С какими только вирусами не приходилось сталкиваться, вот пример самых «интересных» — баннеры блокирующие экран (СМС вымогатели), вирус распространяющиеся по скайпу, и с каждым годом появляются все новые и новые… интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.
Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов.
Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса.
С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.
Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие — Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение «Акт что-то там.pdf.
exe» как вы понимаете они открыли этот EXE файл и процесс пошел… он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете… на тот момент никакого решения не было…
все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии).
Мы отправили файлы в Dr Web и Nod32, результатов — 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался. В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.
История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.
Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл «Внимание_открой-меня.txt» в котором были контакты для связи.
При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.
Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.
Внимание!!! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.
В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы.
В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) — спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку…
Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.
Как можете заметить в поле «Команда» указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner.
Еще одни способ откатить систему до возникновения проблемы.
Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor. Запустил и увидел довольно аскетичный интерфейс утилиты.
Нажал «Начать проверку», указал расширение, которое было у всех измененных файлов.
И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку «Открыть».
Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.
После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).
В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.
Осталось удалить все файлы с расширение .AES256, это можно было сделать, поставив галочку «Удалять зашифрованные файлы после успешной расшифровки», если нажать «Изменить параметры проверки» в окне RectorDecryptor.
- Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить.
- При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.
Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del «:*.» /f /s. В моем случае del «d:*.AES256» /f /s.
Не забывайте удалить файлы «Внимание_открой-меня.txt», для этого в командной строке воспользуйтесь командой del «:*.» /f /s, например del «d:Внимание_открой-меня.txt» /f /s
Таким образом, вирус был побежден и файлы восстановлены.
Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е.
если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет… придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.
Если вы знаете другие способы борьбы с вирусом, шифрующим файлы просьба поделиться ими в комментарии.
Что делать когда вирус зашифровал файлы на компьютере?
Доброго всем времени суток, мои дорогие друзья и читатели моего блога. Сегодня тема будет довольно печальная, ведь коснется она вирусов.
Расскажу вам про не так давно произошедший случай у меня на работе. Ко мне в отдел позвонила сотрудница с взволнованным голосом: «Дима, вирус зашифровал файлы на компьютере: что делать теперь?».
Тут я понял, что дело пахнет жаренным, но в итоге пошел к ней посмотреть.
Да. Всё оказалось печально. Большинство файлов на компьютере оказались заражены, а точнее зашифрованы: Офисные документы, PDF-файлы, базы 1С и многие другие. В общем задница полная. Не пострадали наверное только архивы, приложения и текстовые документы (ну и еще куча всего).
Все эти данные поменяли свое расширение, а также поменяли свои названия на что-то типа sjd7gy2HjdlVnsjds.Также на рабочем столе и в папках появилось несколько одинаковых документов README.txt В них честно говориться о том, что ваш компьютер заражен и чтобы вы не предпринимали никаких действий, ничего не удаляли, не проверяли антивирусам, иначе файлы не вернуть.Также в файле говориться, что эти милые люди смогут все восстановить, как было. Для этого им нужно отослать ключ из докуме7нта на их почту, после чего вы получите необходимые инструкции. Цену они не пишут, но на деле оказывается, что стоимость обратного возврата составляет что-то типа 20000 рублей.
Откуда он берется
Откуда же берется этот гадский вирус-шифровальщик? Тут всё очень просто. Его люди подхватывают через электронную почту.
Как правило данный вирус проникает в организации, на корпоративные ящики, хотя не только.
С виду вы не примите его за каку, так как приходит оно не в виде спама, а о от реально существующей серьезной организации, например нам пришло письмо от провайдера «Ростелеком» с их официальной почты.
Что делал я и что не сработало
Естественно у нас 20 тысяч никто не захотел платить за это, так как информация столько не стоила, да и к тому же связываться с мошенниками совсем не вариант. Да и к тому же не факт, что за эту сумму вам всё разблокируют.
Я прошелся утилитой drweb cureit и вирус он нашел, но толк от этого был небольшой, так как даже после вируса файлы остались зашифрованными. Удалить вирус оказалось легко, а вот справиться с последствиями уже намного труднее. Я полез на форумы Доктора Веб и Касперского, и там я нашел нужную мне тему, а также узнал, что ни там, ни там пока не могут помочь с расшифровкой. Очень сильно всё было зашифровано.
Далее я начал самовольные процедуры восстановления, которые, как казалось мне, смогут мне помочь.
Ничего из этого мне не помогло. Но выход я все таки нашел.
Конечно, если вдруг у вас возникла такая ситуация, то посмотрите, с каким расширением шифруются фaйлы. После этого зайдите на http://support.kaspersky.ru/viruses/disinfection/10556 и посмотрите, какие расширения указаны в списке. Если есть ваше расширение есть в списке, то воспользуйтесь этой утилитой.Но во всех 3-х случаях, которые я видел эти шифровальщики, ни одна из подобных утилит не помогла. Конкретно я встречался с вирусом «da vinci code» и «VAULT». В первом случае менялось и название и расширение, а во втором только расширение. Вообще таких шифровальщиков целая куча. У меня на слуху такие гады как xtbl, no more ransom, better call saul и многие другие.
Что помогло
Вы когда-нибудь слышали про теневые копии? Так вот, когда создается точка восстановления, то автоматически создаются и теневые копии ваших файлов. И если что-то произошло с вашими файлами, то вы всегда сможете вернуть их на тот момент, когда была создана точка восстановления. В этом нам поможет одна замечательная программа для восстановления файлов из теневых копий.
Для начала скачайте и установите программу «Shadow Explorer». Если последняя версия у вас заглючит (бывает такое), то устанавливайте предыдущую.
Зайдите в Shadow Explorer. Как мы видим, основная часть программы похожа на проводник windows, т.е. файлы и папки. Теперь обратите внимание на левый верхний угол. Там мы видим видим букву локального диска и дату . Эта дата означает, что все представленные файлы на диске C актуальны на тот момент. У меня стоит 30 ноября. Это означает, что последняя точка восстановления создавалась 30 ноября.Если нажать на выпадающий список даты, то мы увидим, на какие числа у нас еще имеются теневые копии. А если нажать на выпадающий список локальных дисков и выбрать, например, диск D, то мы увидим дату, на момент которой у нас есть актуальные файлы. Но для диска D точки не создаются автоматом, поэтому данную вещь нужно прописать в настройках. Это очень легко сделать.Как видите, если для диска C у меня довольно свежая дата, то для диска D последняя точка создавалась почти год назад. Ну а дальше делаем по пунктам:
- Выбираем нужный диск и актуальную дату, когда файлы были чистыми, как слеза медсестры.
- Выбираем (в любой части) папки и файлы, которые мы хотим восстановить. То есть вам просто нужно выделит их (можно с зажатым CTRL или SHIFT), после чего нажать на любом из выделенных фaйлов правую кнопку мышки и выбрать единственный доступный вариант » Export».
- После этого у вас появится окошко с обзором папок. Здесь вам просто нужно выбрать, в какую папку будут восстанавливаться файлы и нажимаем ОК.
Всё. Теперь остается только ждать, когда завершиться экспорт. А дальше идем в ту самую папку, которую вы выбрали и проверяем все файлы на открываемость и работоспособность. Всё круто).
Я знаю, что в интернете предлагают еще какие-то разные способы, утилиты и прочее, но я про них писать не буду, ибо я с этой проблемой уже сталкиваюсь третий раз, и ни разу, ничего, кроме теневых копий меня не выручало.
Хотя может просто мне так не повезло).
Но к сожалению в последний раз удалось восстановить лишь те файлы, которые были на диске C, так как по умолчанию точки создавались только для диска C. Соответственно для диска D теневых копий не было. Конечно нужно еще и не забывать, что точки восстановления кушают дополнительное место на диске C, что может привести к торможению системы, так что следите за этим тоже.
А чтобы теневые копии создавались и для других жестких дисков, вам нужно создавать точки восстановления и для них тоже.
Профилактика
Для того, чтобы проблем с восстановлением не возникало, нужно делать профилактику. Для этого нужно держаться следующих правил.
- Тщательно смотреть почту и не скачивать сразу все вложения. Если вы думаете, что письмо подозрительное или то, что от этой компании оно к вам вообще никаким боком, то лучше позвоните туда и спросите, действительно ли они отсылали данное письмо. Береженого Бог бережет.
- Создавайте точки восстановления, чтобы под рукой была теневая копия и информацию можно было бы восстановить.
- Иметь на компьютере хороший постоянно обновляющийся антивирус
- Делать резервные копии файлов.
Кстати, однажды этот вирус зашифровал файлы на флешке, где лежали наши сертификаты ключа для электронно-цифровой подписи. Так что с флешками также будьте очень осторожны.
Ну вот вроде бы и все, что я вам хотел сегодня рассказать. Не забудьте подписаться на мой блог, канал ютуба, а также поделиться с друзьями в социальных сетях прочитанным материалам. Ну а мы с вами увидимся в других статьях. Удачи вам. Пока-пока!
С уважением, Дмитрий Костин.
Восстановление файлов после трояна-шифровальщика
В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера.
Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК, и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился.
Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз. рис. 1
Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.
Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО. Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы. Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов. К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям. Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт рис. 2 Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО. Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет. рис. 3
Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.
Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю. Приступим к анализу алгоритма шифрования рис. 4 На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.
На основании этого наблюдения, имея небольшое представление об алгоритмах работы криптографических алгоритмов вроде AES, RSA, можно сделать однозначный вывод, что данные не шифрованы с использованием этих алгоритмов.
То есть, информация об алгоритме шифрования, поданная заказчиком, недостоверна. Недостоверной она может быть как из-за неких ошибочных выводов заказчика, так и являться следствием обмана автором вредоносной программы.
Проверить это мы не можем, так как нам доступны только зашифрованные файлы.
Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном.
Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт.
Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис.
4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.
Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла. рис. 5 На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA. Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7. После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла рис. 6
Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.
Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных. Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.
Следующая публикация: Восстановление данных из поврежденного RAID массива в NAS под управлением Linux
Предыдущая публикация: Восстановление базы 1С Предприятие (DBF) после форматирования
Что делать если пришло сообщение Ваши файлы были зашифрованы | World-X
Главная → Практикум → Что делать, если пришло сообщение «Ваши файлы были зашифрованы»
С развитием программного обеспечения к сожалению видоизменяются и компьютерные вирусы. Так на сегодняшний день одна из самых больших проблем – троян, шифрующий файлы на диске. Попробуем дать общие рекомендации о том, как правильно поступать при встрече с таким «шифровальщиком».
Как действует вирус
Вредоносные программы-шифраторы (ransomeware) действуют примерно по одному алгоритму: после установки на компьютер определенного модуля пользовательские файлы электронных таблиц, документов, фотографий и др. шифруются. При этом изменяется расширение и имя файла с удалением оригинала, а пользователю выдается сообщение с вымогательством об уплате некоей суммы в пользу злоумышленников.
Как поступить, если файлы уже зашифрованы
- Ни в коем случае не паникуйте!
- Постарайтесь скопировать на флешку или другой внешний носитель образец зашифрованного файла и запрос-вымогательство злоумышленника.
- Сразу же выключите зараженный компьютер.
- Постарайтесь определить, какой именно вирус зашифровал ваши файлы – может быть в нашей ситуации уже есть дешифратор. Для этого отправим скопированную информацию производителям антивирусов (лаборатория Касперского, Dr.Web) или воспользуемся одним из специализированных онлайн-сервисов.
- Если получилось определить тип шифровальщика – приступайте к поиску дешифратора. Воспользуйтесь готовыми решениями или попробуйте поискать в Интернете по запросу Тип-вируса Decryptor.
- Некоторые вирусы не удаляют оригинальные файлы – попробуйте их восстановить.
Как защититься от ransomeware
Конечно же, лучший способ избежать последствий вируса-шифровальщика – заблаговременная защита. Многие производители антивирусных программ уже начали выпускать анти-ransomware утилиты. Отметим такие из них:
- Malwarebytes Anti-Ransomware. Производители гарантируют, что приложение защитит от самых опасных вирусов CryptoWall4, CryptoLocker, Tesla и CTB-Locker.;
- BitDefender Anti-Ransomware от легендарного производителя антивирусных программ Bitdefender;
- WinAntiRansom – платная программа с широким набором возможностей.
Данные программы пока представлены в бета-версиях, к тому же производители не гарантируют «вакцинацию» от всех типов вирусов-шифровальщиков.
Вместо послесловия
К сожалению, универсального и легкого способа борьбы с ransomware пока еще нет. Мы, со своей стороны, настойчиво рекомендуем соблюдать основные правила компьютерной безопасности.
Дешифратор XTBL вируса — как восстановить зашифрованные .xtbl файлы — Интернет безопасность по-русски
Хакеры-вымогатели очень похожи на обычных шантажистов. Как в реальном мире, так и в кибер-среде есть единичный или групповой объект атаки. Его либо крадут либо делают недоступным. Далее преступники используют определенные средства коммуникации с жертвами для передачи своих требований.
Компьютерные мошенники обычно выбирают всего несколько форматов для письма с требованием выкупа, но его копии можно обнаружить практически в любом участке памяти инфицированной системы.
В случае семьи шпионского ПО, известного как Troldesh или Shade, при контакте с жертвой аферисты практикуют особый подход.
Рассммотрим поближе этот штамм вируса-шифровальщика, который ориентирован на русскоязычную аудиторию. Большинство аналогичных инфекций определяет раскладку клавиатуры на атакуемом ПК, и если одним из языков является русский, вторжение прекращается.
Однако вирус-вымогатель XTBL неразборчив: к несчастью для пользователей, атака разворачивается независимо от их географического местоположения и языковых предпочтений.
Наглядным воплощением такой универсальности является предупреждение, которое появляется в виде фона рабочего стола, а также ТХТ файла с инструкцией по уплате выкупа.
Рабочий стол пользователя, ПК которого заражен вирусом XTBL
Вирус XTBL обычно распространяется через спам. Сообщения напоминают письма известных брендов, или просто бросаются в глаза, поскольку в теме сообщения используются такие выражения, как «Срочно!» или «Важные финансовые документы». Фишинговая уловка сработает, когда получатель такого эл. сообщения загрузит ZIP-файл, содержащий код JavaScript, или объект Docm с потенциально уязвимым макросом.
Выполнив базовый алгоритм на скомпрометированном ПК, троян-вымогатель переходит к поиску данных, которые могут представлять ценность для пользователя.
С этой целью вирус сканирует локальную и внешнюю память, одновременно сопоставляя каждый файл с набором форматов, подобранных на основе расширения объекта. Все файлы .jpg, .wav, .doc, .
xls, а также множество прочих объектов подвергаются шифрованию через симметричный блочный крипто-алгоритм AES-256.
Зашифрованные файлы с расширением .xtbl
Различают два аспекта такого вредоносного воздействия. Прежде всего, пользователь утрачивает доступ к важным данным. Кроме того, имена файлов подвергаются глубокой кодировке, из которой на выходе получается бессмысленный набор из шестнадцатеричных символов.
Все, что объединяет имена пораженных файлов, это добавленное к ним расширение xtbl, т.е. название кибер-угрозы. Имена зашифрованных файлов иногда имеют особый формат. В некоторых версиях Troldesh имена зашифрованных объектов могут оставаться без изменений, а в конце добавляется уникальный код: [email protected].
xtbl, [email protected], or [email protected].
“Инструкция по расшифровке” файл readme3 вируса xtbl
Очевидно, злоумышленники, внедрив адреса эл. почты непосредственно в названия фалов, указывают жертвам способ коммуникации. Электронная почта также указана в другом месте, а именно в письме-требовании выкупа, которое содержится в файле “Readme.txt”. Такие Notepad-документы появятся на Рабочем столе, а также во всех папках с закодированными данными. Ключевой посыл состоит в следующем:
“Все файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: [Ваш уникальный шифр] на электронный адрес [email protected] or [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации”
Электронный адрес может меняться в зависимости от распространяющей вирус группы шантажистов.
Что касается дальнейшего развития событий: в общих чертах, мошенники отвечают рекомендацией перечислить выкуп, который может составлять 3 биткойн, или иную сумму в этом диапазоне. Обратите внимание, никто не может гарантировать, что хакеры выполнят свое обещание даже после получения денег. Чтобы восстановить доступ к .
xtbl файлам, пострадавшим пользователям рекомендуется в первую очередь испробовать все доступные тернативные способы.
В некоторых случаях данные можно привести в порядок с помощью службы теневого копирования томов (Volume Shadow Copy), предусмотренной непосредственно в ОС Windows, а также программ-дешифраторов и восстановления данных от независимых разработчиков ПО.
Удалить вирус-шифровальщик XTBL с помощью автоматического чистильщика
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности.
Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши.
Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.
Восстановить доступ к зашифрованным файлам с расширением .xtbl
Как было отмечено, программа-вымогатель XTBL блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Дешифратор – программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии.
Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.
Загрузить программу-дешифратор восстановления данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
- Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
- Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов.
Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Проверить возможное наличие остаточных компонентов вируса-вымогателя XTBL
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.
Загрузить программу для удаления вируса-шифровальщика XTBL