Kaip iššifruoti failus po viruso. Jūsų failai buvo užšifruoti – ką daryti? Ištrintų failų atkūrimas

Šiuolaikinės technologijos leidžia įsilaužėliams nuolat tobulinti sukčiavimo prieš paprastus vartotojus metodus. Paprastai šiems tikslams naudojama virusinė programinė įranga, kuri prasiskverbia į kompiuterį. Šifravimo virusai laikomi ypač pavojingais. Grėsmė ta, kad virusas plinta labai greitai, šifruodamas failus (vartotojas tiesiog negalės atidaryti nei vieno dokumento). Ir jei tai gana paprasta, tada iššifruoti duomenis yra daug sunkiau.

Ką daryti, jei virusas užšifravo failus kompiuteryje

Kiekvienas gali būti užpultas išpirkos reikalaujančių programų, net ir vartotojai, turintys galingą antivirusinę programinę įrangą, nėra apsaugoti. Failus šifruojantys Trojos arklys yra įvairių kodų, kurie gali būti ne tik antivirusinės programos. Programišiai netgi sugeba panašiai atakuoti dideles įmones, kurios nepasirūpino reikiama savo informacijos apsauga. Taigi, pasiėmę išpirkos reikalaujančią programą internete, turite imtis keleto priemonių.

Pagrindiniai užsikrėtimo požymiai – lėtas kompiuterio veikimas ir dokumentų pavadinimų pasikeitimai (galima matyti darbalaukyje).

  1. Iš naujo paleiskite kompiuterį, kad sustabdytumėte šifravimą. Įjungdami nepatvirtinkite nežinomų programų paleidimo.
  2. Paleiskite antivirusinę programą, jei jos neužpuolė išpirkos reikalaujančios programos.
  3. Kai kuriais atvejais šešėlinės kopijos padės atkurti informaciją. Norėdami juos rasti, atidarykite užšifruoto dokumento „Ypatybės“. Šis metodas veikia su užšifruotais duomenimis iš „Vault“ plėtinio, apie kurį yra informacijos portale.
  4. Atsisiųskite naujausią programos versiją, skirtą kovoti su išpirkos reikalaujančiais virusais. Veiksmingiausius siūlo „Kaspersky Lab“.

Išpirkos reikalaujantys virusai 2016 m.: pavyzdžiai

Kovojant su bet kokia viruso ataka, svarbu suprasti, kad kodas keičiasi labai dažnai, papildytas nauja antivirusine apsauga. Žinoma, saugos programoms reikia šiek tiek laiko, kol kūrėjas atnaujins duomenų bazes. Atrinkome pačius pavojingiausius pastarojo meto šifravimo virusus.

Ishtar Ransomware

„Ishtar“ yra išpirkos reikalaujanti programa, kuri išvilioja pinigus iš vartotojo. Virusas buvo pastebėtas 2016 metų rudenį, užkrėtęs daugybę vartotojų iš Rusijos ir daugelio kitų šalių kompiuterių. Platinama el. paštu, kuriame yra pridedami dokumentai (montuotojai, dokumentai ir kt.). Duomenims, užkrėstiems Ishtar šifruokliu, jų pavadinime suteikiamas priešdėlis „ISHTAR“. Procesas sukuria bandomąjį dokumentą, kuriame nurodoma, kur kreiptis norint gauti slaptažodį. Užpuolikai už tai reikalauja nuo 3000 iki 15000 rublių.

Ishtar viruso pavojus yra tas, kad šiandien nėra iššifruotojo, kuris padėtų vartotojams. Antivirusinės programinės įrangos įmonėms reikia laiko iššifruoti visą kodą. Dabar svarbią informaciją (jei ji ypač svarbi) galite išskirti tik į atskirą laikmeną, laukdami, kol bus išleista programa, galinti iššifruoti dokumentus. Rekomenduojama iš naujo įdiegti operacinę sistemą.

Neitrino

Neitrino šifruoklis internete pasirodė 2015 m. Atakos principas yra panašus į kitus panašios kategorijos virusus. Pakeičia aplankų ir failų pavadinimus pridedant „Neitrino“ arba „Neutrino“. Virusą sunku iššifruoti ne visi antivirusinių kompanijų atstovai, remdamiesi labai sudėtingu kodu. Kai kuriems vartotojams gali būti naudinga atkurti šešėlinę kopiją. Norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite užšifruotą dokumentą, eikite į „Ypatybės“, „Ankstesnės versijos“ ir spustelėkite „Atkurti“. Būtų gera idėja naudoti nemokamą „Kaspersky Lab“ programą.

Piniginė arba .piniginė.

Piniginės šifravimo virusas pasirodė 2016 m. pabaigoje. Užsikrėtimo metu duomenų pavadinimas pakeičiamas į „Vardas..piniginė“ ar kažkas panašaus. Kaip ir dauguma išpirkos reikalaujančių virusų, jis patenka į sistemą per užpuolikų siunčiamų el. laiškų priedus. Kadangi grėsmė pasirodė visai neseniai, antivirusinės programos to nepastebi. Po šifravimo jis sukuria dokumentą, kuriame sukčius nurodo bendravimui skirtą el. Šiuo metu antivirusinės programinės įrangos kūrėjai stengiasi iššifruoti išpirkos reikalaujančio viruso kodą. [apsaugotas el. paštas]. Vartotojai, kurie buvo užpulti, gali tik laukti. Jei duomenys svarbūs, rekomenduojama juos išsaugoti išoriniame diske, išvalant sistemą.

Mįslė

Išpirkos reikalaujantis virusas „Enigma“ Rusijos vartotojų kompiuterius pradėjo užkrėsti 2016 metų balandžio pabaigoje. Naudojamas AES-RSA šifravimo modelis, kuris šiandien randamas daugumoje išpirkos reikalaujančių virusų. Virusas prasiskverbia į kompiuterį naudodamas scenarijų, kurį vartotojas paleidžia atidarydamas failus iš įtartino el. Vis dar nėra universalių priemonių kovoti su Enigma išpirkos programine įranga. Antivirusinę licenciją turintys vartotojai gali prašyti pagalbos oficialioje kūrėjo svetainėje. Taip pat buvo rasta nedidelė „spraga“ - „Windows UAC“. Jei vartotojas viruso užsikrėtimo proceso metu pasirodžiusiame lange spustelėja „Ne“, vėliau jis galės atkurti informaciją naudodamas šešėlines kopijas.

Granitas

2016 metų rudenį internete pasirodė naujas išpirkos reikalaujantis virusas Granit. Infekcija įvyksta pagal tokį scenarijų: vartotojas paleidžia diegimo programą, kuri užkrečia ir užšifruoja visus kompiuteryje esančius duomenis, taip pat prijungtus diskus. Kovoti su virusu sunku. Norėdami jį pašalinti, galite naudoti specialias „Kaspersky“ programas, tačiau mums dar nepavyko iššifruoti kodo. Galbūt padės atkurti ankstesnes duomenų versijas. Be to, didelę patirtį turintis specialistas gali iššifruoti, tačiau paslauga brangi.

Taisonas

Pastebėtas neseniai. Tai jau žinomos ransomware no_more_ransom plėtinys, apie kurį galite sužinoti mūsų svetainėje. Asmeninius kompiuterius jis pasiekia iš el. Buvo užpulta daug įmonių kompiuterių. Virusas sukuria tekstinį dokumentą su atrakinimo instrukcijomis, siūlydamas sumokėti „išpirką“. „Tyson“ išpirkos reikalaujanti programa pasirodė neseniai, todėl dar nėra atrakinimo rakto. Vienintelis būdas atkurti informaciją yra grąžinti ankstesnes versijas, jei jų neištrynė virusas. Žinoma, galite rizikuoti pervesdami pinigus į užpuolikų nurodytą sąskaitą, tačiau garantijos, kad gausite slaptažodį, nėra.

Spora

2017 metų pradžioje nemažai vartotojų tapo naujosios „Spora“ išpirkos programos aukomis. Savo veikimo principu jis nelabai skiriasi nuo kolegų, tačiau gali pasigirti profesionalesniu dizainu: slaptažodžio gavimo instrukcijos yra geriau parašytos, o svetainė atrodo gražiau. Išpirkos reikalaujantis virusas „Spora“ buvo sukurtas C kalba ir naudoja RSA ir AES derinį aukos duomenims užšifruoti. Paprastai buvo užpulti kompiuteriai, kuriuose buvo aktyviai naudojama 1C apskaitos programa. Virusas, pasislėpęs po paprasta sąskaita faktūra .pdf formatu, verčia įmonės darbuotojus jį paleisti. Gydymas dar nerastas.

1C.Drop.1

Šis 1C šifravimo virusas pasirodė 2016 metų vasarą, sutrikdęs daugelio apskaitos skyrių darbą. Jis buvo sukurtas specialiai kompiuteriams, kuriuose naudojama 1C programinė įranga. Patekęs į kompiuterį per failą el. laiške, jis paragins savininką atnaujinti programą. Kad ir kokį mygtuką paspaustų vartotojas, virusas pradės šifruoti failus. Dr.Web specialistai dirba su iššifravimo įrankiais, tačiau sprendimo kol kas nerasta. Taip yra dėl sudėtingo kodo, kuris gali turėti keletą modifikacijų. Vienintelė apsauga nuo 1C.Drop.1 yra vartotojo budrumas ir reguliarus svarbių dokumentų archyvavimas.

da_vinci_kodas

Nauja išpirkos reikalaujanti programa neįprastu pavadinimu. Virusas pasirodė 2016 metų pavasarį. Jis skiriasi nuo savo pirmtakų patobulintu kodu ir stipriu šifravimo režimu. da_vinci_code užkrečia kompiuterį dėl vykdymo programos (dažniausiai pridedamos prie el. laiško), kurią vartotojas paleidžia savarankiškai. „Da Vinci“ šifravimo įrankis nukopijuoja turinį į sistemos katalogą ir registrą, užtikrindamas automatinį paleidimą įjungus „Windows“. Kiekvienos aukos kompiuteriui priskiriamas unikalus ID (padeda gauti slaptažodį). Duomenų iššifruoti beveik neįmanoma. Galite mokėti pinigus užpuolikams, tačiau niekas negarantuoja, kad gausite slaptažodį.

[apsaugotas el. paštas] / [apsaugotas el. paštas]

Du el. pašto adresai, kuriuos 2016 m. dažnai lydėjo išpirkos reikalaujantys virusai. Jie padeda susieti auką su užpuoliku. Pridedami buvo įvairių tipų virusų adresai: da_vinci_code, no_more_ransom ir pan. Labai rekomenduojama nesikreipti ir nepervesti pinigų su sukčiais. Daugeliu atvejų vartotojai lieka be slaptažodžių. Taigi, parodydami, kad užpuolikų išpirkos reikalaujančios programos veikia ir generuoja pajamas.

Breaking Bad

Jis pasirodė 2015 metų pradžioje, tačiau aktyviai išplito tik po metų. Užkrėtimo principas yra identiškas kitoms išpirkos programoms: failo diegimas iš el. pašto, duomenų šifravimas. Įprastos antivirusinės programos, kaip taisyklė, nepastebi „Breaking Bad“ viruso. Kai kurie kodai negali apeiti „Windows“ UAC, todėl vartotojas turi galimybę atkurti ankstesnes dokumentų versijas. Nė viena antivirusinę programinę įrangą kurianti įmonė dar nepateikė iššifravimo priemonės.

XTBL

Labai paplitusi išpirkos reikalaujanti programa, kuri sukėlė problemų daugeliui vartotojų. Patekęs į kompiuterį, virusas per kelias minutes pakeičia failo plėtinį į .xtbl. Sukuriamas dokumentas, kuriame užpuolikas prievartauja pinigus. Kai kurie XTBL viruso variantai negali sunaikinti failų sistemos atkūrimui, o tai leidžia susigrąžinti svarbius dokumentus. Patį virusą gali pašalinti daugelis programų, tačiau iššifruoti dokumentus labai sunku. Jei esate licencijuotos antivirusinės programos savininkas, pasinaudokite technine pagalba, pridėdami užkrėstų duomenų pavyzdžius.

Kukaracha

„Cucaracha“ išpirkos reikalaujanti programa buvo aptikta 2016 m. gruodžio mėn. Įdomaus pavadinimo virusas slepia vartotojo failus naudodamas RSA-2048 algoritmą, kuris yra labai atsparus. „Kaspersky“ antivirusinė programa jį pažymėjo kaip Trojan-Ransom.Win32.Scatter.lb. Kukaracha galima pašalinti iš kompiuterio, kad nebūtų užkrėsti kiti dokumentai. Tačiau užkrėstų šiuo metu beveik neįmanoma iššifruoti (labai galingas algoritmas).

Kaip veikia išpirkos reikalaujantis virusas?

Yra daugybė išpirkos reikalaujančių programų, tačiau jos visos veikia panašiu principu.

  1. Prieiga prie asmeninio kompiuterio. Paprastai dėl prie el. laiško pridėto failo. Diegimą inicijuoja pats vartotojas, atidaręs dokumentą.
  2. Failų infekcija. Beveik visų tipų failai yra užšifruoti (priklausomai nuo viruso). Sukuriamas tekstinis dokumentas, kuriame yra kontaktai, skirti bendrauti su užpuolikais.
  3. Visi. Vartotojas negali pasiekti jokio dokumento.

Kontrolės agentai iš populiarių laboratorijų

Plačiai paplitęs išpirkos reikalaujančių programų, kurios yra pripažintos pavojingiausia grėsme vartotojų duomenims, naudojimas tapo postūmiu daugeliui antivirusinių laboratorijų. Kiekviena populiari įmonė teikia savo vartotojams programas, padedančias kovoti su išpirkos reikalaujančiomis programomis. Be to, daugelis jų padeda iššifruoti dokumentus ir apsaugoti sistemą.

Kaspersky ir ransomware virusai

Viena garsiausių antivirusinių laboratorijų Rusijoje ir pasaulyje šiandien siūlo efektyviausias priemones kovai su išpirkos reikalaujančiais virusais. Pirmoji kliūtis ransomware virusui bus Kaspersky Endpoint Security 10 su naujausiais atnaujinimais. Antivirusinė programa tiesiog neleis grėsmei patekti į jūsų kompiuterį (nors gali ir nesustabdyti naujų versijų). Norėdami iššifruoti informaciją, kūrėjas pateikia keletą nemokamų paslaugų: XoristDecryptor, RakhniDecryptor ir Ransomware Decryptor. Jie padeda surasti virusą ir pasirinkti slaptažodį.

Dr. Internetas ir išpirkos reikalaujančios programos

Ši laboratorija rekomenduoja naudoti jų antivirusinę programą, kurios pagrindinė funkcija yra failų atsarginė kopija. Saugykla su dokumentų kopijomis taip pat apsaugota nuo neteisėtos įsibrovėlių prieigos. Licencijuoto produkto savininkai dr. Interneto funkcija galima paprašyti techninės pagalbos. Tiesa, net ir patyrę specialistai ne visada gali atsispirti tokiai grėsmei.

ESET Nod 32 ir išpirkos reikalaujančios programos

Ši įmonė taip pat neliko nuošalyje, suteikdama savo vartotojams gerą apsaugą nuo virusų patekimo į kompiuterį. Be to, laboratorija neseniai išleido nemokamą programą su naujausiomis duomenų bazėmis – Eset Crysis Decryptor. Kūrėjai teigia, kad tai padės kovoti net su naujausiomis išpirkos programomis.

Kodavimo virusas yra duomenų šifravimo scenarijaus programa, ji gali pasirodyti bet kuriam neatidiam vartotojui. Kiekvieną dieną internete atsiranda vis naujesnių ir sudėtingesnių tokių scenarijų virusų. Pagrindinis kodavimo įrenginių tikslas, žinoma, yra gauti pinigų už failų iššifravimą. Šiame straipsnyje mes išsamiai papasakosime, kaip apsaugoti informaciją, kaip iššifruoti informaciją po tokios programos atakos, kaip programa prasiskverbia į kompiuterį.

Dažniausiai vartotojai tokias programas paleidžia patys, nekreipdami dėmesio į atsisiunčiamą informaciją. Įsivaizduokime populiariausią situaciją: esate mažos įmonės direktorius, kur darbuotojai dirba be sistemos administratoriaus, kompiuterio apsauga vyksta be serverio ir pačiu minimaliu lygiu. Paštu ateina laiškas su archyvu Sąskaita už apmokėjimą.zip, tariamai iš sandorio šalies, pačiame archyve failas Sąskaita mokėjimui.js

Daugiau nei 50% darbuotojų nesupras, kad failas Invoice.js nebus joks dokumentas, be to, pagrindinė dalis gali tiesiog nekreipti dėmesio į failų plėtinius!

Kaip pašalinti failą šifruojantį virusą ir iššifruoti failus.

Kai paleidžiate failą Invoice.js, scenarijus fotonų režimu atsisiunčia ir paleidžia nemokamą legalią failų šifravimo programą iš interneto. Nemokama ir legali programa reiškia, kad jos neaptiks antivirusinės programos, nes joje nėra nieko nelegalaus, nes ji skirta teisiškai apsaugoti informaciją. Be to, prieiga prie scenarijaus vyksta failo Invoice-for-payment.js lygiu, nes jį paleidžia administratorius, ir šis scenarijus gali įkelti ir paleisti visas norimas programas. Šifravimo failų plėtinius iš anksto sukonfigūruoja šiukšlių siuntėjas, o scenarijus užšifruoja tik darbinius dokumentus arba 1C duomenų bazes. Failų šifravimas vyksta labai greitai – per kelias sekundes, kol vartotojas nespėja išsiaiškinti, kas vyksta su kompiuteriu. Užšifravusi visus rastus failus, programa visiškai ištrina visus savo pėdsakus ir failus. Tai daroma taip, kad niekas nesužinotų, kaip failai buvo užšifruoti, todėl iššifruoti beveik neįmanoma.

Kodėl dauguma kodavimo įrenginių negali būti iškoduoti

Šiuo metu dauguma kodavimo virusų turi labai sudėtingus šifravimo algoritmus. Tai RSA1024 + AES256. Kaip pavyzdį paimkime šiuos skaičiavimus. Jei turime 46 teraflopų talpos kompiuterį ir tai bus galingiausias kada nors žmogaus sukurtas kompiuteris pasaulyje, tokiam kompiuteriui prireiks daugiau nei 6,4 metų vien tik RSA1024 rakto iššifravimui (remiantis oficialiais duomenimis, vidutiniškai trunka 10 12 MIPS metų arba apie 9,47 yottaflop – 9,47*1024 šnipštas). Jei kodavimo įrenginiui nėra dekoderio, 3 GHz procesoriaus, kuris yra 3000MHz x 4 x 8/1000000 = 0,096 TFLOPS, brutalios jėgos iššifravimo procesas gali užtrukti 3067 metus.

Ką daryti, jei kodavimo priemonė patenka į jūsų kompiuterį?

Visų pirma, nepanikuokite, jei kodavimo programa vis dar atlieka savo darbą, turite skubiai išjungti kompiuterį nuo maitinimo šaltinio, jei programa jau išsiuntė tekstinį pranešimą ir praėjo daugiau nei 20 sekundžių, mes to nedarysime paleiskite kompiuterį iš naujo, kol rasime viruso kūną. Laikydamiesi toliau pateiktų rekomendacijų, galite žymiai padidinti informacijos iššifravimo tikimybę:

1. Viruso kūnas. Pirmas dalykas, kurį jums reikia padaryti, yra rasti scenarijų ir suprasti, ką tiksliai turite dirbti, nes dauguma virusų išsitrina patys, informacijos iššifravimo vedlio darbas prasideda atkuriant paskutinius ištrintus failus, šiuo metu yra daugybė programų. Norėdami atkurti ištrintus failus, iš tikrųjų, jei informacija nebuvo perrašyta, ištrintas failas sistemos skaidinio lygiu pažymimas tik kaip ištrintas ir galite pabandyti jį atkurti. Mums taip pat reikės paties JS failo, kurį atidarė vartotojas, jo analizė padės suprasti, kurios programos buvo naudojamos duomenims užšifruoti. Ištrintų failų atkūrimo programa turi būti paleista išorinėje laikmenoje, kad standžiajame diske būtų kuo mažiau pakeitimų.

2. Iššifravimo programos

Šiuo metu pagrindiniai antivirusinių įmonių žaidėjai turi kelis raktus, skirtus įvairiems šifruojantiems virusams nuorodose į tokias programas:

„Kaspersky Anti-Virus“ paslaugos

http://support.kaspersky.ru/viruses/desinfection?page=2

Iššifruotojai iš DrWeb

http://forum.drweb.com/index.php?showtopic=317113

3. Antivirusinės kompanijos.

Kai kurios antivirusinės įmonės savo vartotojams sukūrė specialias iššifravimo paslaugas, yra labai maža tikimybė, kad jūsų duomenys bus iššifruoti. Pavyzdžiui, čia yra nuoroda iššifruoti iš DrWeb https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

4. Šešėlio tūrio kopijos

Galite pabandyti atkurti duomenis naudodami šešėlinės kopijos tomą, daugiau galite sužinoti nuorodoje, tačiau atminkite, kad išpirkos reikalaujantys scenarijai dažniausiai nepalieka šios parinkties.

5. Duomenų atkūrimas

Daugelis scenarijų veikia tokiu principu, kad failas nukopijuojamas, po to užšifruojamas, o po to ištrinamas originalas, todėl labai svarbu į standųjį diską nerašyti naujos informacijos, o duomenų atkūrimo programos pvz. R-Studio arba Photorec turi būti paleistas iš prijungto išorinio atminties įrenginio.

Failų iššifravimas, kurį atlieka patyręs specialistas

Mūsų įmonės specialistai turi didelę patirtį iššifruojant failus po to, kai juos įveda koduotuvo scenarijai. Norėdami gauti aukštos kvalifikacijos pagalbą, susisiekite su mumis atsiliepimais arba darbo telefonais. Jei nesate tikri, kad turite pakankamai žinių iššifruoti, prieš atvykstant specialistui labai svarbu:

- neperkraukite kompiuterio!

- nepervardyti failų!

— neatsisiųskite naujų duomenų!

- neuždarykite programos, palikite viską taip, kaip yra!

— neištrinkite laiško su šifruokliu iš savo pašto dėžutės!

Mūsų įmonės specialistai atliks visas esamas operacijas, kurias žino tik savo srities profesionalai! Skambindami specialistui turite suprasti, kad stebuklų nebūna ir daugeliu atvejų dekoduoti neįmanoma. Bet mes visada padėsime:

1. Suraskite viruso kūną ir nusiųskite jį analizei antivirusinėms įmonėms

2. Pereikime per visus pasauliui žinomus iššifruotojus

3. Būsite tikri, kad jūsų kompiuteryje neliko viruso!

4. Jūsų pageidavimu sukursime informacijos atsarginę kopiją ir apsaugą nuo tokių virusų

Kaip apsisaugoti?

1. Saugokite failus serveryje arba tinklo saugykloje

Dauguma kodavimo virusų nėra skirti veikti vietiniame tinkle, todėl rekomenduojame saugoti informaciją serveryje arba tinklo saugykloje, kai pasirodo koduotuvas, daugeliu atvejų tinklo duomenys nėra paveikti. Taip pat galite kopijuoti serverio duomenis į atskirą laikmeną, pavyzdžiui, kartą per dieną, kur prieiga iš kompiuterių bus skirta tik failams skaityti.

2. Apribokite prieigą prie paleisties programų

Jei vartotojas dirba tik su dokumentais ir neturi administratoriaus prieigos, taip pat galite užkirsti kelią naujų programų ir scenarijų paleidimui per „AppLocker“ - tai yra integruota išplėstinių „Windows“ versijų funkcija.

3. Padarykite atsargines kopijas. Jei serverio nėra, padarykite atsargines kopijas į keičiamąjį diskų įrenginį, pvz., „flash drives“ arba išorinius standžiuosius diskus. Jei turite atsarginę visų savo duomenų kopiją, būsite ramūs dėl tolesnio jų saugumo!

Vokietija | Suomija | Sankt Peterburgas | Vairuoti

Pastaruoju metu pavojingiausias virusas yra failas šifruojantis Trojan, atpažįstamas kaip Trojan-Ransom.Win32.Rector, kuris užšifruoja visus jūsų failus (*.mp3, *.doc, *.docx, *.iso, *.pdf, *. jpg, *.rar ir kt.). Problema ta, kad iššifruoti tokius failus yra labai sunku, o be tam tikrų žinių ir įgūdžių tai tiesiog neįmanoma.

Infekcijos procesas vyksta gudriu būdu. Gaunamas el. laiškas su pridėtu „document.pdf.exe“ tipo failu. Kai šis failas atidaromas ir iš tikrųjų paleidžiamas, virusas pradeda veikti ir šifruoti failus.

Virusas užšifravo failus, ką turėčiau daryti?

Jei aptinkate šio failo poveikį, bet toliau dirbate su šiuo kompiuteriu, jis užšifruoja vis daugiau failų. Prie šifruotų failų pridedamas plėtinys, pvz., „Šis el. pašto adresas apsaugotas nuo šiukšlių, turite įjungti Javascript, kad jį matytumėte“ (pavadinimai gali skirtis) ir interneto arba teksto failą, pvz., „ExpandFiles.html“. yra įtraukta į beveik visus aplankus », kuriuose užpuolikai aprašo, kaip gauti pinigų iš jūsų už savo nešvarų darbą. Štai tikrojo failo iš mano klientų užkrėsto kompiuterio tekstas:

Visi jūsų dokumentai buvo užšifruoti vienu iš stipriausių šifravimo algoritmų. Neįmanoma iššifruoti failų nežinant unikalaus kompiuterio slaptažodžio! Nekeiskite failų pavadinimų ar struktūros ir nebandykite iššifruoti failų naudodami įvairius internete paskelbtus iššifruotojus dėl šių veiksmų gali būti neįmanoma atkurti failų.

Jei norite įsitikinti, kad jūsų failus galima iššifruoti, galite atsiųsti mums el. laišką – Šis el. pašto adresas yra apsaugotas nuo šiukšlių, kad galėtumėte jį peržiūrėti, bet kuriam failui turite įjungti Javascript ir mes grąžinsime jo originalą versija.

Iššifruotojo, skirto failams iššifruoti, kaina yra 0,25 BTC (Bitcoin) Jūsų Bitcoin piniginė mokėjimui yra 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF

Kur įsigyti bitkoinų galite rasti forume - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Rekomenduojame tokius keitiklius kaip https://wmglobus.com/, https:// orangeexchangepro.com /Taip pat galima sumokėti 3500 rublių į qiwi piniginę, norėdami gauti piniginės numerį, turite susisiekti su mumis el. paštu - Šis el. pašto adresas yra apsaugotas nuo šiukšlių, jums reikia įjungti JavaScript

Anksčiau vienintelis išsigelbėjimas nuo šio viruso buvo ištrinti visus užkrėstus failus ir atkurti juos iš atsarginės kopijos, saugomos išoriniame diske arba „flash drive“. Tačiau kadangi nedaug žmonių daro atsargines kopijas, o tuo labiau jas reguliariai atnaujina, informacija tiesiog buvo prarasta. Didžioji dauguma galimybių mokėti išpirkos reikalaujančią programinę įrangą, kad iššifruotų failus, baigiasi pinigų praradimu ir yra tiesiog apgaulė.

Dabar antivirusinės laboratorijos kuria metodus ir programas, kaip atsikratyti šio viruso. Kaspersky Lab sukūrė programą – RectorDecryptor, kuri leidžia iššifruoti užkrėstus failus. Iš šios nuorodos galite atsisiųsti programą RectorDecryptor. Tada turite jį paleisti, spustelėkite mygtuką „Pradėti nuskaitymą“, pasirinkite užšifruotą failą, po kurio programa automatiškai iššifruos visus šio tipo užšifruotus failus. Failai atkuriami tuose pačiuose aplankuose, kuriuose buvo užšifruoti failai. Po to turite ištrinti užšifruotus failus. Lengviausias būdas tai padaryti yra naudojant šią komandą, įvedamą komandų eilutėje: del "d:\*.AES256" /f /s (kur AES256 turėtų būti jūsų viruso plėtinys). Taip pat būtina ištrinti užpuoliko el. pašto failus, išsibarsčiusius visame kompiuteryje. Tai galite padaryti naudodami šią komandą: del"d:\ EXTEND_FILES.html » /f /s, įvestas komandinėje eilutėje.

Pirmiausia turite apsaugoti savo kompiuterį nuo viruso plitimo galimybės. Norėdami tai padaryti, turite išvalyti įtartinus paleisties failus, pašalinti įtartinas programas, išvalyti laikinus aplankus ir naršyklės talpyklas (tam galite naudoti CCleaner įrankį).

Tačiau reikia pažymėti, kad šis iššifravimo būdas gali padėti tik tiems, kurių virusas jau buvo apdorotas „Kaspersky Lab“ ir yra įtrauktas į „RectorDecryptor“ programos sąrašą. Jei tai naujas virusas, dar neįtrauktas į neutralizuotų virusų sąrašą, užkrėstus failus turėsite nusiųsti iššifruoti į Kaspersky Labs, Dr.Web ar Nod32 arba atkurti juos iš atsarginės kopijos (tai yra daug lengviau).

Jei virusų neutralizavimo ir kompiuterio gydymo veiksmai yra šiek tiek sunkūs, tada norint nepadaryti dar didesnės žalos ar nesunaikinti operacinės sistemos (dėl to gali būti visiškai iš naujo įdiegta Windows), geriau kreiptis į specialistą, kuris darykite tai profesionaliai. Šiuolaikinės priemonės leidžia visus šiuos veiksmus atlikti nuotoliniu būdu bet kurioje pasaulio vietoje, kur yra interneto ryšys.

Jei jūsų kompiuteris yra užkrėstas išpirkos reikalaujančiu virusu, turite iš naujo įdiegti „Windows“.

Tai visiškai pašalins išpirkos reikalaujantį virusą iš jūsų kompiuterio.

Mūsų kompiuterių technikai gali iš naujo įdiegti „Windows“ Ufoje ir bandyti atkurti užšifruotus failus

Skambinkite 8-927-237-48-09

Ransomware virusai, arba kitaip jie dar vadinami – kriptografiniais virusais – specialios rūšies programine įranga, kuri užšifruoja visus kietajame diske esančius failus. Ką reiškia žodis „šifravimas“? Kai šifruojami, visi failai virsta nulių ir vienetų rinkiniu, tai yra, jie yra beprasmis informacijos rinkinys, kurio negali atidaryti jokia programa.

Tai reiškia, kad po šifravimo visų Word, Excel ir kitų darbo dokumentų bus neįmanoma atidaryti ir pasiekti. Ką daryti, jei šiuose failuose yra kursiniai darbai, kuriuos taip uoliai dirbote visą mėnesį? Galiu pasakyti, kad jūsų duomenų šifravimas neribos pasipiktinimo. O jei atsižvelgsime į tai, kad dauguma studentų savo darbus saugo vienoje kopijoje – darbo kompiuteryje, tai užšifravus to paties darbo kompiuterio kietąjį diską, studentas praranda visą darbą prie dokumentų. Neginčiju, kad jums gali pasisekti, jei kursinio darbo kopija liks „flash“ diske, tačiau yra ir labai sudėtingas faktas, kaip veikia išpirkos reikalaujantys virusai.

Kaip ir bet kurio viruso, jo atliekamos funkcijos tiesiogiai priklauso nuo šio viruso kūrėjo. Ką aš turiu omenyje sakydamas funkcijas? Pateiksiu pavyzdį.

Užšifravus kietąjį diską ir visus jame esančius failus, virusas atsiskleidžia ne iš karto. Tai yra, jūs ramiai ir toliau atidarote visus dokumentus ir juos keičiate. Tuo pačiu metu redaguodami naudojate „flash drive“, kuriame taip pat yra šie dokumentai. Ką šiuo atveju daro šifravimo virusas? Virusas stebi visus įrenginius, kuriuos prijungiate prie USB prievadų: „flash drives“, medijos įrenginius – ir palaipsniui užšifruoja juose esančią informaciją. Po kurio laiko virusas suaktyvėja ir blokuoja prieigą prie visų kompiuteryje esančių failų, įskaitant sugebėjimą užšifruoti „flash drives“ duomenis.

Ką mes turime šiuo atveju? Visi jūsų dokumentai, kursiniai darbai, LAIPSNIŲ DARBAI ir kiti dokumentai yra užšifruoti ir prie jų nėra jokios prieigos.

Ką daryti, kad neužkluptumėte išpirkos reikalaujančio viruso?

Atsakymas labai paprastas – naudokite galvą ir neatidarykite visų failų iš eilės. Taip pat gali padėti antivirusinės programos įdiegimas. Tačiau reikia atsižvelgti į esminį faktą, kad antivirusinė programa turi būti nuolat atnaujinama. Tai labai svarbus dalykas, nes bet kuri neatnaujinta antivirusinė praranda savo aktualumą.

Išpirkos reikalaujančio viruso tipą galima iliustruoti populiariausio jo tipo – Somalio piratų – pavyzdžiu. Išpirkos reikalaujančio viruso kūrėjas turi humoro jausmą, kai virusas užšifruoja visus duomenis, darbalaukyje pasirodo nuotrauka, kurioje vaizduojami šiuolaikiniai piratai laive ir pranešimas, kad Somalio piratai užfiksavo jūsų jachtą – jūsų kompiuterį.

Išpirkos reikalaujantis virusas užšifravo failus jūsų kompiuteryje, ką daryti, kaip jį išgydyti ir kaip sutvarkyti?

Ir jie neduos jums failų, kol nesumokėsite jiems išpirkos. Išpirka sumokama naudojant populiarias mokėjimo sistemas.

Iš karto pasakysiu – jums nereikia mokėti. Didelė tikimybė, kad failus pavyks iššifruoti. Iššifravimas gali įvykti, jei išpirkos reikalaujančio viruso versija yra sena. Tai reiškia, kad antivirusinės kompanijos jau rado būdą, kaip iššifruoti failus, kurie buvo užšifruoti šio viruso.

Ką daryti, jei failai yra užšifruoti viruso

Pirmiausia eikite į antivirusinės bendrovės „Doctor Web“ svetainę. Ši įmonė dažnai teikia viešai prieinamas specialias programas, kurios leidžia iššifruoti failus. Tačiau yra vienas dalykas. Turite turėti Doctor Web antivirusinę licenciją, tada šios įmonės darbuotojai jums atsiųs šią priemonę. Tačiau, kaip jau sakiau, dažnai šios paslaugos yra viešai prieinamos antivirusinės įmonės „Doctor Web“ svetainėje, kur galite jas atsisiųsti ir pabandyti iššifruoti failus.

Kodėl būtent „bandyti iššifruoti“?

Kadangi naujos šifravimo virusų versijos failus šifruoja naudodami specialų algoritmą, kurio dažnai nepavyksta iššifruoti. Ką tokiu atveju daryti? Tokiu atveju visus užšifruotus failus reikia nukopijuoti į atskirą laikmeną: „flash drive“, standųjį diską, DVD, CD. Ir palaukite, kol antivirusinės kompanijos sukurs įrankį, skirtą iššifruoti šio viruso užšifruotus failus.

Ką daryti toliau, kai visi užšifruoti failai yra atskirame įrenginyje

Nukopijavę užšifruotus failus į „flash“ diską arba standųjį diską, turite visiškai suformatuoti kompiuterio standųjį diską ir įdiegti naują „Windows“ diegimą. Įdiegę Windows, turite įdiegti antivirusinę programą, kuri atnaujins ir apsaugo jūsų failus nuo išpirkos reikalaujančių virusų.

Tokiu atveju galite susisiekti su mūsų įmone telefonu 8-927-237-48-09 ir pasinaudoti kompiuterinės pagalbos paslaugomis.

Išpirkos reikalaujančių virusų gydymas

Pastaruoju metu daug problemų sukelia šifravimo virusai, kurių gydymas tradicinėmis priemonėmis dažnai nepadeda. Išpirkos reikalaujančios programos, kurios sugeba įsiskverbti į sistemą, užšifruoja failus su konkrečiais plėtiniais. Paprastai tokio tipo virusai šifruoja failus su plėtiniais .xls .doc ir kitais panašiais. Tokiose bylose dažniausiai būna aukai būtiniausia informacija.

Kompiuterių paslaugos

Failų iššifravimas nepatenka įprastos antivirusinės programos. Priklausomai nuo viruso tipo, gali būti naudojami skirtingi šifravimo metodai. Pats viruso pašalinimas negarantuoja, kad failai bus atleisti nuo šifravimo. Užšifruotiems failams dezinfekuoti naudojamos specialios priemonės. Išpirkos reikalaujančių virusų gydymo metodus siūlo didelės antivirusinės laboratorijos. Toliau apžvelgsime kai kuriuos gydymo metodus.

„Kaspersky“ siūlo dvi programas: „XoristDecryptor“ ir „RectorDecryptor“ tiesiog paleiskite jas ir jie gali padėti susidoroti su infekcija. Jei užšifruotų failų nepavyks išgydyti, programos pasiūlys atsiųsti nežinomą failą tyrimui, o su šiomis paslaugų duomenų bazėmis bus išleistas tinkamas iššifratorius, galintis išspręsti problemą.

Jei esate laimingas antivirusinių produktų iš dr.web licencijos savininkas, galite pateikti užšifruotus failus analizei naudodami šią formą. Jei susidūrėte su išpirkos reikalaujančiu virusu iš Encoder šeimos, tai galite padaryti čia perskaitykite informaciją apie tai, ką dar reikia padaryti išsiuntus užklausą.

Jūsų failai buvo užšifruoti – ką daryti?

Dr.web, be to, primygtinai pataria pateikti pareiškimą policijai.

Geriausias būdas apsisaugoti nuo viruso yra užkirsti kelią jo atsiradimui. Yra keletas pagrindinių taisyklių: nepamirškite antivirusinės programos ir naudokite visas pagrindines apsaugos priemones. Šiame straipsnyje mes išsamiai rašėme apie pagrindines apsaugos priemones – labai rekomenduojame tai išstudijuoti. Taip pat būtina pasirūpinti svarbių duomenų atsarginėmis kopijomis. Geriausia tokias kopijas išsaugoti išoriniame standžiajame diske, kuris nebus nuolat prijungtas prie kompiuterio.

Reikia pripažinti, kad failai, užšifruoti kai kuriais šifravimo virusais, negali būti išgydyti. Ir tai ne mūsų, o antivirusinių kompanijų specialistų nuomonė. Pavyzdžiui, GpCode šeimos virusų failai negali būti iššifruoti be privataus rakto, belieka sumokėti užpuolikui jo reikalavimą ir tikėtis gauti iššifratorių. Arba palaukite, kol vienam iš antivirusinių analitikų pavyks sukurti iššifratorių.

Norėdami pateikti prašymą

„RectorDecryptor“ yra naudinga priemonė, skirta pašalinti Trojan-Ransom.Win32.Rector kenkėjiškas programas ir iššifruoti šio Trojos arklys užšifruotus failus.

Programos aprašymas

RectorDecryptor yra „Kaspersky Lab“ programa, skirta iššifruoti failus, užšifruotus Trojan-Ransom.Win32.Rector kenkėjiškos programos.

Failų atkūrimas po išpirkos reikalaujančio viruso

Kenkėjiška programa Trojan-Ransom.Win32.Rector naudojami sukčiai, norėdami neteisėtai modifikuoti nukentėjusio kompiuterio duomenis taip, kad būtų neįmanoma su juo dirbti arba blokuoti normalų kompiuterio veikimą. Kai duomenys „paimami įkaitais“ (užblokuojami), vartotojui pateikiamas išpirkos reikalavimas. Auka turi pervesti užpuolikui reikalavime nurodytą sumą, po kurios užpuolikas pasižada atsiųsti programą duomenims ar normaliam kompiuterio darbui atkurti.

Norėdami iššifruoti duomenis, atsisiųskite rectordecryptor.zip archyvą, išpakuokite jį bet kur ir paleiskite failą RectorDecryptor.exe.

Ransomware įsilaužėliai yra labai panašūs į įprastus šantažuotojus. Tiek realiame pasaulyje, tiek kibernetinėje aplinkoje yra vienas arba grupinis atakos objektas. Jis arba pavogtas, arba padaromas nepasiekiamas. Toliau nusikaltėliai naudoja tam tikras bendravimo su aukomis priemones, kad perteiktų savo reikalavimus. Kompiuteriniai sukčiai dažniausiai pasirenka tik kelis išpirkos laiškų formatus, tačiau kopijas galima rasti beveik bet kurioje užkrėstos sistemos atminties vietoje. Šnipinėjimo programų šeimos, žinomos kaip „Troldesh“ arba „Shade“, atveju sukčiai, susisiekdami su auka, imasi specialaus požiūrio.

Pažvelkime atidžiau į šią išpirkos reikalaujančio viruso atmainą, skirtą rusakalbei auditorijai. Dauguma panašių infekcijų aptinka užpulto kompiuterio klaviatūros išdėstymą, o jei viena iš kalbų yra rusų, įsilaužimas sustoja. Tačiau išpirkos reikalaujantis virusas XTBL Neiššifruojamas: vartotojų deja, ataka vyksta nepaisant jų geografinės padėties ir kalbos nuostatų. Aiškus šio universalumo įkūnijimas yra įspėjimas, kuris pasirodo darbalaukio fone, taip pat TXT failas su instrukcijomis, kaip sumokėti išpirką.

XTBL virusas dažniausiai plinta per šlamštą. Laiškai primena žinomų prekių ženklų laiškus arba tiesiog traukia akį, nes temos eilutėje vartojami tokie posakiai kaip „Skubi!“ arba „Svarbūs finansiniai dokumentai“. Sukčiavimo triukas veiks, kai tokio el. laiško gavėjas. pranešimai atsisiųs ZIP failą su JavaScript kodu arba Docm objektą su galimai pažeidžiama makrokomanda.

Atlikęs pagrindinį algoritmą pažeistame kompiuteryje, išpirkos reikalaujantis Trojos arklys pradeda ieškoti duomenų, kurie gali būti naudingi vartotojui. Šiuo tikslu virusas nuskaito vietinę ir išorinę atmintį, tuo pačiu metu suderindamas kiekvieną failą su formatų rinkiniu, pasirinktu pagal objekto plėtinį. Visi .jpg, .wav, .doc, .xls failai, kaip ir daugelis kitų objektų, yra užšifruoti naudojant AES-256 simetrinio bloko šifravimo algoritmą.

Yra du šio žalingo poveikio aspektai. Visų pirma, vartotojas praranda prieigą prie svarbių duomenų. Be to, failų pavadinimai yra giliai užkoduoti, todėl susidaro beprasmė šešioliktainių simbolių eilutė. Viskas, kas vienija paveiktų failų pavadinimus, yra prie jų pridėtas xtbl plėtinys, t.y. kibernetinės grėsmės pavadinimas. Šifruotų failų pavadinimai kartais turi specialų formatą. Kai kuriose Troldesh versijose užšifruotų objektų pavadinimai gali likti nepakitę, o pabaigoje pridedamas unikalus kodas: [apsaugotas el. paštas], [apsaugotas el. paštas], arba [apsaugotas el. paštas].

Akivaizdu, kad užpuolikai, įvedę el. pašto adresus. paštu tiesiai į bylų pavadinimus, nurodant nukentėjusiesiems bendravimo būdą. El. laiškas taip pat nurodytas kitur, būtent išpirkos laiške, esančiame faile „Readme.txt“. Tokie Notepad dokumentai bus rodomi darbalaukyje, taip pat visuose aplankuose su užšifruotais duomenimis. Pagrindinė žinutė yra tokia:

„Visi failai buvo užšifruoti. Norėdami juos iššifruoti, el. pašto adresu turite išsiųsti kodą: [Jūsų unikalus šifras] [apsaugotas el. paštas] arba [apsaugotas el. paštas]. Toliau gausite visas reikalingas instrukcijas. Bandymai iššifruoti patys nesukels nieko, išskyrus negrįžtamą informacijos praradimą.

Pašto adresas gali keistis priklausomai nuo virusą platinančios šantažo grupės.

Kalbant apie tolimesnius pokyčius: bendrai kalbant, sukčiai atsako su rekomendacija pervesti išpirką, kuri gali būti 3 bitkoinai arba kita tokio diapazono suma. Atkreipkite dėmesį, kad niekas negali garantuoti, kad įsilaužėliai ištesės savo pažadą net ir gavę pinigus. Norint atkurti prieigą prie .xtbl failų, paveiktiems vartotojams rekomenduojama pirmiausia išbandyti visus galimus alternatyvius metodus. Kai kuriais atvejais duomenis galima sutvarkyti naudojant „Volume Shadow Copy“ paslaugą, teikiamą tiesiogiai „Windows“ OS, taip pat duomenų iššifravimo ir duomenų atkūrimo programas iš nepriklausomų programinės įrangos kūrėjų.

Pašalinkite XTBL išpirkos reikalaujančias programas naudodami automatinį valiklį

Itin efektyvus būdas dirbti su kenkėjiškomis programomis apskritai ir ypač su išpirkos reikalaujančiomis programomis. Pasiteisinusio apsauginio komplekso naudojimas garantuoja kruopštų bet kokių virusinių komponentų aptikimą ir visišką jų pašalinimą vienu paspaudimu. Atminkite, kad kalbame apie du skirtingus procesus: infekcijos pašalinimą ir failų atkūrimą kompiuteryje. Tačiau grėsmę tikrai reikia pašalinti, nes yra informacijos apie kitų ją naudojančių kompiuterių Trojos arklių įvedimą.

  1. . Paleidę programinę įrangą, spustelėkite mygtuką Paleiskite kompiuterio nuskaitymą(Pradėti nuskaitymą).
  2. Įdiegta programinė įranga pateiks ataskaitą apie nuskaitymo metu aptiktas grėsmes. Norėdami pašalinti visas aptiktas grėsmes, pasirinkite parinktį Ištaisyti grėsmes(Pašalinkite grėsmes). Aptariama kenkėjiška programa bus visiškai pašalinta.

Atkurti prieigą prie užšifruotų failų su plėtiniu .xtbl

Kaip minėta, XTBL išpirkos reikalaujanti programa užrakina failus naudodama stiprų šifravimo algoritmą, todėl užšifruoti duomenys negali būti atkurti stebuklingos lazdelės banga – sumokėjus negirdėtą išpirkos sumą. Tačiau kai kurie metodai tikrai gali būti išgelbėjimas, padėsiantis atkurti svarbius duomenis. Žemiau galite su jais susipažinti.

Decryptor – automatinė failų atkūrimo programa

Žinoma labai neįprasta aplinkybė. Ši infekcija ištrina originalius nešifruotus failus. Taigi šifravimo procesas turto prievartavimo tikslais yra skirtas jų kopijoms. Tai leidžia tokiai programinei įrangai kaip ištrintų objektų atkūrimas, net jei garantuojamas jų pašalinimo patikimumas. Primygtinai rekomenduojama pasinaudoti failų atkūrimo procedūra, kurios veiksmingumas buvo patvirtintas ne kartą.

Šešėlinės tomų kopijos

Šis metodas pagrįstas „Windows“ failo atsarginės kopijos kūrimo procesu, kuris kartojamas kiekviename atkūrimo taške. Svarbi sąlyga, kad šis metodas veiktų: „System Restore“ funkcija turi būti aktyvuota prieš užsikrėtimą. Tačiau visi failo pakeitimai, atlikti po atkūrimo taško, nebus rodomi atkurtoje failo versijoje.

Atsarginė kopija

Tai geriausias iš visų ne išpirkos būdų. Jei duomenų atsarginių kopijų kūrimo į išorinį serverį procedūra buvo naudojama prieš išpirkos programinės įrangos ataką prieš jūsų kompiuterį, norint atkurti užšifruotus failus tereikia įvesti atitinkamą sąsają, pasirinkti reikiamus failus ir paleisti duomenų atkūrimo mechanizmą iš atsarginės kopijos. Prieš atlikdami operaciją, turite įsitikinti, kad išpirkos reikalaujanti programa yra visiškai pašalinta.

Patikrinkite, ar nėra likusių XTBL išpirkos reikalaujančio viruso komponentų

Valant rankiniu būdu kyla pavojus, kad trūks atskirų išpirkos reikalaujančių programų, kurios gali būti pašalintos kaip paslėpti operacinės sistemos objektai arba registro elementai. Norėdami pašalinti atskirų kenkėjiškų elementų dalinio išsaugojimo riziką, nuskaitykite kompiuterį naudodami patikimą universalų antivirusinį paketą.

Šiandien kompiuterių ir nešiojamųjų kompiuterių vartotojai vis dažniau susiduria su kenkėjiškomis programomis, kurios pakeičia failus šifruotomis jų kopijomis. Iš esmės tai yra virusai. XTBL išpirkos reikalaujanti programa laikoma viena pavojingiausių šioje serijoje. Kas yra šis kenkėjas, kaip jis patenka į vartotojo kompiuterį ir ar įmanoma atkurti sugadintą informaciją?

Kas yra XTBL ransomware ir kaip ji patenka į kompiuterį?

Jei kompiuteryje ar nešiojamajame kompiuteryje rasite failus su ilgu pavadinimu ir plėtiniu .xtbl, tuomet galite drąsiai teigti, kad į jūsų sistemą pateko pavojingas virusas – XTBL išpirkos programa. Tai turi įtakos visoms „Windows“ OS versijoms. Tokių failų iššifruoti savarankiškai yra beveik neįmanoma, nes programa naudoja hibridinį režimą, kuriame rakto parinkti tiesiog neįmanoma.

Sistemos katalogai užpildyti užkrėstais failais. Į Windows registrą įtraukiami įrašai, kurie automatiškai paleidžia virusą kiekvieną kartą paleidus OS.

Beveik visų tipų failai yra užšifruoti – grafiniai, tekstiniai, archyviniai, el. paštas, vaizdo įrašai, muzika ir tt „Windows“ tampa neįmanoma dirbti.

Kaip tai veikia? Sistemoje Windows veikianti XTBL išpirkos reikalaujanti programa pirmiausia nuskaito visus loginius diskus. Tai apima debesų ir tinklo saugyklą, esančią kompiuteryje. Dėl to failai sugrupuojami pagal plėtinį ir užšifruojami. Taigi visa vertinga informacija, esanti vartotojo aplankuose, tampa neprieinama.


Tai yra paveikslėlis, kurį vartotojas matys vietoj piktogramų su pažįstamų failų pavadinimais

Veikiant XTBL išpirkos programai, pasikeičia failo plėtinys. Dabar vartotojas mato tuščio lapo piktogramą ir ilgą pavadinimą, kuris baigiasi .xtbl, o ne paveikslėlį ar tekstą Word. Be to, darbalaukyje pasirodo pranešimas, savotiška užšifruotos informacijos atkūrimo instrukcija, reikalaujanti sumokėti už atrakinimą. Tai ne kas kita, kaip šantažas, reikalaujantis išpirkos.


Šis pranešimas rodomas jūsų kompiuterio darbalaukio lange.

XTBL išpirkos reikalaujančios programos dažniausiai platinamos el. Laiške yra prisegtų failų arba dokumentų, užkrėstų virusu. Sukčius vartotoją patraukia spalvinga antrašte. Daroma viskas, kad žinutė, kurioje rašoma, kad jūs, pavyzdžiui, laimėjote milijoną, būtų atvira. Neatsakykite į tokius pranešimus, kitaip yra didelė rizika, kad virusas pateks į jūsų OS.

Ar įmanoma atkurti informaciją?

Galite pabandyti iššifruoti informaciją naudodami specialias programas. Tačiau nėra garantijos, kad pavyks atsikratyti viruso ir atkurti sugadintus failus.

Šiuo metu XTBL ransomware kelia neabejotiną grėsmę visiems kompiuteriams, kuriuose veikia Windows OS. Net pripažinti kovos su virusais lyderiai – Dr.Web ir Kaspersky Lab – neturi 100% šios problemos sprendimo.

Viruso pašalinimas ir užšifruotų failų atkūrimas

Yra įvairių metodų ir programų, leidžiančių dirbti su XTBL šifravimu. Vieni pašalina patį virusą, kiti bando iššifruoti užrakintus failus arba atkurti ankstesnes jų kopijas.

Kompiuterio infekcijos sustabdymas

Jei jums pasisekė pastebėti, kad jūsų kompiuteryje pradeda pasirodyti failai su plėtiniu .xtbl, tada visiškai įmanoma nutraukti tolesnės infekcijos procesą.

Kaspersky Virus Removal Tool, skirtas pašalinti XTBL išpirkos reikalaujančią programinę įrangą

Visos tokios programos turėtų būti atidarytos OS, kuri anksčiau buvo paleista saugiuoju režimu su galimybe įkelti tinklo tvarkykles. Tokiu atveju virusą pašalinti daug lengviau, nes prijungtas minimalus sistemos procesų, reikalingų Windows paleidimui, skaičius.

Norėdami įkelti saugųjį režimą Windows XP, 7 sistemos paleidimo metu, nuolat paspauskite klavišą F8 ir pasirodžius meniu langui pasirinkite atitinkamą elementą. Kai naudojate „Windows 8“, „10“, iš naujo paleiskite OS laikydami nuspaudę klavišą „Shift“. Paleidimo proceso metu atsidarys langas, kuriame galėsite pasirinkti reikiamą saugaus įkrovos parinktį.


Saugiojo režimo pasirinkimas įkeliant tinklo tvarkykles

Kaspersky Virus Removal Tool programa puikiai atpažįsta XTBL išpirkos reikalaujančias programas ir pašalina tokio tipo virusus. Atsisiuntę paslaugų programą paleiskite kompiuterio nuskaitymą spustelėdami atitinkamą mygtuką. Kai nuskaitymas bus baigtas, ištrinkite visus rastus kenkėjiškus failus.


Kompiuterio nuskaitymas dėl XTBL išpirkos reikalaujančios programinės įrangos buvimo Windows OS ir viruso pašalinimas

Dr.Web CureIt!

Viruso tikrinimo ir pašalinimo algoritmas praktiškai nesiskiria nuo ankstesnės versijos. Naudokite programą, kad nuskaitytumėte visus loginius diskus. Norėdami tai padaryti, jums tereikia vykdyti programos komandas po jos paleidimo. Proceso pabaigoje pašalinkite užkrėstus failus spustelėdami mygtuką „Nuvalyti“.


Nuskaitę „Windows“, neutralizuokite kenkėjiškus failus

Malwarebytes Anti-malware

Programa žingsnis po žingsnio patikrins, ar kompiuteryje nėra kenkėjiškų kodų, ir juos sunaikins.

  1. Įdiekite ir paleiskite kovos su kenkėjiškomis programomis priemonę.
  2. Atsidariusio lango apačioje pasirinkite „Vykdyti nuskaitymą“.
  3. Palaukite, kol procesas bus baigtas, ir pažymėkite žymimuosius laukelius su užkrėstais failais.
  4. Ištrinkite pasirinkimą.


Nuskaitymo metu aptiktų kenkėjiškų XTBL išpirkos reikalaujančių failų pašalinimas

Internetinis iššifravimo scenarijus iš Dr.Web

Oficialios Dr.Web svetainės palaikymo skiltyje yra skirtukas su internetinio failo iššifravimo scenarijumi. Atkreipkite dėmesį, kad tik tie vartotojai, kurie savo kompiuteriuose yra įdiegę šios kūrėjo antivirusinę programą, galės naudoti iššifravimo priemonę internete.


Perskaitykite instrukcijas, užpildykite viską, ko reikia, ir spustelėkite mygtuką „Pateikti“.

„RectorDecryptor“ iššifravimo priemonė iš „Kaspersky Lab“.

Kaspersky Lab taip pat iššifruoja failus. Oficialioje svetainėje galite atsisiųsti „RectorDecryptor.exe“ įrankį, skirtą „Windows Vista“, 7, 8 versijoms, naudodami meniu nuorodas „Palaikymas – Failų dezinfekavimas ir iššifravimas – RectorDecryptor – Kaip iššifruoti failus“. Paleiskite programą, atlikite nuskaitymą ir ištrinkite užšifruotus failus pasirinkdami atitinkamą parinktį.


XTBL ransomware užkrėstų failų nuskaitymas ir iššifravimas

Šifruotų failų atkūrimas iš atsarginės kopijos

Pradėdami nuo „Windows 7“, galite pabandyti atkurti failus iš atsarginių kopijų.


„ShadowExplorer“, kad atkurtumėte užšifruotus failus

Programa yra nešiojama versija, ją galima atsisiųsti iš bet kurios laikmenos.


QPhotoRec

Programa yra specialiai sukurta atkurti sugadintus ir ištrintus failus. Naudodama integruotus algoritmus, programa suranda ir grąžina visą prarastą informaciją į pradinę būseną.

QPhotoRec yra nemokama.

Deja, yra tik angliška QPhotoRec versija, tačiau suprasti nustatymus visai nesunku, sąsaja intuityvi.

  1. Paleiskite programą.
  2. Pažymėkite loginius diskus su užšifruota informacija.
  3. Spustelėkite Failų formatai ir Gerai.
  4. Naudodami mygtuką Naršyti, esantį atidaryto lango apačioje, pasirinkite vietą, kurioje norite išsaugoti failus ir pradėkite atkūrimo procedūrą spustelėdami Ieškoti.


QPhotoRec atkuria XTBL ransomware ištrintus failus ir pakeistus savo kopijomis

Kaip iššifruoti failus - vaizdo įrašas

Ko nedaryti

  1. Niekada nesiimkite veiksmų, dėl kurių nesate visiškai tikri. Geriau pasikviesti specialistą iš aptarnavimo centro arba patiems nuvežti kompiuterį.
  2. Neatidarykite el. laiškų iš nežinomų siuntėjų.
  3. Jokiu būdu neturėtumėte sekti šantažuotojų pavyzdžiu sutikdami pervesti jiems pinigus. Tai greičiausiai neduos jokių rezultatų.
  4. Rankiniu būdu nepervardykite šifruotų failų plėtinių ir neskubėkite iš naujo įdiegti „Windows“. Galbūt pavyks rasti sprendimą, kuris ištaisys situaciją.

Prevencija

Pabandykite įdiegti patikimą apsaugą nuo XTBL ransomware ir panašių išpirkos reikalaujančių virusų įsiskverbimo į savo kompiuterį. Tokios programos apima:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

Nepaisant to, kad jie visi yra anglų kalba, dirbti su tokiomis komunalinėmis paslaugomis yra gana paprasta. Paleiskite programą ir nustatymuose pasirinkite apsaugos lygį.


Programos paleidimas ir apsaugos lygio pasirinkimas

Jei susidūrėte su išpirkos reikalaujančiu virusu, kuris užšifruoja failus jūsų kompiuteryje, tuomet, žinoma, neturėtumėte iš karto nusiminti. Pabandykite naudoti siūlomus būdus atkurti sugadintą informaciją. Dažnai tai duoda teigiamą rezultatą. Nenaudokite nepatvirtintų nežinomų kūrėjų programų, kad pašalintumėte XTBL išpirkos reikalaujančią programinę įrangą. Juk tai gali tik pabloginti situaciją. Jei įmanoma, kompiuteryje įdiekite vieną iš programų, neleidžiančių virusui paleisti, ir reguliariai atlikite įprastą Windows nuskaitymą, ar nėra kenkėjiškų procesų.