbrojtje proaktive" ...

KU ISHIN TË GJITHA KËTO SUPER SISTEMET KUR PUNËTORI I DEPARTAMENTIT TË BURIMEVE NJERËZORE HAP LETËRËN E "SIGURUAR" ME TEMA "PERMBLEDHJE" ???
Çfarë duhet të kishte menduar punonjësi?
Nëse JU nuk mund të na mbroni, atëherë pse kemi nevojë fare për JU?

Dhe gjithçka do të ishte mirë me Doctor Web, por vetëm për të marrë ndihmë, sigurisht që duhet të keni një licencë për cilindo prej produkteve të tyre softuerike. Kur kontaktoni mbështetjen teknike (në tekstin e mëtejmë TP), ju duhet të jepni numrin serial të Dr.Web dhe mos harroni të zgjidhni "kërkesë për trajtim" në rreshtin "Kategoria e kërkesës:" ose thjesht t'u jepni atyre një skedar të koduar për laboratori. Unë do të doja të bëja një rezervim menjëherë që të ashtuquajturit "çelësat e regjistrimit" të Dr.Web, të cilët janë postuar në grupe në internet, nuk janë të përshtatshëm, pasi ato nuk konfirmojnë blerjen e ndonjë produkti softuer, dhe kontrollohen jashtë nga specialistët e TP një ose dy herë. Është më e lehtë të blesh licencën më "deshman". Sepse nëse vendosni për deshifrimin - kjo licencë do t'ju paguajë një "mulion" kohë. Sidomos nëse dosja me foto "Egjipt 2012" ishte në një kopje ...

Përpjekja # 1

Kështu, pasi bleva një "licencë për 2 PC për një vit" për n-shuma parash, pasi kontaktova TP dhe kisha siguruar disa skedarë, mora një lidhje me versionin 1.3.0.0 të mjetit dekriptues te225decrypt.exe. Në pritje të suksesit, unë nis programin (duhet ta drejtoni në një nga skedarët e koduar * .doc). Programi fillon përzgjedhjen duke ngarkuar pa mëshirë 90-100% të një procesori të vjetër E5300 DualCore, 2600 MHz (i mbingarkuar në 3,46 GHz) / 8192 MB DDR2-800, HDD 160 Gb Western Digital.
Këtu, paralelisht me mua, një koleg në një PC core i5 2500k (mbingarkim në 4.5 GHz) / 16 ram 1600 / ssd intel është përfshirë në punë (kjo është për krahasimin e kohës së kaluar në fund të artikullit).
Pas 6 ditësh, shërbimi im raportoi se 7277 skedarë u deshifruan. Por lumturia nuk zgjati shumë. Të gjithë skedarët u deshifruan "shtrembër". Kjo është, për shembull, dokumentet e Microsoft Office të hapura, por me gabime të ndryshme: "Word ka gjetur përmbajtje në dokumentin * .docx që nuk mund të lexohet" ose "Nuk mund të hapet skedari * .docx për shkak të gabimeve në përmbajtjen e tij." Skedarët * .jpg hapen gjithashtu ose me një gabim, ose 95% e imazhit është e paqartë me një sfond të zi ose të gjelbër të çelur. Skedarët * .rar - "Përfundimi i papritur i arkivit".
Në përgjithësi, një dështim i plotë.

Përpjekja # 2

Ne i shkruajmë TP-së për rezultatet. Ata kërkojnë të japin disa dosje. Një ditë më vonë, ata përsëri japin një lidhje me mjetin te225decrypt.exe, por këtë herë versionin 1.3.2.0. Epo, le të fillojmë, atëherë nuk kishte ende alternativë. Duhen rreth 6 ditë dhe shërbimi përfundon punën e tij me gabimin "Është e pamundur të zgjidhni parametrat e kriptimit". Gjithsej 13 ditë "në fund".
Por ne nuk heqim dorë, për shkak të dokumenteve të rëndësishme të klientit tonë * budalla * pa kopje rezervë elementare.

Përpjekja # 3

Ne i shkruajmë TP-së për rezultatet. Ata kërkojnë të japin disa dosje. Dhe, siç e keni menduar tashmë, një ditë më vonë ata japin një lidhje me të njëjtin mjet te225decrypt.exe, por tashmë versionin 1.4.2.0. Epo, le të fillojmë, nuk kishte asnjë alternativë, as nga Kaspersky Lab, as nga ESET NOD32, as nga prodhuesit e tjerë të zgjidhjeve antivirus. Dhe tani, pas 5 ditësh, 3 orë 14 minuta (123.5 orë), shërbimi informon për deshifrimin e skedarëve (për një koleg në core i5, deshifrimi zgjati vetëm 21 orë 10 minuta).
Epo, mendoj se ishte, nuk ishte. Dhe ja, sukses i plotë! Të gjithë skedarët u deshifruan saktë. Çdo gjë hapet, mbyllet, duket, modifikohet dhe ruhet siç duhet.

Të gjithë janë të lumtur, FUNDI.

"Ku është historia për virusin Trojan.Encoder.263?" Ju pyesni. Dhe në PC-në tjetër, nën tryezë ... ishte. Gjithçka ishte më e thjeshtë atje: Ne i shkruajmë TP-së së Doctor Web, marrim programin te263decrypt.exe, e lëshojmë atë, presim 6,5 ditë, voila! dhe gjithçka është gati.Për ta përmbledhur, mund të jap disa këshilla nga forumi "Doctor Web" në redaksinë time:

Çfarë duhet bërë në rast të infektimit me një virus ransomware:
- dërgoj tek Dr. Ueb ose në formën "Dërgo skedarin e dyshimtë" skedar doc të koduar.
- Prisni një përgjigje nga një punonjës i Dr.Web dhe më pas ndiqni udhëzimet e tij.

Çfarë NUK duhet bërë:
- ndryshoni shtrirjen e skedarëve të koduar; Përndryshe, me një çelës të zgjedhur mirë, programi thjesht nuk do të "shohë" skedarët që duhet të deshifrohen.
- përdorni vetë çdo program për deshifrimin / rikuperimin e të dhënave pa u konsultuar me specialistë.

Kujdes, duke pasur një server pa detyra të tjera, unë ofroj shërbimet e mia falas për deshifrimin e të dhënave TUAJA. Server Core i7-3770K me mbingarkesë në * frekuenca të caktuara *, 16 GB RAM dhe SSD Vertex 4.
Për të gjithë përdoruesit aktivë të "habrit" përdorimi i burimeve të mia do të jetë FALAS !!!
Më shkruani në kontakte personale ose të tjera. Unë tashmë "hëngra qenin" për këtë. Prandaj, nuk jam shumë dembel për ta vendosur serverin në deshifrim gjatë natës.
Ky virus është “plaçka” e kohës sonë dhe marrja e “plaçkave” nga bashkëluftëtarët nuk është humane. Megjithëse, nëse dikush "hedh" disa dollarë në llogarinë time Yandex.Money 410011278501419 - nuk do të më shqetësojë. Por kjo nuk është aspak e nevojshme. Ju lutem kontaktoni. Unë përpunoj aplikacionet në kohën time të lirë.

Informacion i ri!

Duke filluar nga data 12/08/2013, një virus i ri nga e njëjta seri Trojan.Encoder filloi të përhapet nën klasifikimin e Doctor Web - Trojan.Encoder.263, por me enkriptim RSA. Kjo pamje për datën e sotme (20.12.2013) e padeshifrueshme pasi përdor një metodë shumë të fortë enkriptimi.

Unë rekomandoj për të gjithë ata që kanë vuajtur nga ky virus:
1. Duke përdorur kërkimin e integruar të Windows, gjeni të gjithë skedarët që përmbajnë shtesën .perfect, kopjoni ato në një medium të jashtëm.
2. Kopjo gjithashtu skedarin CONTACT.txt
3. Vendoseni këtë media të jashtme në raft.
4. Prisni që të shfaqet programi i dekoderit.

Çfarë NUK duhet bërë:
Nuk ka nevojë të kontaktoni ndërhyrës. Kjo është budallallëk. Në më shumë se 50% të rasteve, pas "pagesës" në rreth 5000 rubla, nuk do të merrni ASGJE. Pa para, pa të dëshpëruar.
Për hir të drejtësisë, duhet theksuar se në internet ka nga ata “fatlumët” që për “plaçkë” i morën dosjet e tyre me deshifrim. Por, nuk duhet t'u besoni këtyre njerëzve. Nëse do të isha një shkrues virusesh, gjëja e parë që do të bëja ishte përhapja e informacionit të tipit "Pagova dhe më dërguan një dekoder !!!".
Këta "me fat" mund të mbështeten nga të njëjtët ndërhyrës.

Epo ... i urojmë fat pjesës tjetër të kompanive antivirus në krijimin e një mjeti për deshifrimin e skedarëve pas viruseve të grupit Trojan.Encoder.

Falënderime të veçanta për punën e bërë për krijimin e shërbimeve të dekoderit shokut v. Martyanov nga forumi Doctor Web.

Hakerat e Ransomware janë shumë të ngjashëm me shantazhuesit e rregullt. Si në botën reale ashtu edhe në mjedisin kibernetik, ekziston një objektiv i vetëm ose grupor i sulmit. Ai ose është vjedhur ose është bërë i paarritshëm. Më pas kriminelët përdorin mjete të caktuara komunikimi me viktimat për të përcjellë kërkesat e tyre. Mashtruesit e kompjuterave zakonisht zgjedhin vetëm disa formate për letrën e shpërblesës, por kopjet e saj mund të gjenden pothuajse në çdo pjesë të kujtesës së sistemit të infektuar. Në rastin e familjes spyware të njohur si Troldesh ose Shade, mashtruesit marrin një qasje të veçantë kur kontaktojnë viktimën.

Le të hedhim një vështrim më të afërt në këtë lloj virusi ransomware, i cili synon audiencën rusisht-folëse. Shumica e infeksioneve të ngjashme përcaktojnë paraqitjen e tastierës në kompjuterin e sulmuar, dhe nëse njëra nga gjuhët është rusisht, pushtimi ndalon. Megjithatë, virusi ransomware XTBL e pakuptueshme: Fatkeqësisht për përdoruesit, sulmi shpaloset pavarësisht nga vendndodhja e tyre gjeografike ose preferenca gjuhësore. Një mishërim i gjallë i kësaj shkathtësie është një paralajmërim që shfaqet në formën e një sfondi desktop, si dhe një skedar TXT me udhëzime për pagesën e shpërblimit.

Virusi XTBL zakonisht përhapet përmes spamit. Mesazhet u ngjajnë letrave të markave të njohura, ose janë thjesht të habitshme, pasi në temën e mesazhit përdoren shprehje të tilla si "Urgjente!" ose “Dokumentet e Rëndësishme Financiare”. Mashtrimi i phishing do të funksionojë kur marrësi i një emaili të tillë. mesazhet do të shkarkojnë një skedar zip që përmban kodin JavaScript ose një objekt Docm me një makro potencialisht të cenueshëm.

Pas ekzekutimit të algoritmit bazë në një kompjuter të komprometuar, trojani i ransomware vazhdon të kërkojë të dhëna që mund të jenë me vlerë për përdoruesin. Për këtë qëllim, virusi skanon memorien lokale dhe të jashtme, në të njëjtën kohë duke krahasuar çdo skedar me një grup formatesh të zgjedhura në bazë të shtrirjes së objektit. Të gjithë skedarët .jpg, .wav, .doc, .xls, si dhe shumë objekte të tjera janë të koduara duke përdorur kripto-algoritmin e bllokut simetrik AES-256.

Ekzistojnë dy aspekte të këtij efekti të dëmshëm. Para së gjithash, përdoruesi humbet aksesin në të dhëna të rëndësishme. Përveç kësaj, emrat e skedarëve janë të koduar thellë, duke rezultuar në një grup të pakuptimtë karakteresh heksadecimal. Gjithçka që bashkon emrat e skedarëve të infektuar është ekstensioni xtbl që u është bashkangjitur atyre, d.m.th. emri i kërcënimit kibernetik. Emrat e skedarëve të koduar ndonjëherë kanë një format të veçantë. Në disa versione të Troldesh, emrat e objekteve të koduar mund të mbeten të pandryshuar dhe një kod unik shtohet në fund: [email i mbrojtur], [email i mbrojtur], ose [email i mbrojtur]

Natyrisht, sulmuesit duke injektuar adresat e emailit. e-mail direkt në emrat e skedarëve, tregojnë mënyrën e komunikimit me viktimat. Email-i është renditur gjithashtu diku tjetër, përkatësisht në letrën e shpërblesës që gjendet në skedarin "Readme.txt". Dokumentet e tilla të Notepad do të shfaqen në Desktop, si dhe në të gjitha dosjet me të dhëna të koduara. Mesazhi kryesor është:

“Të gjithë skedarët janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin: [kodi juaj unik] në adresën tuaj të emailit [email i mbrojtur] ose [email i mbrojtur] Më pas, do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për të deshifruar vetë nuk do të çojnë në asgjë tjetër përveç humbjes së pakthyeshme të informacionit "

Adresa e emailit mund të ndryshojë në varësi të grupit të ransomware që përhap virusin.

Sa i përket zhvillimit të mëtejshëm të ngjarjeve: në terma të përgjithshëm, mashtruesit përgjigjen me një rekomandim për të renditur shpërblimin, i cili mund të jetë 3 bitcoin, ose një shumë tjetër në këtë gamë. Ju lutemi vini re, askush nuk mund të garantojë që hakerët do ta mbajnë premtimin e tyre edhe pasi të marrin paratë. Për të rivendosur aksesin në skedarët .xtbl, përdoruesit e prekur këshillohen që fillimisht të provojnë të gjitha metodat e disponueshme ndërkombëtare. Në disa raste, të dhënat mund të rregullohen duke përdorur shërbimin e kopjimit të hijes së volumit të bazuar në Windows dhe dekoderat e palëve të treta dhe softuerin e rikuperimit të të dhënave.

Hiqni virusin XTBL ransomware duke përdorur pastruesin automatik

Një metodë jashtëzakonisht efektive për t'u marrë me malware në përgjithësi dhe ransomware në veçanti. Përdorimi i një kompleksi sigurie të provuar mirë garanton zbulimin e plotë të çdo komponenti të virusit, heqjen e tyre të plotë me një klik të mausit. Ju lutemi vini re se ne po flasim për dy procese të ndryshme: çinstalimin e infeksionit dhe rivendosjen e skedarëve në kompjuterin tuaj. Sidoqoftë, kërcënimi me siguri duhet të hiqet, pasi ka informacione në lidhje me prezantimin e Trojans të tjerë kompjuterikë me ndihmën e tij.

1. ... Pas nisjes së softuerit, klikoni butonin Filloni skanimin e kompjuterit(Filloni skanimin).
2. Softueri i instaluar do të sigurojë një raport mbi kërcënimet e zbuluara gjatë skanimit. Për të hequr të gjitha kërcënimet e gjetura, zgjidhni opsionin Rregulloni kërcënimet(Eliminoni kërcënimet). Malware në fjalë do të hiqet plotësisht.

Rikthe aksesin në skedarët e koduar me shtesën .xtbl

Siç u përmend, ransomware XTBL bllokon skedarët me një algoritëm të fortë enkriptimi, kështu që të dhënat e koduara nuk mund të rihapen me një valë të një shkopi magjik - nëse nuk merrni parasysh pagesën e padëgjuar të shpërblimit. Por disa metoda mund të bëhen vërtet shpëtimtare që do t'ju ndihmojnë të rikuperoni të dhëna të rëndësishme. Më poshtë mund të njiheni me to.

Dekoder - program automatik për rikuperimin e skedarëve

Dihet një rrethanë shumë e jashtëzakonshme. Ky infeksion fshin skedarët origjinalë të pakriptuar. Kështu, procesi i enkriptimit të ransomware synon kopjet e tyre. Kjo bën të mundur që mjetet softuerike të rikuperojnë objektet e fshira, edhe nëse garantohet besueshmëria e eliminimit të tyre. Rekomandohet shumë që të drejtoheni në procedurën e rikuperimit të skedarëve, efektiviteti i së cilës është vërtetuar më shumë se një herë.

Kopjet hije të vëllimit

Qasja bazohet në procedurën e kopjimit të skedarit të Windows, e cila përsëritet në çdo pikë rikuperimi. Një kusht i rëndësishëm për funksionimin e kësaj metode: funksioni "Rivendosja e sistemit" duhet të aktivizohet përpara infektimit. Megjithatë, çdo ndryshim i bërë në skedar pas pikës së rivendosjes nuk do të shfaqet në versionin e rivendosur të skedarit.

Rezervimi

Kjo është më e mira nga të gjitha metodat jo-shlyerëse. Nëse procedura për rezervimin e të dhënave në një server të jashtëm është përdorur përpara sulmit të ransomware në kompjuterin tuaj, për të rivendosur skedarët e koduar, thjesht duhet të futni ndërfaqen e duhur, të zgjidhni skedarët e nevojshëm dhe të filloni mekanizmin e rikuperimit të të dhënave nga rezervimi. Përpara se të kryeni operacionin, duhet të siguroheni që ransomware është hequr plotësisht.

Kontrolloni për komponentë të mundshëm të mbetur të ransomware XTBL

Pastrimi manual është i mbushur me lëshimin e disa fragmenteve të ransomware që mund të shmangin fshirjen në formën e objekteve të fshehura të sistemit operativ ose regjistrimeve të regjistrit. Për të eliminuar rrezikun e mbajtjes së pjesshme të disa elementeve me qëllim të keq, skanoni kompjuterin tuaj duke përdorur një kompleks të besueshëm universal anti-virus.

Fakti që interneti është plot me viruse nuk e habit askënd sot. Shumë përdorues i perceptojnë situatat që lidhen me ndikimin e tyre në sisteme ose të dhëna personale, për ta thënë butë, duke mbyllur një sy, por vetëm derisa virusi i enkriptimit të vendoset në mënyrë specifike në sistem. Shumica e përdoruesve të zakonshëm nuk dinë të kurojnë dhe deshifrojnë të dhënat e ruajtura në një hard disk. Ndaj ky kontigjent “çohet” në kërkesat e parashtruara nga sulmuesit. Por le të shohim se çfarë mund të bëni nëse zbulohet një kërcënim i tillë ose për ta parandaluar atë të hyjë në sistem.

Çfarë është një virus ransomware?

Ky lloj kërcënimi përdor algoritme standarde dhe jo standarde të enkriptimit të skedarëve që ndryshojnë plotësisht përmbajtjen e tyre dhe bllokojnë aksesin. Për shembull, do të jetë absolutisht e pamundur të hapësh një skedar teksti të koduar për lexim ose redaktim, si dhe të luash përmbajtje multimediale (grafike, video ose audio) pas ekspozimit ndaj një virusi. Edhe operacionet standarde për kopjimin ose lëvizjen e objekteve nuk janë të disponueshme.

Vetë mbushja e softuerit të virusit është mjeti që kodon të dhënat në atë mënyrë që nuk është gjithmonë e mundur të rivendoset gjendja e tyre origjinale edhe pas heqjes së kërcënimit nga sistemi. Zakonisht, programe të tilla me qëllim të keq krijojnë kopjet e tyre dhe vendosen shumë thellë në sistem, kështu që virusi i enkriptimit të skedarëve ndonjëherë mund të jetë plotësisht i pamundur të hiqet. Duke çinstaluar programin kryesor ose duke fshirë trupin kryesor të virusit, përdoruesi nuk shpëton nga ndikimi i kërcënimit, e lëre më të rivendosë informacionin e koduar.

Si futet kërcënimi në sistem?

Si rregull, kërcënimet e këtij lloji synohen kryesisht ndaj strukturave të mëdha tregtare dhe mund të depërtojnë në kompjuter përmes programeve të postës kur një punonjës hap një dokument të supozuar të bashkangjitur në një e-mail, që është, të themi, një shtesë në një lloj marrëveshjeje bashkëpunimi ose plani për furnizimin e mallrave (ofertat tregtare me investime nga burime të dyshimta janë rruga e parë për virusin).

Problemi është se një virus ransomware në një makinë që ka akses në një rrjet lokal është në gjendje të përshtatet edhe në të, duke krijuar kopjet e veta jo vetëm në një mjedis të rrjetit, por edhe në terminalin e administratorit, nëse i mungon mbrojtja e nevojshme në forma e softuerit antivirus.firewall ose firewall.

Ndonjëherë kërcënime të tilla mund të depërtojnë edhe në sistemet kompjuterike të përdoruesve të zakonshëm, të cilët, në përgjithësi, nuk janë me interes për kriminelët kibernetikë. Kjo ndodh në kohën e instalimit të disa programeve të shkarkuara nga burime të dyshimta të Internetit. Shumë përdorues, kur fillojnë shkarkimin, injorojnë paralajmërimet e sistemit të mbrojtjes antivirus dhe gjatë procesit të instalimit nuk u kushtojnë vëmendje sugjerimeve për të instaluar softuer shtesë, panele ose shtojca për shfletuesit, dhe më pas, pasi ato thuaj, kafshoni bërrylat e tyre.

Varietetet e viruseve dhe pak histori

Në thelb, kërcënimet e këtij lloji, veçanërisht virusi më i rrezikshëm ransomware No_more_ransom, klasifikohen jo vetëm si mjete për enkriptimin e të dhënave ose bllokimin e aksesit në to. Në fakt, të gjitha aplikacionet e tilla me qëllim të keq klasifikohen si ransomware. Me fjalë të tjera, kriminelët kibernetikë kërkojnë një shumë të caktuar parash për deshifrimin e informacionit, duke besuar se ky proces do të jetë i pamundur të kryhet pa një program fillestar. Ky është pjesërisht rasti.

Por nëse gërmoni në histori, do të vini re se një nga viruset e parë të këtij lloji, megjithëse nuk impononte kërkesa për para, ishte aplikacioni famëkeq I Love You, i cili kodonte plotësisht skedarët multimedialë (kryesisht këngë muzikore) në sistemet e përdoruesve. . Deshifrimi i skedarëve pas virusit ransomware doli të ishte i pamundur në atë kohë. Tani është ky kërcënim që mund të trajtohet në mënyrë elementare.

Por zhvillimi i vetë viruseve ose algoritmet e enkriptimit të përdorura nuk qëndrojnë ende. Çfarë mungon midis viruseve - këtu keni XTBL, dhe CBF, dhe Breaking_Bad, dhe [email i mbrojtur], dhe një mori gjërash të tjera të këqija.

Teknika për të ndikuar skedarët e përdoruesve

Dhe nëse deri vonë shumica e sulmeve kryheshin duke përdorur algoritme RSA-1024 të bazuara në enkriptimin AES me të njëjtin bitness, i njëjti virus ransomware No_more_ransom paraqitet sot në disa interpretime, duke përdorur çelësat e enkriptimit bazuar në teknologjitë RSA-2048 dhe madje RSA-3072.

Probleme të deshifrimit për algoritmet e përdorura

Problemi është se sistemet moderne të deshifrimit janë të pafuqishëm përballë një rreziku të tillë. Deshifrimi i skedarëve pas virusit ransomware të bazuar në AES256 është ende disi i mbështetur dhe me një shpejtësi më të lartë të biteve të çelësit, pothuajse të gjithë zhvilluesit thjesht ngrenë supet. Kjo, nga rruga, është konfirmuar zyrtarisht nga specialistë nga Kaspersky Lab dhe Eset.

Në versionin më primitiv, përdoruesit që kontaktoi shërbimin mbështetës i kërkohet të dërgojë një skedar të koduar dhe origjinalin e tij për krahasim dhe operacione të mëtejshme për të përcaktuar algoritmin e kriptimit dhe metodat e rikuperimit. Por, si rregull, në shumicën e rasteve kjo nuk funksionon. Por virusi ransomware mund të deshifrojë skedarët më vete, siç besohet, me kusht që viktima të pajtohet me kushtet e sulmuesve dhe të paguajë një shumë të caktuar në terma monetarë. Megjithatë, një formulim i tillë i pyetjes ngre dyshime legjitime. Dhe kjo është arsyeja pse.

Virusi i enkriptimit: si të kuroni dhe deshifroni skedarët dhe a mund të bëhet?

Pasi të bëhet pagesa, hakerët thuhet se aktivizojnë dekriptimin nëpërmjet aksesit në distancë në virusin e tyre që ndodhet në sistem, ose nëpërmjet një aplikacioni shtesë nëse trupi i virusit është hequr. Duket më shumë se e dyshimtë.

Do të doja të theksoja gjithashtu faktin se interneti është plot me postime false ku thuhet se, thonë ata, është paguar shuma e kërkuar dhe të dhënat janë rikthyer me sukses. E gjithë kjo është një gënjeshtër! Dhe me të vërtetë - ku është garancia që pas pagesës virusi i enkriptimit në sistem nuk do të aktivizohet përsëri? Nuk është e vështirë të kuptosh psikologjinë e hajdutëve: nëse paguan një herë, paguan përsëri. Dhe nëse po flasim për informacione veçanërisht të rëndësishme si zhvillime specifike tregtare, shkencore ose ushtarake, pronarët e një informacioni të tillë janë të gatshëm të paguajnë aq sa është e nevojshme, në mënyrë që skedarët të mbeten të paprekur dhe të sigurt.

Ilaçi i parë për të eliminuar kërcënimin

Kjo është natyra e një virusi ransomware. Si të dezinfektoni dhe deshifroni skedarët pasi jeni ekspozuar ndaj një kërcënimi? Po, në asnjë mënyrë, nëse nuk ka mjete në dorë, të cilat gjithashtu jo gjithmonë ndihmojnë. Por ju mund të provoni.

Le të supozojmë se një virus ransomware është shfaqur në sistem. Si të dezinfektoj skedarët e infektuar? Së pari, duhet të kryeni një skanim të thellë të sistemit pa përdorimin e teknologjisë S.M.A.R.T., e cila zbulon kërcënimet vetëm kur dëmtohen sektorët e nisjes dhe skedarët e sistemit.

Këshillohet që të mos përdorni skanerin standard ekzistues, i cili tashmë ka humbur kërcënimin, por të përdorni shërbime portative. Opsioni më i mirë do të ishte nisja nga Kaspersky Rescue Disk, i cili mund të fillojë edhe përpara se sistemi operativ të fillojë të funksionojë.

Por kjo është vetëm gjysma e betejës, pasi në këtë mënyrë mund të shpëtoni vetëm nga vetë virusi. Por me dekoder do të jetë më e vështirë. Por më shumë për këtë më vonë.

Ekziston një kategori tjetër në të cilën bëjnë pjesë viruset e ransomware. Si të deshifroni informacionin do të thuhet veçmas, por tani për tani le të ndalemi në faktin se ato mund të ekzistojnë plotësisht hapur në sistem në formën e programeve dhe aplikacioneve të instaluara zyrtarisht (paturpësia e sulmuesve nuk njeh kufi, pasi kërcënimi ka as të përpiqet të maskohet).

Në këtë rast, duhet të përdorni seksionin e programeve dhe komponentëve ku kryhet çinstalimi standard. Sidoqoftë, duhet t'i kushtoni vëmendje edhe faktit që çinstaluesi standard i Windows nuk i fshin plotësisht të gjithë skedarët e programit. Në veçanti, virusi ransomware ransom është në gjendje të krijojë dosjet e veta në drejtoritë rrënjësore të sistemit (zakonisht, këto janë drejtoritë Csrss, ku është i pranishëm skedari i ekzekutueshëm csrss.exe me të njëjtin emër). Windows, System32 ose drejtoritë e përdoruesve (Përdoruesit në diskun e sistemit) zgjidhen si vendndodhje kryesore.

Për më tepër, virusi ransomware No_more_ransom shkruan çelësat e tij në regjistër në formën e një lidhjeje me sa duket me shërbimin zyrtar të sistemit Client Server Runtime Subsystem, i cili është mashtrues për shumë, pasi ky shërbim duhet të jetë përgjegjës për ndërveprimin midis softuerit të klientit dhe serverit. . Vetë çelësi ndodhet në dosjen Run, e cila mund të arrihet përmes degës HKLM. Është e qartë se do t'ju duhet të fshini manualisht çelësa të tillë.

Për ta bërë më të lehtë, mund të përdorni shërbime si iObit Uninstaller, të cilët kërkojnë automatikisht skedarët e mbetur dhe çelësat e regjistrit (por vetëm nëse virusi është i dukshëm në sistem si një aplikacion i instaluar). Por kjo është gjëja më e thjeshtë për të bërë.

Zgjidhjet e ofruara nga zhvilluesit e programeve antivirus

Besohet se deshifrimi i virusit ransomware mund të bëhet duke përdorur mjete speciale, megjithëse nëse keni teknologji me një çelës 2048 ose 3072 bit, nuk duhet të mbështeteni në to (përveç kësaj, shumë prej tyre fshijnë skedarët pas deshifrimit, dhe më pas skedarët e rivendosur zhduken për shkak të fajit të pranisë së një trupi virusi që nuk është hequr më parë).

Sidoqoftë, mund të provoni. Nga të gjitha programet, RectorDecryptor dhe ShadowExplorer ia vlen të theksohen. Besohet se asgjë më e mirë nuk është krijuar deri më tani. Por problemi mund të jetë gjithashtu se kur përpiqeni të përdorni dekriptuesin, nuk ka asnjë garanci që skedarët që dezinfektohen nuk do të fshihen. Kjo do të thotë, nëse fillimisht nuk shpëtoni nga virusi, çdo përpjekje për deshifrim do të jetë e dënuar me dështim.

Përveç fshirjes së informacionit të koduar, ai gjithashtu mund të jetë fatal - i gjithë sistemi do të jetë jofunksional. Për më tepër, një virus modern ransomware është i aftë të ndikojë jo vetëm të dhënat e ruajtura në hard diskun e një kompjuteri, por edhe skedarët në ruajtjen e cloud. Dhe këtu nuk ka zgjidhje për të rivendosur informacionin. Për më tepër, siç doli, shumë shërbime po marrin masa mbrojtëse të pamjaftueshme efektive (i njëjti OneDrive i integruar në Windows 10, i cili ekspozohet drejtpërdrejt nga sistemi operativ).

Një zgjidhje radikale e problemit

Siç është tashmë e qartë, shumica e metodave moderne nuk japin një rezultat pozitiv kur infektohen me viruse të tilla. Sigurisht, nëse ka një origjinal të skedarit të dëmtuar, ai mund të dërgohet për ekzaminim në një laborator antivirus. Vërtetë, ka gjithashtu dyshime shumë serioze që një përdorues i zakonshëm do të krijojë kopje rezervë të të dhënave që, kur ruhen në një hard disk, gjithashtu mund të ekspozohen ndaj kodit me qëllim të keq. Dhe fakti që për të shmangur telashet, përdoruesit kopjojnë informacionin në media të lëvizshme, nuk po flasim fare.

Kështu, për një zgjidhje radikale të problemit, përfundimi sugjeron vetë: formatimin e plotë të hard drive dhe të gjitha ndarjet logjike me fshirjen e informacionit. Pra, çfarë të bëni? Ju do të duhet të dhuroni nëse nuk dëshironi që virusi ose kopja e tij e ruajtur vetë të aktivizohet përsëri në sistem.

Për ta bërë këtë, nuk duhet të përdorni mjetet e vetë sistemeve Windows (dua të them formatimin e ndarjeve virtuale, pasi do të lëshohet një ndalim kur përpiqeni të hyni në diskun e sistemit). Më mirë të përdorni nisjen nga media optike si LiveCD ose shpërndarjet e instalimit, të tilla si ato të krijuara duke përdorur mjetin e krijimit të mediave për Windows 10.

Para fillimit të formatimit, me kusht që virusi të hiqet nga sistemi, mund të provoni të rivendosni integritetin e përbërësve të sistemit përmes linjës së komandës (sfc / scannow), por kjo nuk do të ketë asnjë efekt për sa i përket deshifrimit dhe zhbllokimit të të dhënave. Prandaj, formati c: është e vetmja zgjidhje e saktë e mundshme, ju pëlqen apo jo. Kjo është mënyra e vetme për të hequr qafe plotësisht këtë lloj kërcënimi. Mjerisht, nuk ka rrugë tjetër! Edhe trajtimi me mjetet standarde të ofruara nga shumica e paketave antivirus është i pafuqishëm.

Në vend të një pasthënieje

Për sa i përket sugjerimit të përfundimeve, mund të themi vetëm se nuk ka asnjë zgjidhje të vetme dhe universale për të eliminuar pasojat e ndikimit të kërcënimeve të tilla sot (mjerisht, por një fakt - kjo konfirmohet nga shumica e zhvilluesve dhe specialistëve të programeve antivirus. në fushën e kriptografisë).

Mbetet e paqartë pse shfaqja e algoritmeve të bazuara në enkriptimin 1024-, 2048- dhe 3072-bit kaloi nga ata që janë të përfshirë drejtpërdrejt në zhvillimin dhe zbatimin e teknologjive të tilla? Në të vërtetë, sot algoritmi AES256 konsiderohet më premtuesi dhe më i sigurti. Njoftim! 256! Ky sistem, siç rezulton, nuk është i përshtatshëm për viruset moderne. Çfarë mund të themi atëherë për përpjekjet për të deshifruar çelësat e tyre?

Sido që të jetë, është mjaft e lehtë të shmangësh futjen e një kërcënimi në sistem. Në rastin më të thjeshtë, duhet të skanoni të gjitha mesazhet hyrëse me bashkëngjitje në Outlook, Thunderbird dhe klientët e tjerë të postës me antivirus menjëherë pas marrjes dhe në asnjë rast të mos hapni bashkëngjitjet derisa skanimi të përfundojë. Ju gjithashtu duhet të lexoni me kujdes sugjerimet për instalimin e softuerit shtesë kur instaloni disa programe (zakonisht ato janë të shkruara me shkronja shumë të vogla ose të maskuara si shtesa standarde si përditësimi i Flash Player ose diçka tjetër). Është më mirë të përditësoni komponentët e medias përmes faqeve zyrtare. Kjo është mënyra e vetme për të parandaluar të paktën disi depërtimin e kërcënimeve të tilla në sistemin tuaj. Pasojat mund të jenë krejtësisht të paparashikueshme, duke pasur parasysh që viruset e këtij lloji përhapen menjëherë në rrjetin lokal. Dhe për kompaninë, një kthesë e tillë e ngjarjeve mund të kthehet në një kolaps të vërtetë të të gjitha ndërmarrjeve.

Së fundi, administratori i sistemit nuk duhet të qëndrojë i papunë. Është më mirë të përjashtohen mjetet e mbrojtjes së softuerit në një situatë të tillë. I njëjti firewall (firewall) nuk duhet të jetë softuer, por "hardware" (sigurisht, me softuer shoqërues në bord). Dhe, kuptohet që nuk ia vlen të kurseni as për blerjen e paketave antivirus. Është më mirë të blini një paketë të licencuar dhe të mos instaloni programe primitive që gjoja ofrojnë mbrojtje në kohë reale vetëm nga fjalët e zhvilluesit.

Dhe nëse një kërcënim ka hyrë tashmë në sistem, sekuenca e veprimeve duhet të përfshijë heqjen e vetë trupit të virusit dhe vetëm atëherë të përpiqet të deshifrojë të dhënat e dëmtuara. Idealisht - formatimi i plotë (vini re, jo i shpejtë me pastrimin e tabelës së përmbajtjes, por formatimi i plotë, mundësisht me rivendosjen ose zëvendësimin e sistemit ekzistues të skedarëve, sektorëve të nisjes dhe regjistrimeve).