Cum să decriptați fișierele după un virus. Fișierele dvs. au fost criptate - ce ar trebui să fac? Recuperarea fișierelor șterse

Tehnologiile moderne permit hackerilor să îmbunătățească constant modalitățile de fraudă în raport cu utilizatorii obișnuiți. De regulă, software-ul virus care pătrunde într-un computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea constă în faptul că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu poate deschide niciun document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.

Ce trebuie să faceți dacă un virus are fișiere criptate pe computer

Toată lumea poate fi atacată de un ransomware, chiar și utilizatorii care au un software antivirus puternic nu sunt asigurați. Troienii de criptare a fișierelor sunt reprezentați de coduri diferite, care pot depăși puterea antivirusului. Hackerii reusesc chiar sa atace in acest fel companiile mari care nu s-au ocupat de protectia necesara a informatiilor lor. Deci, după ce a „preluat” un program ransomware online, trebuie să luați o serie de măsuri.

Principalele semne de infecție sunt funcționarea lentă a computerului și schimbarea denumirilor documentelor (o puteți vedea pe desktop).

  1. Reporniți computerul pentru a opri criptarea. Când este activat, nu confirmați lansarea de programe necunoscute.
  2. Rulați antivirusul dacă nu a fost atacat de ransomware.
  3. În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu datele criptate ale extensiei Vault, care are informații pe portal.
  4. Descărcați cel mai recent utilitar antivirus anti-cripto. Cele mai eficiente sunt oferite de Kaspersky Lab.

Viruși de criptare în 2016: exemple

Atunci când luptați cu orice atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de protecție au nevoie de ceva timp până când dezvoltatorul actualizează bazele de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.

Ishtar ransomware

Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere de utilizatori din Rusia și o serie de alte țări. Este distribuit folosind distribuția prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate cu ransomware-ul Ishtar primesc prefixul „ISHTAR” în nume. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.

Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Se recomandă reinstalarea sistemului de operare.

Neitrino

Ransomware-ul Neitrino a apărut pe internet în 2015. Prin principiul atacului, este similar cu alți viruși din această categorie. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de descifrat - departe de toți reprezentanții companiilor antivirus să se angajeze în acest lucru, referindu-se la un cod foarte complex. Restaurarea unei copii umbră poate ajuta unii utilizatori. Pentru a face acest lucru, faceți clic dreapta pe documentul criptat, accesați „Proprietăți”, fila „Versiuni anterioare”, faceți clic pe „Restaurare”. Nu va fi de prisos să folosiți utilitarul gratuit de la Kaspersky Lab.

Portofel sau .portofel.

Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele de e-mail trimise de hackeri. Deoarece amenințarea a apărut destul de recent, programele antivirus nu o observă. După criptare, creează un document în care fraudatorul specifică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează la decriptarea codului virusului ransomware. [email protected] Utilizatorii atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați pe o unitate externă prin curățarea sistemului.

Enigmă

Virusul de criptare Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Folosește modelul de criptare AES-RSA, care se găsește în majoritatea ransomware-urilor de astăzi. Virusul pătrunde în computer folosind un script pe care utilizatorul însuși îl rulează prin deschiderea fișierelor dintr-un e-mail suspect. Nu există încă un remediu universal pentru a face față cifrului Enigma. Utilizatorii care au licență pentru un antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „scapă” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul infecției cu virusul, poate restaura ulterior informațiile folosind copii umbre.

Granit

Noul virus ransomware Granit a apărut pe web în toamna anului 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează un program de instalare care infectează și criptează toate datele de pe PC și de unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar codul nu a fost încă decriptat. Restaurarea versiunilor anterioare ale datelor poate fi de ajutor. În plus, un specialist cu o vastă experiență poate decripta, dar serviciul este costisitor.

Tyson

A fost vazut recent. Este o extensie a bine-cunoscutului ransomware no_more_ransom, despre care puteți afla pe site-ul nostru. Ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează un document text cu instrucțiuni de deblocat, oferindu-se să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informațiile este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul indicat de atacatori, dar nu există nicio garanție că veți primi o parolă.

Spora

La începutul lui 2017, un număr de utilizatori au căzut victime ale noului ransomware Spora. Prin principiul de funcționare, nu diferă mult de omologii săi, dar se mândrește cu o performanță mai profesională: instrucțiunile pentru obținerea unei parole sunt mai bune, site-ul web arată mai frumos. A creat Spora ransomware în limbajul C, folosește o combinație de RSA și AES pentru a cripta datele victimelor. De regulă, computerele pe care este utilizat activ programul de contabilitate 1C au fost atacate. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu s-a găsit încă un leac.

1C.Scădere.1

Acest virus de criptare pentru 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. A fost dezvoltat special pentru computere care utilizează software 1C. Trecând printr-un fișier într-un e-mail către un computer, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apasă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar până acum nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate fi sub mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorilor și arhivarea regulată a documentelor importante.

da_vinci_code

Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Se deosebește de predecesorii săi prin codul îmbunătățit și modul de criptare puternic. da_vinci_code infectează un computer datorită unei aplicații executabile (de obicei atașată unui e-mail), pe care utilizatorul o lansează independent. Codificatorul da Vinci (codul da Vinci) copiază corpul în directorul de sistem și în registru, asigurându-se că pornește automat când Windows este pornit. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea parolei). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.

[email protected] / [email protected]

Două adrese de e-mail care au însoțit adesea ransomware-ul în 2016. Acestea servesc la conectarea victimei cu atacatorul. Adresele au fost atașate la o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Nu este foarte recomandat să contactați, precum și să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.

Breaking Bad

A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul infecției este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Antivirusurile convenționale de obicei nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, astfel încât utilizatorul poate încă să restaureze versiunile anterioare ale documentelor. Decodorul nu a fost încă prezentat de nicio companie care dezvoltă software antivirus.

XTBL

Un ransomware foarte comun care a cauzat probleme pentru mulți utilizatori. Odată ajuns pe un computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul stoarce bani. Unele tulpini ale virusului XTBL nu pot distruge fișierele de restaurare a sistemului, permițând recuperarea documentelor importante. Virusul în sine poate fi eliminat de multe programe, dar este foarte dificil să decriptați documentele. Dacă dețineți un antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.

Kukaracha

Cifrul Kukaracha a fost depistat în decembrie 2016. Un virus cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Kaspersky Anti-Virus l-a identificat drept Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați sunt aproape imposibil de decriptat astăzi (un algoritm foarte puternic).

Cum funcționează ransomware-ul

Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.

  1. Acces la un computer personal. De regulă, datorită fișierului atașat la e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
  2. Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu intrușii.
  3. Toate. Utilizatorul nu poate accesa niciun document.

Remedii din laboratoarele populare

Utilizarea pe scară largă a ransomware-ului, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un impuls pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor protejate de sistem.

Kaspersky și viruși de criptare

Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente mijloace de combatere a virușilor ransomware. Primul obstacol pentru virusul ransomware va fi Kaspersky Endpoint Security 10 cu cele mai recente actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computer (cu toate acestea, versiunile noi ar putea să nu fie oprite). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilități gratuite simultan: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Ele ajută la găsirea virusului și la preluarea parolei.

Dr. Web și ransomware

Acest laborator recomandă utilizarea programului lor antivirus, a cărui caracteristică principală este backupul fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Proprietarii produsului licențiat Dr. Web, funcția de a contacta suportul tehnic pentru ajutor este disponibilă. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.

ESET Nod 32 și ransomware

Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva pătrunderii virușilor în computer. În plus, laboratorul a lansat recent un utilitar gratuit cu baze de date actualizate - Eset Crysis Decryptor. Dezvoltatorii susțin că va ajuta în lupta chiar și împotriva celui mai nou ransomware.

Un virus codificator este un program de script de criptare a datelor, poate apărea la orice utilizator neatent. În fiecare zi, pe Internet apar varietăți mai noi și mai complexe de astfel de viruși de tip script. Scopul principal al codificatoarelor este, desigur, de a obține bani pentru decriptarea fișierelor. În acest articol, vom descrie în detaliu cum să protejăm informațiile, cum să decriptăm informațiile după un atac al unui astfel de program, cum programul pătrunde în computer.

Cel mai adesea, utilizatorii înșiși rulează astfel de programe, fără a acorda atenție informațiilor descărcate. Imaginează-ți cea mai populară situație: ești directorul unei companii mici în care angajații lucrează fără administrator de sistem, protecția computerului merge fără server și la un nivel foarte minim. Prin lista de corespondență, sosește o scrisoare cu arhiva Invoice.zip, presupus de la contraparte, în arhiva propriu-zisă fișierul Invoice-for-payment.js

Peste 50% dintre angajați nu vor înțelege că fișierul Invoice-for-payment.js nu va fi nici un fel de document, mai mult decât atât, partea principală poate pur și simplu să nu acorde atenție extensiilor de fișiere!

Cum să eliminați un virus care criptează și decriptează fișierele.

Când rulați fișierul Invoice-to-Pay.js, scriptul în modul foton descarcă și rulează de pe Internet un program gratuit și legal pentru criptarea fișierelor. Un program gratuit și legal înseamnă că nu va fi detectat de programele antivirus, deoarece nu există nimic ilegal în el, deoarece servește la protejarea legală a informațiilor. În plus, procesul de accesare a scriptului merge la nivelul fișierului Invoice-to-Pay.js, deoarece este rulat de la Administrator, iar acest script poate încărca și rula orice programe dorește. Extensiile de fișiere pentru criptare sunt configurate de către spammer în prealabil, iar scriptul criptează doar documentele de lucru sau bazele de date 1C. Criptarea fișierelor este foarte rapidă - în câteva secunde, înainte ca utilizatorul să aibă timp să-și dea seama ce se întâmplă cu computerul. După criptarea tuturor fișierelor găsite, programul șterge complet toate urmele și fișierele sale. Acest lucru se face astfel încât nimeni să nu știe cum au fost criptate fișierele, ceea ce face ca sarcina de decriptare să fie aproape imposibilă.

De ce majoritatea codificatoarelor nu pot fi decodificate

În prezent, majoritatea virușilor codificatori au algoritmi de criptare foarte complexi. Acesta este RSA1024 + AES256. De exemplu, să luăm aceste calcule. Dacă avem un computer cu 46 de teraflopi, care este cel mai puternic computer din lume creat vreodată de om, va dura mai mult de 6,4 ani pentru ca un astfel de computer doar să decripteze cheia RSA1024 (pe baza datelor oficiale că este nevoie în medie de 10 12). pentru a sparge o cheie MIPS-ani sau aproximativ 9,47 yottflops - 9,47*1024 flops). Dacă nu există un decodor pe encoder, poate dura 3067 de ani pentru procesul de decriptare prin forță brută pe un procesor în 3Ghz, iar acesta este 3000MHz x 4 x 8/1000000= 0,096 TFLOPS.

Ce să faci dacă codificatorul a intrat pe computer?

În primul rând, nu vă panicați, dacă programul de codificare încă își face treaba, trebuie să opriți urgent computerul de la sursa de alimentare, dar dacă programul a emis deja un mesaj text și au trecut mai mult de 20 de secunde, vom nu va reporni computerul până nu găsim corpul virusului. Urmărirea recomandărilor de mai jos vă poate crește semnificativ șansele de a descifra informații:

1. Corpul virusului.În primul rând, trebuie să găsiți un script și să înțelegeți exact la ce trebuie să lucrați, deoarece majoritatea virușilor se șterg singuri, munca expertului de decriptare a informațiilor începe cu restaurarea ultimelor fișiere șterse, în prezent există un număr mare de programe pentru recuperarea fișierelor șterse, de fapt, dacă informațiile nu au fost suprascrise, fișierul șters la nivelul partiției de sistem este marcat doar ca șters și puteți încerca să îl restaurați. De asemenea, vom avea nevoie de fișierul JS în sine, care a fost deschis de utilizator, analiza acestuia ne va ajuta să înțelegem ce programe au fost folosite pentru a cripta datele. Programul de recuperare a fișierelor șterse trebuie lansat pe un suport extern, astfel încât să se facă cât mai puține modificări pe hard disk.

2. Programe de decriptare

În acest moment, jucătorii importanți din companiile de antivirus au mai multe chei de la diverși viruși de criptare, dacă spammerul a folosit o versiune veche sau populară a codificatorului, este posibil ca fișierele dvs. să poată fi recuperate în continuare folosind utilitare pentru decomprimarea virușilor individuali, mai jos vom luați în considerare link-uri către astfel de programe:

Utilități de la Kaspersky Anti-Virus

http://support.kaspersky.com/viruses/disinfection?page=2

Decriptoare de la DrWeb

http://forum.drweb.com/index.php?showtopic=317113

3. Companii antivirus.

Unele companii de antivirus au realizat servicii speciale de decriptare pentru utilizatorii lor, există un grad foarte mic de probabilitate ca datele dumneavoastră să poată fi decriptate. De exemplu, aici este un link de decriptare de la DrWeb https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

4. Copii Shadow Volume

Puteți încerca să recuperați datele folosind un volum de copiere umbră. Puteți afla mai multe la link, dar rețineți că scripturile ransomware de cele mai multe ori nu părăsesc această opțiune.

5. Recuperarea datelor

Multe scripturi funcționează pe principiul copierii unui fișier, apoi criptării și apoi ștergerea originalului, motiv pentru care este foarte important să nu scrieți informații noi pe hard disk, ci programe de recuperare a datelor, de exemplu R-Studio sau Photorec trebuie rulat de pe un mediu de stocare extern conectat.

Decriptarea fișierelor de către un specialist cu experiență

Specialiștii companiei noastre au o vastă experiență în decriptarea fișierelor după lovirea scripturilor de codificare. Pentru a primi asistență de înaltă calificare, vă rugăm să ne contactați prin feedback sau telefoane de serviciu. Dacă nu sunteți sigur că aveți suficiente cunoștințe pentru a decripta, este foarte important înainte de sosirea unui specialist:

- nu reporniți computerul!

- nu redenumiți fișierele!

- nu descărcați date noi!

- nu închideți programul, lăsați totul așa cum este!

— nu ștergeți scrisoarea cu criptor din căsuța poștală!

Specialistii companiei noastre vor face toate operatiunile existente care sunt cunoscute doar de profesionistii din domeniul lor! Când apelați la un specialist, trebuie să înțelegeți că miracolele nu se întâmplă și în cele mai multe cazuri decodarea nu este posibilă. Dar noi vă vom ajuta întotdeauna:

1. Găsiți corpul virusului și trimiteți-l companiilor antivirus pentru analiză

2. Să trecem peste toate decodoarele cunoscute lumii

3. Vei fi sigur că nu a mai rămas niciun virus în computerul tău!

4. Vom configura, conform dorintei dvs., backup informatiilor si protectie impotriva unor astfel de virusi

Cum să te protejezi?

1. Stocați fișiere pe un server sau pe un spațiu de stocare în rețea

Majoritatea virușilor codificatori nu sunt proiectați să funcționeze într-o rețea locală, așa că recomandăm stocarea informațiilor pe un server sau stocare în rețea, atunci când apare un codificator, în majoritatea cazurilor, datele din rețea nu sunt afectate. Tot pe server, puteți face o copie de rezervă a datelor pe un mediu de stocare separat, de exemplu, o dată pe zi, unde accesul de pe computere va fi doar pentru citirea fișierelor.

2. Restricționați accesul la aplicațiile lansate

Dacă utilizatorul lucrează doar cu documente, nu are ce să acceseze administratorul, puteți preveni și lansarea de noi aplicații și scripturi prin AppLocker - acestea sunt caracteristici încorporate ale versiunilor extinse de Windows

3. Faceți copii de rezervă. Dacă nu există un server, faceți copii de rezervă pe o unitate de disc amovibil, acestea sunt unități flash USB sau hard disk-uri externe. Dacă aveți o copie de rezervă a tuturor datelor, veți fi mai calm pentru siguranța lor suplimentară!

Germania | Finlanda | Sankt-Petersburg | Conduce

Recent, cel mai de temut virus este un troian de criptare a fișierelor, recunoscut ca Trojan-Ransom.Win32.Rector, care criptează toate fișierele tale (*.mp3, *.doc, *.docx, *.iso, *.pdf, *. jpg, *.rar etc.). Problema este că este extrem de dificil să decriptezi astfel de fișiere și, fără anumite cunoștințe și abilități, este pur și simplu imposibil.

Procesul de infecție are loc într-un mod dificil. Sosește o scrisoare prin poștă cu un fișier atașat de tipul „document.pdf.exe”. Când acest fișier este deschis și, de fapt, când este lansat, virusul începe să funcționeze și să cripteze fișierele.

Fișierele criptate de viruși, ce ar trebui să fac?

Dacă ați detectat acțiunea acestui fișier, dar continuați să lucrați pe acest computer, atunci acesta criptează din ce în ce mai multe fișiere. O extensie precum „Această adresă de e-mail este protejată de spamboți, aveți nevoie de JavaScript activat pentru a o vizualiza” este adăugată fișierelor criptate (numele poate fi diferit) și este adăugat un fișier de Internet sau text precum „Decrypt_Files.html” la aproape toate folderele.” în care atacatorii descriu cum să obțină bani de la tine pentru munca lor murdară. Iată textul fișierului real, de pe computerul infectat al clienților mei:

Toate documentele dumneavoastră au fost criptate cu unul dintre cei mai puternici algoritmi. Este imposibil să decriptați fișierele fără a cunoaște parola unică pentru computerul dvs.! Nu schimbați numele, structura fișierelor și nu încercați să decriptați fișierele cu diverse decriptoare postate pe Internet, aceste acțiuni pot face imposibilă restaurarea fișierelor dvs.

Dacă trebuie să vă asigurați că fișierele dvs. pot fi decriptate, ne puteți trimite un e-mail — Această adresă de e-mail este protejată de spamboți, aveți nevoie de activarea JavaScript-ului pentru ao vizualiza, orice fișier și vă vom returna versiunea originală.

Costul decriptorului pentru a decripta fișierele dvs. este de 0,25 BTC (Bitcoin) Portofelul dvs. Bitcoin pentru plată este 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF

De unde să cumpărați bitcoin puteți găsi pe forum - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Vă recomandăm astfel de schimbătoare precum https://wmglobus.com/ , https:// orangeexchangepro.com /De asemenea, este posibil să plătiți 3500 de ruble portofelului qiwi, pentru a obține numărul portofelului trebuie să ne contactați prin e-mail — Această adresă de e-mail este protejată de spamboți, aveți nevoie de activarea JavaScript-ului pentru ao vizualiza

Anterior, singura salvare de la acest virus era ștergerea tuturor fișierelor infectate și restaurarea lor dintr-o copie de rezervă stocată pe o unitate externă sau pe o unitate flash. Cu toate acestea, deoarece puțini oameni fac copii de rezervă, cu atât mai puțin le actualizează în mod regulat, informațiile s-au pierdut pur și simplu. Opțiunile de a plăti ransomware pentru a decripta fișierele dvs. sfârșesc în mare parte într-o pierdere de bani și sunt doar o înșelătorie de bani.

Acum laboratoarele antivirus dezvoltă modalități și programe pentru a scăpa de acest virus. Kaspersky Lab a dezvoltat un utilitar numit RectorDecryptor care vă permite să decriptați fișierele infectate. Puteți descărca programul RectorDecryptor de pe acest link. Apoi trebuie să îl rulați, faceți clic pe butonul „Începe scanarea”, selectați fișierul criptat, după care programul va decripta automat toate fișierele criptate de acest tip. Fișierele sunt restaurate în aceleași foldere în care au fost fișierele criptate. După aceea, trebuie să ștergeți fișierele criptate. Cel mai simplu mod de a face acest lucru este cu următoarea comandă introdusă în linia de comandă: del "d:\*.AES256" /f /s (unde ar trebui să fie extensia de virus în loc de AES256). De asemenea, este necesar să ștergeți fișierele de e-mail rău intenționate care sunt împrăștiate pe tot computerul. Puteți face acest lucru cu următoarea comandă: del"d:\ decrypt_files.html » /f /s tastat pe linia de comandă.

Mai întâi trebuie să vă protejați computerul de posibilitatea răspândirii unui virus. Pentru a face acest lucru, trebuie să curățați fișierele de pornire suspecte la pornire, să dezinstalați programe suspecte, să ștergeți folderele temporare și cache-urile browserului (puteți folosi utilitarul CCleaner pentru aceasta).

Totuși, trebuie menționat că această metodă de decriptare îi poate ajuta doar pe cei al căror virus a fost deja procesat de Kaspersky Lab și este inclus în listă în utilitarul RectorDecryptor. Dacă acesta este un virus nou care nu este încă inclus în lista de viruși neutralizați, atunci va trebui să trimiteți fișierele infectate la laboratoarele Kaspersky, Dr.Web sau Nod32 pentru decriptare sau să le restaurați dintr-o copie de rezervă (ceea ce este mult mai mare). Mai uşor).

Dacă pașii pentru neutralizarea virușilor și tratarea computerului sunt o anumită dificultate, atunci pentru a nu dăuna și mai mult sau a deteriora sistemul de operare (ceea ce poate duce la o reinstalare completă a Windows), este mai bine să contactați un specialist care o va face profesional. Instrumentele moderne permit ca toate aceste acțiuni să fie efectuate de la distanță oriunde în lume unde există o conexiune la Internet.

Dacă computerul este infectat cu un virus ransomware, trebuie să reinstalați Windows.

Acest lucru va elimina complet virusul ransomware de pe computer.

Vrăjitorii noștri pot reinstala Windows în Ufa și pot încerca să recupereze fișierele criptate

Sunați la 8-927-237-48-09

Viruși de criptare, sau într-un alt fel sunt numiți și - viruși criptografici - un tip special de software care criptează toate fișierele de pe un hard disk. Ce se înțelege prin termenul „criptare”? Când sunt criptate, toate fișierele se transformă într-un set de zerouri și unu, adică reprezintă un set de informații fără sens care nu poate fi deschis de niciun program.

Aceasta înseamnă că, după criptare, toate documentele Word, Excel și alte documente de lucru nu pot fi deschise și accesate. Și dacă aceste dosare conțin lucrarea dvs. de termen, pe care ați făcut-o cu sârguință toată luna? Nu va exista nicio limită pentru indignarea de la criptarea datelor dvs., vă spun. Și dacă ținem cont de faptul că majoritatea studenților își stochează munca mai des într-o singură copie - pe un computer de lucru, atunci după criptarea hard disk-ului acelui computer de lucru, studentul pierde toate evoluțiile de pe documente. Nu mă cert, ar putea fi norocos dacă o copie a cursului a rămas pe unitatea flash, cu toate acestea, există încă un fapt foarte complicat cu privire la funcționarea virușilor ransomware.

Ca orice virus, funcțiile pe care le îndeplinește depind direct de dezvoltatorul acestui virus. Ce înțeleg prin funcții? Vă dau un exemplu.

După criptarea hard disk-ului și a tuturor fișierelor de pe acesta, virusul nu se dă imediat. Adică, continui în liniște să-ți deschizi toate documentele și să le schimbi. În același timp, în timpul editării, utilizați o unitate flash, pe care sunt disponibile și aceste documente. Ce face virusul de criptare în acest caz? Virusul monitorizează toate dispozitivele pe care le conectați la porturile USB: unități flash, dispozitive media - și criptează treptat informațiile de pe acestea. După ceva timp, virusul activează și blochează accesul la toate fișierele de pe computer, inclusiv dacă a reușit să cripteze datele de pe unitățile flash.

Ce avem in acest caz? Toate documentele, lucrările de curs, lucrările de diplomă și alte documente sunt criptate și nu există acces la ele.

Ce trebuie să faceți pentru a nu prinde virusul ransomware?

Răspunsul este foarte simplu - întoarceți-vă capul și nu deschideți toate fișierele la rând. Instalarea unui antivirus ar putea ajuta, de asemenea. Dar trebuie să țineți cont de faptul obligatoriu că antivirusul trebuie actualizat constant. Acesta este un punct foarte important, deoarece orice antivirus care nu este actualizat își pierde relevanța.

O varietate de virusuri de criptare poate fi reprezentată de exemplul celui mai popular tip al său - pirații somalezi. Dezvoltatorul virusului ransomware are simțul umorului, când virusul criptează toate datele, pe desktop apare o fotografie, care înfățișează pirații moderni pe o barcă și un mesaj care spune că pirații somalezi ți-au capturat iahtul - un computer.

Virusul ransomware a criptat fișierele de pe computer, ce să faci, cum să vindeci și cum să-l remediezi?

Și nu vă vor da fișierele până când nu plătiți răscumpărarea. Răscumpărarea este plătită folosind sisteme de plată populare.

Lasă-mă să-ți spun chiar acum, nu trebuie să plătești. Este foarte probabil ca fișierele să fie decriptate. Decriptarea poate apărea dacă virusul de criptare este de o versiune veche. Aceasta înseamnă că companiile de antivirus au găsit deja o modalitate de a decripta fișierele care au fost criptate de acest virus.

Ce trebuie să faceți dacă fișierele sunt criptate de un virus

În primul rând, mergem pe site-ul companiei antivirus Doctor Web. Această companie pune adesea la dispoziția publicului utilități speciale care vă permit să decriptați fișierele. Dar există un dar. Trebuie să aveți licență pentru antivirus Doctor Web, atunci angajații acestei companii vă vor trimite acest utilitar. Dar, așa cum am spus, adesea aceste utilități sunt disponibile pe site-ul companiei antivirus Doctor Web, de unde le puteți descărca și încerca să vă decriptați fișierele.

De ce anume „încercați să descifrez”?

Deoarece noile versiuni ale virușilor ransomware criptează fișierele folosind un algoritm special care adesea nu poate fi decriptat. Ce să faci în acest caz? În acest caz, trebuie să copiați toate fișierele criptate pe un mediu separat: unitate flash, hard disk, DVD, CD. Și așteptați până când companiile de antivirus dezvoltă un utilitar pentru decriptarea fișierelor care au fost criptate de acest virus.

Ce să faceți în continuare când toate fișierele criptate sunt pe un dispozitiv separat

După ce ați copiat fișierele criptate pe o unitate flash sau pe un hard disk, trebuie să formatați complet hard diskul computerului și să instalați din nou Windows. După instalarea Windows, trebuie să instalați un antivirus care va fi actualizat și vă va proteja fișierele de virușii ransomware.

În acest caz, puteți contacta compania noastră la telefon 8-927-237-48-09 și puteți utiliza serviciile de asistență informatică.

Tratarea virușilor ransomware

Recent, multe probleme au fost create de virușii de criptare, al căror tratament prin mijloace tradiționale adesea nu ajută. Ransomware-ul care a reușit să se infiltreze în sistem criptează fișierele anumitor extensii. De obicei, virușii de acest tip criptează fișierele cu extensii .xls .doc și altele similare. Astfel de fișiere conțin de obicei cele mai necesare informații pentru victimă.

Servicii informatice

Decriptarea fișierelor depășește puterea unui antivirus convențional. În funcție de tipul de virus, pot fi utilizate diferite metode de criptare. Eliminarea virusului în sine nu garantează eliberarea fișierelor din cifr. Instrumente speciale sunt folosite pentru a dezinfecta fișierele criptate. Metodele de tratare a virușilor ransomware sunt oferite de mari laboratoare antivirus. Unele dintre metodele de tratament, le vom lua în considerare mai jos.

Tratamentul Kaspersky este oferit sub forma a două utilitare: XoristDecryptor și RectorDecryptor, este suficient să le rulați și ele pot ajuta să faceți față infecției. Dacă fișierele criptate nu au putut fi vindecate, atunci programele vor oferi să trimită un fișier necunoscut pentru studiu, iar cu următoarele baze de date utilitare, va fi eliberat un decriptor adecvat care poate rezolva problema.

Dacă sunteți fericit deținător al unei licențe pentru produse antivirus de la dr.web, puteți trimite fișiere criptate pentru analiză prin intermediul acestui formular. .

Fișierele dvs. au fost criptate - ce ar trebui să fac?

Dr.web, în ​​plus, vă sfătuiește cu insistență să depuneți o plângere la poliție.

Cel mai bun mod de a vă proteja de un virus este să preveniți infectarea acestuia. Există mai multe reguli de bază: nu neglijați antivirusul și folosiți toate măsurile de protecție de bază. Am scris în detaliu despre principalele măsuri de protecție în acest articol - vă recomandăm cu căldură să-l studiați. De asemenea, trebuie să aveți grijă de copiile de rezervă ale datelor importante. Astfel de copii sunt cel mai bine salvate pe un hard disk extern care nu va fi conectat permanent la computer.

Trebuie recunoscut faptul că fișierele criptate de unii viruși ransomware nu pot fi vindecate. Și aceasta nu este părerea noastră, ci a specialiștilor companiilor antivirus. De exemplu, fișierele de viruși din familia GpCode nu pot fi decriptate fără o cheie privată, tot ce rămâne este să plătiți atacatorului cererea și să sperați să obțineți un decriptor. Sau așteptați până când unul dintre analiștii antivirus poate crea un decriptor.

Pentru a face o cerere

RectorDecryptor este un instrument util pentru eliminarea programelor malware Trojan-Ransom.Win32.Rector și decriptarea fișierelor criptate de acest troian

Descrierea programului

RectorDecryptor este un utilitar de la Kaspersky Lab conceput pentru a decripta fișierele criptate de malware-ul Trojan-Ransom.Win32.Rector.

Restaurarea fișierelor după un virus ransomware

Programe malware Trojan-Ransom.Win32.Rector utilizate de escroci pentru a modifica neautorizat datele de pe computerul victimei, astfel încât să fie imposibilă lucrul cu acestea sau să blocheze funcționarea normală a computerului. După ce datele sunt „luate ostatice” (blocate), utilizatorului i se cere o răscumpărare. Victima trebuie să transfere atacatorului suma anunțată în cerere, după care atacatorul promite că va trimite un program de restabilire a datelor sau de funcționare normală a computerului.

Pentru a vă decripta datele, descărcați arhiva rectordecryptor.zip, dezarhivați-o în orice locație și rulați fișierul RectorDecryptor.exe.

Hackerii ransomware sunt foarte asemănători cu șantajatorii obișnuiți. Atât în ​​lumea reală, cât și în mediul cibernetic, există un singur obiect de atac sau de grup. Este fie furat, fie făcut inaccesibil. În plus, făptuitorii folosesc anumite mijloace de comunicare cu victimele pentru a le transmite revendicările. Escrocii informatici aleg de obicei doar câteva formate pentru o notă de răscumpărare, dar copii ale acesteia pot fi găsite în aproape orice locație de memorie de pe un sistem infectat. În cazul familiei de programe spyware cunoscută sub numele de Troldesh sau Shade, escrocii adoptă o abordare diferită atunci când contactează o victimă.

Să aruncăm o privire mai atentă la această tulpină de virus de criptare, care se adresează unui public vorbitor de limbă rusă. Cele mai multe infecții similare detectează aspectul tastaturii pe computerul atacat, iar dacă una dintre limbi este rusă, intruziunea se oprește. Cu toate acestea, ransomware XTBL promiscuu: din păcate pentru utilizatori, atacul este desfășurat indiferent de locația lor geografică și preferința de limbă. O întruchipare clară a acestei versatilități este un avertisment care apare ca fundal pe desktop, precum și un fișier TXT cu instrucțiuni pentru plata răscumpărării.

Virusul XTBL este de obicei răspândit prin spam. Mesajele amintesc de scrisori de la branduri cunoscute, sau pur și simplu atrag atenția, întrucât subiectul mesajului folosește expresii precum „Urgent!” sau „Documente financiare importante”. Structura de phishing va funcționa atunci când destinatarul unui astfel de e-mail. mesajul va descărca un fișier ZIP care conține cod JavaScript sau un obiect Docm cu o macrocomandă potențial vulnerabilă.

După ce a executat algoritmul de bază pe computerul compromis, troianul ransomware trece la căutarea datelor care ar putea fi de valoare pentru utilizator. În acest scop, virusul scanează memoria locală și externă, comparând simultan fiecare fișier cu un set de formate selectate în funcție de extensia obiectului. Toate fișierele .jpg, .wav, .doc, .xls, precum și multe alte obiecte, sunt criptate folosind algoritmul criptografic bloc simetric AES-256.

Există două aspecte ale acestui efect dăunător. În primul rând, utilizatorul pierde accesul la datele importante. În plus, numele fișierelor sunt codificate profund, rezultând un set fără sens de caractere hexazecimale ca rezultat. Tot ceea ce unește numele fișierelor afectate este extensia xtbl adăugată acestora, adică. numele amenințării cibernetice. Numele fișierelor criptate au uneori un format special. În unele versiuni de Troldesh, numele obiectelor criptate pot rămâne neschimbate, iar la sfârșit este adăugat un cod unic: [email protected], [email protected], sau [email protected]

Evident, atacatorii, după ce au introdus adrese de e-mail. e-mail direct în numele fișierelor, indicați victimelor cum să comunice. E-mailul este listat și în altă parte, și anume în nota de răscumpărare conținută în fișierul „Readme.txt”. Astfel de documente Notepad vor apărea pe Desktop, precum și în toate folderele cu date codificate. Mesajul cheie este:

„Toate fișierele au fost criptate. Pentru a le decripta, trebuie să trimiteți codul: [Civrul dvs. unic] la adresa de e-mail [email protected] sau [email protected]În continuare, veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la nimic, cu excepția pierderii irecuperabile de informații”

Adresa de e-mail se poate schimba în funcție de grupul de ransomware care răspândește virusul.

În ceea ce privește calea de urmat, în termeni generali, escrocii răspund recomandând o răscumpărare, care poate fi de 3 bitcoini sau o altă sumă din acel interval. Vă rugăm să rețineți că nimeni nu poate garanta că hackerii își vor ține promisiunea chiar și după ce vor primi banii. Pentru a restabili accesul la fișierele .xtbl, utilizatorii afectați sunt sfătuiți să încerce mai întâi toate metodele alternative disponibile. În unele cazuri, datele pot fi puse în ordine utilizând serviciul de copiere instant (Volume Shadow Copy), furnizat direct în Windows, precum și programe de decriptare și recuperare a datelor de la furnizori de software terți.

Eliminați ransomware-ul XTBL cu un agent de curățare automat

O metodă extrem de eficientă de a trata malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează minuțiozitatea detectării oricăror componente ale virusului, eliminarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer cu ajutorul acestuia.

  1. . După lansarea software-ului, faceți clic pe butonul Porniți scanarea computerului(Incepe scanarea).
  2. Software-ul instalat va furniza un raport privind amenințările detectate în timpul scanării. Pentru a elimina toate amenințările găsite, selectați opțiunea Repara amenințări(Elimina amenintarile). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate cu extensia .xtbl

După cum sa menționat, ransomware-ul XTBL blochează fișierele cu un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu un val de baghetă magică - dacă nu țineți cont de plata unei răscumpărări nemaiauzite. Dar unele metode pot deveni cu adevărat o salvare care vă va ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Decryptor - program de recuperare automată a fișierelor

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare exagerat vizează astfel copii ale acestora. Acest lucru face posibilă instrumentele software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor, a cărei eficacitate a fost confirmată de mai multe ori.

Copii umbră de volum

Abordarea se bazează pe o procedură de backup a fișierelor bazată pe Windows, care se repetă la fiecare punct de restaurare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu se vor reflecta în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele non-buyout. Dacă procedura de salvare a datelor pe un server extern a fost folosită înainte ca ransomware-ul să atace computerul dvs., pentru a restaura fișierele criptate, trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale virusului ransomware XTBL

Curățarea manuală este plină de riscul de a lipsi bucăți de ransomware care pot evita eliminarea sub formă de obiecte ascunse ale sistemului de operare sau intrări din registru. Pentru a elimina riscul conservării parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând o suită universală de antivirus de încredere.

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copiile lor criptate. Practic, sunt viruși. Unul dintre cele mai periculoase din această serie este criptorul XTBL. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se recupereze informațiile deteriorate?

Ce este un criptator XTBL și cum intră într-un computer

Dacă găsiți fișiere cu nume lung și extensia .xtbl pe computer sau laptop, atunci puteți spune cu încredere că un virus periculos, criptatorul XTBL, a intrat în sistem. Afectează toate versiunile de sistem de operare Windows. Este practic imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid, în care selectarea cheii este pur și simplu imposibilă.

Directoarele de sistem sunt pline cu fișiere infectate. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Criptorul XTBL lansat în Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situate pe computer. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase plasate în folderele utilizatorului devin inaccesibile.


Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare

Sub influența criptorului XTBL, extensia fișierului se modifică. Utilizatorul vede acum o pictogramă foaie goală și un titlu lung care se termină în .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru recuperarea informațiilor criptate, care necesită plată pentru deblocare. Acesta nu este altceva decât șantaj pentru răscumpărare.


Acest mesaj este afișat în fereastra „desktop” a computerului

Distribuția ransomware-ului XTBL are loc de obicei prin e-mail. E-mailul conține atașamente sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru ca mesajul, care spune că tu, de exemplu, ai câștigat un milion, să fie deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca virusul să ajungă în sistemul de operare.

Este posibil să recuperați informații

Puteți încerca să decriptați informațiile folosind utilitare speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea recupera fișierele deteriorate.

În prezent, ransomware-ul XTBL reprezintă o amenințare clară pentru toate computerele cu Windows instalat. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea virusului și restaurarea fișierelor criptate

Există diferite metode și programe care vă permit să lucrați cu criptorul XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Întreruperea infecției computerului

Dacă ați avut norocul să observați începutul apariției fișierelor cu extensia .xtbl pe computer, atunci procesul de infecție ulterioară este destul de posibil să fie întrerupt.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui deschise într-un sistem de operare lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, virusul este mult mai ușor de eliminat, deoarece numărul minim de procese de sistem necesare pentru a porni Windows este conectat.

Pentru a porni în modul sigur în Windows XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, reporniți sistemul de operare în timp ce apăsați tasta Shift. În timpul procesului de lansare, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.


Selectarea modului sigur cu încărcarea driverelor de rețea

Kaspersky Virus Removal Tool recunoaște perfect criptorul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după descărcarea utilitarului. După finalizarea scanării, ștergeți fișierele rău intenționate detectate.


Pornirea unei scanări a computerului pentru prezența unui criptator XTBL în sistemul de operare Windows cu eliminarea ulterioară a virusului

Dr.Web CureIt!

Algoritmul pentru verificarea și eliminarea unui virus nu este practic diferit de versiunea anterioară. Scanați toate unitățile logice folosind utilitarul. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Dezinfectați”.


Curățarea fișierelor rău intenționate după rularea unei scanări Windows

Malwarebytes Anti-malware

Programul va efectua o verificare pas cu pas a computerului dumneavoastră pentru coduri rău intenționate și le va distruge.

  1. Instalați și rulați utilitarul Anti-malware.
  2. Selectați „Run scan” în partea de jos a ferestrei care se deschide.
  3. Așteptați ca procesul să se termine și bifați casetele cu fișiere infectate.
  4. Sterge selectia.


Eliminarea fișierelor de criptare XTBL rău intenționate detectate în timpul unei scanări

Script de decriptare online de la Dr.Web

Pe site-ul oficial al Dr.Web, în ​​secțiunea de asistență, există o filă cu un script de decriptare a fișierelor online găzduit. Trebuie avut în vedere că numai acei utilizatori pe computerele cărora este instalat antivirusul acestui dezvoltator vor putea folosi decriptorul online.


Citiți instrucțiunile, completați tot ce este necesar și faceți clic pe butonul „Trimite”.

Utilitar de decriptare RectorDecryptor de la Kaspersky Lab

Decriptarea fișierelor este gestionată și de Kaspersky Lab. Pe site-ul oficial, puteți descărca utilitarul RectorDecryptor.exe pentru Windows Vista, 7, 8, urmând linkurile de meniu „Suport - Vindecare și decriptare fișiere - RectorDecryptor - Cum să decriptați fișierele”. Rulați programul, executați o verificare și apoi ștergeți fișierele criptate selectând elementul corespunzător.


Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.


ShadowExplorer pentru a recupera fișiere criptate

Programul este o opțiune portabilă, poate fi descărcat de pe orice media.


QPhotoRec

Programul este special conceput pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și revine la starea inițială toate informațiile pierdute.

QPhotoRec este gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar nu este greu să-ți dai seama de setări, interfața este intuitivă.

  1. Rulați programul.
  2. Marcați unitățile logice cu informații criptate.
  3. Faceți clic pe butonul Formate de fișiere și OK.
  4. Utilizați butonul Răsfoire situat în partea de jos a ferestrei deschise pentru a selecta o locație pentru a salva fișierele și a începe procedura de recuperare făcând clic pe Căutare.


QPhotoRec recuperează fișierele șterse de criptor XTBL și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

  1. Nu lua niciodată măsuri de care nu ești complet sigur. Este mai bine să invitați un specialist de la centrul de service sau să duceți singur computerul acolo.
  2. Nu deschide e-mailuri de la expeditori necunoscuți.
  3. În niciun caz nu urmați exemplul răufăcătorilor-șantajași, acceptând să le transferați bani. Cel mai probabil, acest lucru nu va da un rezultat.
  4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Poate că va fi posibil să găsim o soluție care să corecteze situația.

Prevenirea

Încercați să instalați o protecție fiabilă împotriva pătrunderii criptorului XTBL și a virușilor ransomware similari pe computer. Aceste programe includ:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

În ciuda faptului că toate sunt în limba engleză, lucrul cu astfel de utilități este destul de simplu. Rulați programul și selectați nivelul de protecție din setări.


Lansarea aplicației și selectarea nivelului de protecție

Dacă ai avut de a face cu un virus ransomware care criptează fișierele de pe computerul tău, atunci, desigur, nu ar trebui să disperi imediat. Încercați să utilizați metodele sugerate pentru recuperarea informațiilor corupte. Adesea, acest lucru dă un rezultat pozitiv. Nu utilizați programe neverificate de la dezvoltatori necunoscuți pentru a elimina ransomware-ul XTBL. La urma urmei, acest lucru nu poate decât să agraveze situația. Dacă este posibil, instalați pe computer unul dintre programele care împiedică funcționarea virusului și efectuați o scanare programată regulată a Windows pentru procese rău intenționate.