Meniul
AcasăBrowsere

Cum să eliminați fișierele criptate de un virus. Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware. Kaspersky Lab oferă alte utilități

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copii criptate ale acestora. În esență, aceștia sunt viruși. Ransomware-ul XTBL este considerat unul dintre cele mai periculoase din această serie. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se restabilească informațiile deteriorate?

Ce este ransomware-ul XTBL și cum intră acesta în computer?

Dacă găsiți fișiere pe computer sau laptop cu un nume lung și extensia .xtbl, atunci puteți spune cu încredere că un virus periculos a intrat în sistemul dvs. - un ransomware XTBL. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid în care selectarea unei chei este pur și simplu imposibilă.

Directoarele de sistem sunt pline cu fișiere infectate. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Un ransomware XTBL care rulează pe Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situată pe un computer. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase aflate în folderele utilizatorului devin inaccesibile.


Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare

Sub influența ransomware-ului XTBL, extensia fișierului se modifică. Acum utilizatorul vede o pictogramă foaie goală și un titlu lung care se termină în .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru restaurarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj pentru a cere răscumpărare.


Acest mesaj apare în fereastra de desktop a computerului dvs.

Ransomware-ul XTBL este de obicei distribuit prin e-mail. E-mailul conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru a se asigura că mesajul, care spune că tu, de exemplu, ai câștigat un milion, este deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca virusul să ajungă în sistemul de operare.

Este posibil să recuperați informații?

Puteți încerca să decriptați informațiile folosind utilitare speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea restaura fișierele deteriorate.

În prezent, ransomware-ul XTBL reprezintă o amenințare incontestabilă pentru toate computerele care rulează sistemul de operare Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Există diferite metode și programe care vă permit să lucrați cu criptarea XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Oprirea unei infecții la computer

Dacă aveți norocul să observați că fișierele cu extensia .xtbl încep să apară pe computer, atunci este foarte posibil să întrerupeți procesul de infecție ulterioară.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui să fie deschise într-un sistem de operare care a fost lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows este conectat.

Pentru a încărca modul sigur în Window XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, ar trebui să reporniți sistemul de operare în timp ce apăsați tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.


Selectarea modului sigur cu încărcarea driverelor de rețea

Programul Kaspersky Virus Removal Tool recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după descărcarea utilitarului. Odată ce scanarea este finalizată, ștergeți toate fișierele rău intenționate găsite.


Rularea unei scanări a computerului pentru prezența ransomware-ului XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru verificarea și eliminarea unui virus nu este practic diferit de versiunea anterioară. Utilizați utilitarul pentru a scana toate unitățile logice. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Decontaminare”.


Neutralizați fișierele rău intenționate după scanarea Windows

Malwarebytes Anti-malware

Programul va efectua o verificare pas cu pas a computerului pentru prezența codurilor rău intenționate și le va distruge.

  1. Instalați și rulați utilitarul Anti-malware.
  2. Selectați „Run scan” în partea de jos a ferestrei care se deschide.
  3. Așteptați finalizarea procesului și bifați casetele cu fișiere infectate.
  4. Ștergeți selecția.


Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Script de decriptare online de la Dr.Web

Pe site-ul oficial Dr.Web în secțiunea de asistență există o filă cu un script pentru decriptarea fișierelor online. Vă rugăm să rețineți că numai acei utilizatori care au un antivirus de la acest dezvoltator instalat pe computerele lor vor putea folosi decriptorul online.


Citiți instrucțiunile, completați tot ce este necesar și faceți clic pe butonul „Trimite”.

Utilitar de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial puteți descărca utilitarul RectorDecryptor.exe pentru versiunile de Windows Vista, 7, 8 urmând linkurile de meniu „Suport - Dezinfectare și decriptare fișiere - RectorDecryptor - Cum să decriptați fișierele”. Rulați programul, efectuați o scanare și apoi ștergeți fișierele criptate selectând opțiunea corespunzătoare.


Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.


ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.


QPhotoRec

Programul este creat special pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și readuce toate informațiile pierdute la starea inițială.

QPhotoRec este gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar înțelegerea setărilor nu este deloc dificilă, interfața este intuitivă.

  1. Lansa programul.
  2. Marcați unitățile logice cu informații criptate.
  3. Faceți clic pe butonul Formate de fișiere și OK.
  4. Folosind butonul Răsfoire situat în partea de jos a ferestrei deschise, selectați locația pentru a salva fișierele și începeți procedura de recuperare făcând clic pe Căutare.


QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

  1. Nu faceți niciodată acțiuni de care nu sunteți complet sigur. Este mai bine să invitați un specialist de la centrul de service sau să duceți singur computerul acolo.
  2. Nu deschideți mesaje de e-mail de la expeditori necunoscuți.
  3. În niciun caz nu trebuie să urmați exemplul șantajatorilor acceptând să le transferați bani. Cel mai probabil, acest lucru nu va da niciun rezultat.
  4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Este posibil să găsiți o soluție care să corecteze situația.

Prevenirea

Încercați să instalați o protecție fiabilă împotriva pătrunderii ransomware-ului XTBL și a virușilor ransomware similari pe computer. Astfel de programe includ:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

În ciuda faptului că toate sunt în limba engleză, lucrul cu astfel de utilități este destul de simplu. Lansați programul și selectați nivelul de protecție din setări.


Lansarea programului și selectarea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele sugerate pentru restaurarea informațiilor deteriorate. Adesea, acest lucru dă un rezultat pozitiv. Nu utilizați programe neverificate de la dezvoltatori necunoscuți pentru a elimina XTBL ransomware. La urma urmei, acest lucru nu poate decât să înrăutățească situația. Dacă este posibil, instalați pe computer unul dintre programele care împiedică rularea virusului și efectuați scanări regulate de rutină ale Windows pentru procese rău intenționate.

Călătorind în diferite orașe și orașe, o persoană, vrând-nevrând, întâlnește surprize care pot fi atât plăcute, cât și provoacă disconfort sporit și durere severă.

Aceleași emoții pot aștepta un utilizator care este interesat să „călătorească” pe Internet. Deși, uneori, surprizele neplăcute zboară în e-mail pe cont propriu sub formă de scrisori și documente amenințătoare, pe care utilizatorii încearcă să le citească cât mai curând posibil, căzând astfel în rețelele escrocilor.

Pe Internet, puteți întâlni un număr incredibil de viruși programați să îndeplinească mai multe sarcini negative pe computerul dvs., așa că este important să învățați să distingeți între linkurile sigure pentru descărcarea fișierelor și documentelor și să evitați cele care reprezintă un pericol clar pentru computerul dvs.

Dacă ați devenit unul dintre acei oameni nefericiți care au trebuit să experimenteze consecințele negative ale unei intervenții cu virus, nu vă veți îndoi că este util să colectați și ulterior să sistematizați informații despre cum să preveniți infectarea computerului dvs.

Virușii au apărut imediat ce a apărut tehnologia computerizată. În fiecare an există din ce în ce mai multe varietăți de viruși, așa că este ușor pentru utilizator să distrugă doar purtătorul de virus cunoscut de mult timp și a fost găsită o metodă 100% de distrugere a acestuia.

Este mult mai dificil pentru utilizator să „lupte” împotriva purtătorilor de viruși care apar doar în rețea sau sunt însoțiți de acțiuni distructive la scară largă.

Metode de recuperare a fișierelor

Într-o situație în care un virus are fișiere criptate pe un computer, ce să faci este o întrebare cheie pentru mulți. Dacă acestea sunt fotografii de amatori, a căror pierdere nici nu doriți să o acceptați, puteți căuta modalități de a rezolva problema pe o perioadă lungă de timp. Cu toate acestea, dacă un virus are fișiere criptate care sunt extrem de importante pentru activitățile de afaceri, dorința de a-ți da seama ce trebuie să faci devine incredibil de mare și, de asemenea, vrei să faci măsuri eficiente suficient de repede.

Restaurarea unei versiuni anterioare

Dacă protecția sistemului a fost activată în prealabil pe computerul dvs., atunci chiar și în cazurile în care un „criptor invitat neinvitat” a reușit deja să vă preia, veți putea în continuare să restaurați documentele, știind ce să faceți în acest caz.

Sistemul vă va ajuta să recuperați documentele folosind copiile umbră ale acestora. Desigur, troianul își îndreaptă eforturile pentru a elimina astfel de copii, dar virușii nu sunt întotdeauna capabili să efectueze astfel de manipulări, deoarece nu au drepturi administrative.

Pasul 1

Deci, este ușor să restaurați un document folosind copia anterioară. Pentru a face acest lucru, faceți clic dreapta pe fișierul care se dovedește a fi deteriorat. În meniul care apare, selectați „Proprietăți”. Pe ecranul computerului va apărea o fereastră cu patru file, trebuie să mergeți la ultima filă „Versiuni anterioare”.

Pasul 2

Toate copiile umbre disponibile ale documentului vor fi listate în fereastra de mai jos; tot ce trebuie să faceți este să selectați opțiunea care vi se potrivește, apoi să faceți clic pe butonul „Restaurare”.

Din păcate, o astfel de „ambulanță” nu poate fi utilizată pe un computer unde protecția sistemului nu a fost activată în prealabil. Din acest motiv, vă recomandăm să-l porniți în prealabil, pentru a nu vă „mușca din coate” ulterior, reproșându-vă nesupunere vădită.

Pasul 3

De asemenea, este ușor să activați protecția sistemului pe computer; nu vă va lua mult timp. Prin urmare, alunga-ți lenea și încăpățânarea și ajută-ți computerul să devină mai puțin vulnerabil la troieni.

Faceți clic dreapta pe pictograma „Computer” și selectați „Proprietăți”. În partea stângă a ferestrei care se deschide va fi o listă în care găsiți linia „Protecția sistemului”, faceți clic pe ea.

Acum se va deschide din nou o fereastră în care vi se va cere să selectați un disc. Cu unitatea locală „C” selectată, faceți clic pe butonul „Configurare”.

Pasul 4

Acum se va deschide o fereastră care oferă opțiuni de recuperare. Trebuie să fiți de acord cu prima opțiune, care implică restaurarea setărilor sistemului și a versiunilor anterioare ale documentelor. În cele din urmă, faceți clic pe butonul tradițional „Ok”.

Dacă ați făcut toate aceste manipulări în avans, atunci chiar dacă un troian vă vizitează computerul și vă criptează fișierele, veți avea perspective excelente pentru a recupera informații importante.

Cel puțin nu veți intra în panică când descoperiți că toate fișierele de pe computer sunt criptate; în acest caz, veți ști deja exact ce să faceți.

Utilizarea Utilităților

Multe companii de antivirus nu lasă utilizatorii în pace cu problema virușilor care criptează documentele. Kaspersky Lab și Doctor Web au dezvoltat utilitare speciale pentru a ajuta la rezolvarea unor astfel de situații problematice.

Deci, dacă găsiți urme teribile ale unei vizite de ransomware, încercați să utilizați utilitarul Kaspersky RectorDecryptor.

Rulați utilitarul pe computer, specificați calea către fișierul care a fost criptat. Nu este greu de înțeles ce ar trebui să facă direct utilitatea. Folosind mai multe opțiuni, încearcă să găsească cheia pentru a decripta fișierul. Din păcate, o astfel de operațiune poate fi destul de lungă și nu este în intervalul de timp pentru mulți utilizatori.

În special, se poate întâmpla ca să fie nevoie de aproximativ 120 de zile pentru a selecta cheia corectă. În același timp, trebuie să înțelegeți că nu este recomandat să întrerupeți procesul de decriptare, așa că nu trebuie să opriți computerul.

Kaspersky Lab oferă și alte utilități:

  • XoristDecryptor;
  • RakhniDecryptor;
  • Ransomware Decryptor.

Aceste utilitare vizează rezultatele activităților rău intenționate ale altor troieni ransomware. În special, utilitarul Ransomware Decryptor este încă necunoscut pentru mulți, deoarece are ca scop combaterea CoinVault, care abia acum începe să atace Internetul și să pătrundă în computerele utilizatorilor.

De asemenea, dezvoltatorii Doctor Web nu sunt inactivi, așa că le prezintă utilizatorilor utilitățile lor, cu ajutorul cărora puteți încerca și să recuperați documente criptate de pe computer.

Creați orice folder pe unitatea C și dați-i un nume simplu. Dezarhivați utilitarul descărcat de pe site-ul oficial al companiei în acest folder.

Acum îl puteți folosi pentru a rezolva practic problema. Pentru a face acest lucru, lansați o linie de comandă, tastați „cd c:\XXX” în ea, unde în loc de XXX introduceți numele folderului în care ați plasat utilitarul.

În loc de „fișierele mele”, trebuie scris numele folderului în care se află documentele deteriorate.

Acum utilitarul se va lansa și procesul de tratament va începe; după finalizarea cu succes, veți găsi un raport care indică ceea ce a fost recuperat. Apropo, programul nu șterge fișierele criptate, ci pur și simplu salvează versiunea recuperată lângă ele.

Din păcate, chiar și acest utilitar Doctor Web nu poate fi considerat o baghetă magică; de asemenea, nu poate face totul.

Mulți s-ar putea să-și fi dat deja seama ce să facă în cazul unei infecții, dar utilizatorii experimentați recomandă obținerea de informații despre ceea ce nu este strict recomandat să facă, pentru a nu provoca consecințe mai grave atunci când șansele de recuperare a documentelor sunt zero.

Nu puteți reinstala sistemul de operare pe computer. În acest caz, este posibil să puteți elimina dăunătorul, dar cu siguranță nu veți putea readuce documentele în stare de funcționare.

Nu puteți rula programe care sunt responsabile pentru curățarea registrului sau ștergerea fișierelor temporare de pe computer.

Nu se recomandă efectuarea unei scanări antivirus, timp în care documentele infectate pot fi pur și simplu șterse. Dacă ai fost puțin prost și ai lansat un antivirus, cedând în panică, atunci măcar asigură-te că toate fișierele infectate nu sunt șterse, ci pur și simplu puse în carantină.

Dacă sunteți un utilizator avansat, puteți întrerupe procesul de criptare pe computer înainte ca acesta să se răspândească la toate fișierele și documentele. Pentru a face acest lucru, trebuie să lansați „Managerul de activități” și să opriți procesul. Este puțin probabil ca un utilizator fără experiență să-și dea seama ce proces are legătură cu virusul.

Este util să deconectați computerul de la Internet. Prin întreruperea unei astfel de conexiuni, procesul de criptare a fișierelor și documentelor de pe computer este întrerupt în majoritatea cazurilor.

Deci, cu o înțelegere completă a ceea ce trebuie să faceți atunci când este detectat un troian ransomware, puteți lua măsuri pentru a asigura succesul. În plus, după ce ați primit informații despre cum să decriptați fișierele criptate de un virus, puteți încerca să eliminați singur problema și să preveniți să apară din nou.

Tehnologiile moderne permit hackerilor să-și îmbunătățească în mod constant metodele de fraudă împotriva utilizatorilor obișnuiți. De regulă, software-ul virus care pătrunde în computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea este că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu va putea deschide un singur document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.

Ce trebuie să faceți dacă un virus are fișiere criptate pe computer

Oricine poate fi atacat de ransomware; chiar și utilizatorii care au un software antivirus puternic nu sunt imuni. Troienii de criptare a fișierelor vin într-o varietate de coduri care pot depăși capacitățile unui antivirus. Hackerii reușesc chiar să atace companiile mari într-un mod similar care nu s-au ocupat de protecția necesară a informațiilor lor. Deci, după ce ați luat un program ransomware online, trebuie să luați o serie de măsuri.

Principalele semne de infecție sunt funcționarea lentă a computerului și modificările denumirilor documentelor (pot fi văzute pe desktop).

  1. Reporniți computerul pentru a opri criptarea. La pornire, nu confirmați lansarea de programe necunoscute.
  2. Rulați antivirusul dacă nu a fost atacat de ransomware.
  3. În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu date criptate din extensia Vault, despre care există informații pe portal.
  4. Descărcați cea mai recentă versiune a utilitarului pentru a combate virușii ransomware. Cele mai eficiente sunt oferite de Kaspersky Lab.

Viruși ransomware în 2016: exemple

Atunci când luptați împotriva oricărui atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de securitate au nevoie de ceva timp până când dezvoltatorul actualizează bazele de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.

Ishtar Ransomware

Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere ale utilizatorilor din Rusia și din alte țări. Distribuit prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate de criptorul Ishtar primesc prefixul „ISHTAR” în numele lor. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.

Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Se recomandă reinstalarea sistemului de operare.

Neitrino

Criptorul Neitrino a apărut pe Internet în 2015. Principiul atacului este similar cu alți viruși dintr-o categorie similară. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de decriptat; nu toți reprezentanții companiilor antivirus se angajează, invocând un cod foarte complex. Unii utilizatori pot beneficia de restaurarea unei copii umbră. Pentru a face acest lucru, faceți clic dreapta pe documentul criptat, accesați fila „Proprietăți”, „Versiuni anterioare”, faceți clic pe „Restaurare”. Ar fi o idee bună să utilizați un utilitar gratuit de la Kaspersky Lab.

Portofel sau .portofel.

Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau ceva similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele din e-mailurile trimise de atacatori. Deoarece amenințarea a apărut foarte recent, programele antivirus nu o observă. După criptare, el creează un document în care fraudatorul indică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează pentru a descifra codul virusului ransomware. [email protected]. Utilizatorii care au fost atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați pe o unitate externă prin ștergerea sistemului.

Enigmă

Virusul ransomware Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Este utilizat modelul de criptare AES-RSA, care se găsește astăzi în majoritatea virușilor ransomware. Virusul pătrunde în computer folosind un script pe care îl rulează utilizatorul prin deschiderea fișierelor dintr-un e-mail suspect. Încă nu există un mijloc universal de a combate ransomware-ul Enigma. Utilizatorii cu licență antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „lacună” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul procesului de infectare cu virusul, el va putea ulterior să restabilească informațiile folosind copii umbre.

Granit

Un nou virus ransomware, Granit, a apărut pe internet în toamna lui 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează programul de instalare, care infectează și criptează toate datele de pe PC, precum și unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar încă nu am putut descifra codul. Poate că restaurarea versiunilor anterioare ale datelor va ajuta. În plus, un specialist cu o vastă experiență poate decripta, dar serviciul este costisitor.

Tyson

A fost depistat recent. Este o extensie a ransomware-ului deja cunoscut no_more_ransom, despre care puteți afla pe site-ul nostru. Acesta ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează un document text cu instrucțiuni de deblocare, oferind să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informațiile este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul specificat de atacatori, dar nu există nicio garanție că veți primi parola.

Spora

La începutul anului 2017, un număr de utilizatori au devenit victime ale noului ransomware Spora. În ceea ce privește principiul său de funcționare, nu este foarte diferit de omologii săi, dar se laudă cu un design mai profesionist: instrucțiunile pentru obținerea unei parole sunt mai bine scrise, iar site-ul arată mai frumos. Virusul ransomware Spora a fost creat în limbajul C și folosește o combinație de RSA și AES pentru a cripta datele victimei. De regulă, computerele pe care a fost utilizat activ programul de contabilitate 1C au fost atacate. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu a fost găsit încă niciun tratament.

1C.Scădere.1

Acest virus de criptare 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. A fost dezvoltat special pentru computere care utilizează software 1C. Odată ajuns pe computer printr-un fișier într-un e-mail, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apăsă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar încă nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate avea mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorului și arhivarea regulată a documentelor importante.

da_vinci_code

Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Diferă de predecesorii săi prin codul îmbunătățit și modul de criptare puternică. da_vinci_code infectează computerul datorită unei aplicații de execuție (de obicei atașată unui e-mail), pe care utilizatorul o lansează independent. Instrumentul de criptare da Vinci copiază corpul în directorul de sistem și în registru, asigurând lansarea automată atunci când Windows este pornit. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea unei parole). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.

[email protected] / [email protected]

Două adrese de e-mail care au fost adesea însoțite de viruși ransomware în 2016. Acestea servesc la conectarea victimei cu atacatorul. Au fost atașate adrese pentru o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Este foarte recomandat să nu contactați sau să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.

Breaking Bad

A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul de infectare este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Programele antivirus convenționale, de regulă, nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, lăsând utilizatorului opțiunea de a restaura versiunile anterioare ale documentelor. Nicio companie care dezvoltă software antivirus nu a prezentat încă un decriptor.

XTBL

Un ransomware foarte comun care a cauzat probleme multor utilizatori. Odată ajuns pe computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul stoarce bani. Unele variante ale virusului XTBL nu pot distruge fișierele pentru recuperarea sistemului, ceea ce vă permite să recuperați documente importante. Virusul în sine poate fi eliminat de multe programe, dar decriptarea documentelor este foarte dificilă. Dacă sunteți proprietarul unui antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.

Kukaracha

Ransomware-ul Cucaracha a fost descoperit în decembrie 2016. Virusul cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Antivirusul Kaspersky l-a etichetat ca Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați sunt în prezent aproape imposibil de decriptat (un algoritm foarte puternic).

Cum funcționează un virus ransomware?

Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.

  1. Acces la un computer personal. De obicei, datorită unui fișier atașat unui e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
  2. Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu atacatorii.
  3. Toate. Utilizatorul nu poate accesa niciun document.

Agenți de control din laboratoare populare

Utilizarea pe scară largă a ransomware-ului, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un imbold pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor și la protecția sistemului.

Viruși Kaspersky și ransomware

Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente instrumente pentru combaterea virușilor ransomware. Prima barieră în calea virusului ransomware va fi Kaspersky Endpoint Security 10 cu cele mai recente actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computerul dvs. (deși este posibil să nu oprească versiunile noi). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilitare gratuite: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Ele ajută la găsirea virusului și la selectarea parolei.

Dr. Web și ransomware

Acest laborator recomandă utilizarea programului lor antivirus, a cărui caracteristică principală este backupul fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Proprietarii produsului licențiat Dr. Funcția web este disponibilă pentru a solicita ajutor de la suportul tehnic. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.

ESET Nod 32 și ransomware

Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva virușilor care le pătrund în computer. În plus, laboratorul a lansat recent un utilitar gratuit cu baze de date actualizate - Eset Crysis Decryptor. Dezvoltatorii spun că va ajuta în lupta chiar și împotriva celui mai nou ransomware.

Numărul de viruși în sensul lor obișnuit devine din ce în ce mai mic, iar motivul pentru aceasta este antivirusurile gratuite care funcționează bine și protejează computerele utilizatorilor. În același timp, nu tuturor le pasă de securitatea datelor lor și riscă să se infecteze nu numai cu malware, ci și cu viruși standard, printre care cei mai des întâlniți continuă să fie troianul. Se poate manifesta în multe feluri, dar una dintre cele mai periculoase este criptarea fișierelor. Dacă un virus are fișiere criptate pe computer, nu este garantat că veți putea recupera datele, dar există câteva metode eficiente și vor fi discutate mai jos.

Virusul de criptare: ce este și cum funcționează

Pe Internet puteți găsi sute de varietăți de viruși care criptează fișierele. Acțiunile lor duc la o consecință - datele utilizatorului de pe computer primesc un format necunoscut care nu poate fi deschis folosind programe standard. Iată doar câteva dintre formatele în care datele de pe un computer pot fi criptate ca urmare a virușilor: .locked, .xtbl, .kraken, .cbf, .oshit și multe altele. În unele cazuri, adresa de e-mail a creatorilor de viruși este scrisă direct în extensia fișierului.

Printre cei mai obișnuiți viruși care criptează fișierele sunt Trojan-Ransom.Win32.AuraȘi Troian-Ransom.Win32.Rakhni. Ele vin în multe forme, iar virusul poate nici măcar să nu poată fi numit troian (de exemplu, CryptoLocker), dar acțiunile lor sunt practic aceleași. Noi versiuni de viruși de criptare sunt lansate în mod regulat pentru a face mai dificil pentru creatorii de aplicații antivirus să se ocupe de noile formate.

Dacă un virus de criptare a pătruns într-un computer, cu siguranță se va manifesta nu numai prin blocarea fișierelor, ci și oferind utilizatorului să le deblocheze contra unei taxe bănești. Pe ecran poate apărea un banner care vă spune unde trebuie să transferați bani pentru a debloca fișierele. Când un astfel de banner nu apare, ar trebui să căutați o „scrisoare” de la dezvoltatorii de viruși pe desktop; în cele mai multe cazuri, un astfel de fișier se numește ReadMe.txt.

În funcție de dezvoltatorii virusului, prețurile pentru decriptarea fișierelor pot varia. În același timp, este departe de a fi un fapt că atunci când trimiți bani creatorilor virusului, aceștia vor trimite înapoi o metodă de deblocare. În cele mai multe cazuri, banii nu ajung „nicăieri”, iar utilizatorul computerului nu primește o metodă de decriptare.

Odată ce un virus a apărut pe computer și vedeți un cod pe ecran care trebuie trimis la o anumită adresă pentru a primi un decriptor, nu ar trebui să faceți acest lucru. În primul rând, copiați acest cod pe o bucată de hârtie, deoarece fișierul nou creat poate fi și criptat. După aceasta, puteți ascunde informații de la dezvoltatorii virusului și puteți încerca să găsiți pe Internet o modalitate de a scăpa de criptorul de fișiere în cazul dvs. Mai jos vă prezentăm principalele programe care vă permit să eliminați un virus și să decriptați fișierele, dar nu pot fi numite universale, iar creatorii de software antivirus extind în mod regulat lista de soluții.

A scăpa de un virus de criptare a fișierelor este destul de simplă folosind versiuni gratuite de programe antivirus. 3 programe gratuite fac față bine virușilor de criptare a fișierelor:

  • Malwarebytes Antimalware;
  • Dr.Web Cure It;
  • Kaspersky Internet Security.

Aplicațiile menționate mai sus sunt complet gratuite sau au versiuni de încercare. Vă recomandăm să utilizați o soluție de la Dr.Web sau Kespersky după ce vă scanați sistemul cu Malwarebytes Antimalware. Permiteți-ne să vă reamintim încă o dată că instalarea a 2 sau mai multe antivirusuri pe computer nu este recomandată în același timp, așa că înainte de a instala fiecare soluție nouă, trebuie să o eliminați pe cea anterioară.

După cum am menționat mai sus, soluția ideală la problema în această situație ar fi să selectați instrucțiuni care vă permit să vă ocupați în mod specific de problema dvs. Astfel de instrucțiuni sunt cel mai adesea postate pe site-urile web ale dezvoltatorilor de antivirus. Vă prezentăm mai jos câteva utilitare antivirus actuale care pot face față diferitelor tipuri de troieni și alte tipuri de criptoare.


Cele de mai sus sunt doar o mică parte din utilitatile antivirus care vă permit să decriptați fișierele infectate. Este demn de remarcat faptul că, dacă încercați pur și simplu să recuperați datele, acestea vor fi, dimpotrivă, pierdute pentru totdeauna - nu ar trebui să faceți acest lucru.

Hackerii ransomware sunt foarte asemănători cu șantajatorii obișnuiți. Atât în ​​lumea reală, cât și în mediul cibernetic, există o singură țintă sau un grup de atac. Este fie furat, fie făcut inaccesibil. În continuare, infractorii folosesc anumite mijloace de comunicare cu victimele pentru a-și transmite revendicările. Escrocii informatici aleg de obicei doar câteva formate pentru scrisorile de răscumpărare, dar copiile pot fi găsite în aproape orice locație de memorie de pe un sistem infectat. În cazul familiei de programe spyware cunoscută sub numele de Troldesh sau Shade, escrocii adoptă o abordare specială atunci când contactează victima.

Să aruncăm o privire mai atentă asupra acestei tulpini de virus ransomware, care se adresează publicului vorbitor de limbă rusă. Cele mai multe infecții similare detectează aspectul tastaturii pe computerul atacat, iar dacă una dintre limbi este rusă, intruziunea se oprește. Cu toate acestea, virusul ransomware XTBL indescifrabil: din păcate pentru utilizatori, atacul se desfășoară indiferent de locația lor geografică și preferințele de limbă. O întruchipare clară a acestei versatilități este un avertisment care apare pe fundalul desktopului, precum și un fișier TXT cu instrucțiuni pentru plata răscumpărării.

Virusul XTBL este de obicei răspândit prin spam. Mesajele seamănă cu scrisori de la mărci celebre sau sunt pur și simplu atrăgătoare, deoarece subiectul folosește expresii precum „Urgent!” sau „Documente financiare importante”. Trucul de phishing va funcționa atunci când destinatarul unui astfel de e-mail. mesajele vor descărca un fișier ZIP care conține cod JavaScript sau un obiect Docm care conține o macrocomandă potențial vulnerabilă.

După ce a finalizat algoritmul de bază pe computerul compromis, troianul ransomware continuă să caute date care ar putea fi de valoare pentru utilizator. În acest scop, virusul scanează memoria locală și externă, potrivind simultan fiecare fișier cu un set de formate selectate în funcție de extensia obiectului. Toate fișierele .jpg, .wav, .doc, .xls, precum și multe alte obiecte, sunt criptate folosind algoritmul criptografic bloc simetric AES-256.

Există două aspecte ale acestui impact dăunător. În primul rând, utilizatorul pierde accesul la datele importante. În plus, numele fișierelor sunt profund codificate, rezultând un șir fără sens de caractere hexazecimale. Tot ceea ce unește numele fișierelor afectate este extensia xtbl adăugată acestora, adică. numele amenințării cibernetice. Numele de fișiere criptate au uneori un format special. În unele versiuni de Troldesh, numele obiectelor criptate pot rămâne neschimbate, iar la sfârșit este adăugat un cod unic: [email protected], [email protected], sau [email protected].

Evident, atacatorii, după ce au introdus adrese de e-mail. mail direct în numele dosarelor, indicându-le victimelor modalitatea de comunicare. E-mailul este, de asemenea, listat în altă parte, și anume în scrisoarea de răscumpărare conținută în fișierul „Readme.txt”. Astfel de documente Notepad vor apărea pe Desktop, precum și în toate folderele cu date criptate. Mesajul cheie este:

„Toate fișierele au fost criptate. Pentru a le decripta, trebuie să trimiteți codul: [Civrul dvs. unic] la adresa de e-mail [email protected] sau [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a decripta pe cont propriu nu vor duce decât la pierderea irecuperabilă a informațiilor.”

Adresa de e-mail se poate schimba în funcție de grupul de șantaj care răspândește virusul.

În ceea ce privește evoluțiile ulterioare: în termeni generali, escrocii răspund cu o recomandare de a transfera o răscumpărare, care poate fi de 3 bitcoini, sau o altă sumă din acest interval. Vă rugăm să rețineți că nimeni nu poate garanta că hackerii își vor îndeplini promisiunea chiar și după primirea banilor. Pentru a restabili accesul la fișierele .xtbl, utilizatorilor afectați li se recomandă să încerce mai întâi toate metodele alternative disponibile. În unele cazuri, datele pot fi puse în ordine utilizând serviciul Volume Shadow Copy furnizat direct în sistemul de operare Windows, precum și programele de decriptare și recuperare a datelor de la dezvoltatori de software independenți.

Eliminați ransomware-ul XTBL folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea completă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

  1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
  2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate cu extensia .xtbl

După cum sa menționat, ransomware-ul XTBL blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate nu pot fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută. Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Decryptor – program de recuperare automată a fișierelor

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Se recomandă insistent să recurgeți la procedura de recuperare a fișierelor, a cărei eficacitate a fost confirmată de mai multe ori.

Copii umbră ale volumelor

Abordarea se bazează pe procesul de copiere a fișierelor Windows, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale virusului ransomware XTBL

Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul de reținere parțială a elementelor rău intenționate individuale, scanați-vă computerul utilizând o suită antivirus universală de încredere.