Thực đơn
trang chủTập tin và thư mục

Một tiện ích để giải mã các tập tin sau virus ishtar. Mọi người đều vui vẻ, KẾT THÚC. Mô tả về virus ransomware CRYPTED000007

Tôi tiếp tục phần khét tiếng trên trang web của mình bằng một câu chuyện khác mà chính tôi cũng là nạn nhân. Tôi sẽ nói về virus ransomware Crusis (Dharma), loại virus này đã mã hóa tất cả các tệp trên ổ đĩa mạng và cấp cho chúng phần mở rộng .combo. Anh ấy không chỉ làm việc trên các tệp cục bộ, như thường lệ, mà còn trên các tệp mạng.

Đảm bảo giải mã các tập tin sau virus ransomware - dr-shifro.ru. Chi tiết về công việc và kế hoạch tương tác với khách hàng có trong bài viết của tôi hoặc trên trang web trong phần “Quy trình làm việc”.

Giới thiệu

Câu chuyện sẽ ở ngôi thứ nhất, vì dữ liệu và cơ sở hạ tầng mà tôi quản lý đã bị ảnh hưởng bởi bộ mã hóa. Thật đáng buồn khi phải thừa nhận điều này, nhưng tôi cũng có một phần trách nhiệm về những gì đã xảy ra, mặc dù tôi đã biết các nhà mật mã từ rất lâu. Để bào chữa, tôi sẽ nói rằng không có dữ liệu nào bị mất, mọi thứ nhanh chóng được khôi phục và điều tra không chậm trễ. Nhưng điều đầu tiên trước tiên.

Buổi sáng nhàm chán bắt đầu với việc lúc 9:15, quản trị viên hệ thống từ một trang web ở xa đã gọi điện và nói rằng có bộ mã hóa trên mạng, dữ liệu trên ổ đĩa mạng đã được mã hóa. Một cơn ớn lạnh chạy khắp da tôi :) Anh ấy bắt đầu tự mình kiểm tra nguồn lây nhiễm, còn tôi bắt đầu tự kiểm tra. Tất nhiên, tôi ngay lập tức đến máy chủ, ngắt kết nối ổ đĩa mạng và bắt đầu xem nhật ký truy cập dữ liệu. Ổ đĩa mạng được cấu hình, phải được kích hoạt. Từ nhật ký, tôi thấy ngay nguồn lây nhiễm, tài khoản mà ransomware đang chạy và thời điểm bắt đầu mã hóa.

Mô tả về virus ransomware Crusis (Dharma)

Sau đó cuộc điều tra bắt đầu. Các tập tin được mã hóa đã nhận được phần mở rộng .combo. Có rất nhiều người trong số họ. Người viết mật mã bắt đầu làm việc vào buổi tối muộn, khoảng 11 giờ đêm. Chúng tôi thật may mắn - việc sao lưu các đĩa bị ảnh hưởng vừa được hoàn thành vào thời điểm này. Dữ liệu hoàn toàn không bị mất vì nó được sao lưu vào cuối ngày làm việc. Tôi ngay lập tức bắt đầu khôi phục từ bản sao lưu trên một máy chủ riêng biệt không có quyền truy cập SMB.

Qua một đêm, virus đã mã hóa được khoảng 400 GB dữ liệu trên ổ đĩa mạng. Việc xóa tầm thường tất cả các tệp được mã hóa bằng phần mở rộng kết hợp mất nhiều thời gian. Lúc đầu tôi muốn xóa tất cả chúng cùng một lúc, nhưng khi chỉ đếm những tập tin này kéo dài trong 15 phút, tôi nhận ra rằng nó vô dụng khoảnh khắc này thời gian. Thay vào đó, tôi bắt đầu tải xuống dữ liệu mới nhất và sau đó dọn sạch đĩa chứa các tệp được mã hóa.

Tôi sẽ nói cho bạn biết sự thật đơn giản ngay lập tức. Việc có các bản sao lưu cập nhật, đáng tin cậy sẽ giúp mọi vấn đề đều có thể giải quyết được. Tôi thậm chí không thể tưởng tượng phải làm gì nếu chúng không có ở đó hoặc chúng không liên quan. Tôi luôn đặc biệt chú ý đến việc sao lưu. Tôi chăm sóc chúng, tôi trân trọng chúng và tôi không cho ai tiếp cận chúng.

Sau khi bắt đầu khôi phục các tập tin bị mã hóa, tôi đã có thời gian để bình tĩnh tìm hiểu tình hình và xem xét kỹ hơn. Virus ransomware Crusis(Pháp). Những điều ngạc nhiên và bất ngờ đang chờ đợi tôi ở đây. Nguồn lây nhiễm là một máy ảo có Windows 7 bị bỏ rơi rdp cổng thông qua một kênh dự phòng. Cổng không đạt tiêu chuẩn - 33333. Tôi nghĩ việc sử dụng cổng như vậy là sai lầm chính. Mặc dù nó không phải là tiêu chuẩn nhưng nó rất phổ biến. Tất nhiên, tốt hơn hết là không nên chuyển tiếp rdp, nhưng trong trường hợp này nó thực sự cần thiết. Nhân tiện, bây giờ, thay vì máy ảo này, một máy ảo có CentOS 7 cũng được sử dụng; nó chạy một container với xfce và một trình duyệt trong Docker. Chà, máy ảo này không có quyền truy cập ở bất cứ đâu, chỉ có ở những nơi cần thiết.

Toàn bộ câu chuyện này có gì đáng sợ? Máy ảo đã được cập nhật. Nhà mật mã học bắt đầu làm việc vào cuối tháng 8. Không thể xác định chính xác thời điểm máy bị nhiễm virus. Virus đã xóa sạch rất nhiều thứ trong chính máy ảo. Các bản cập nhật cho hệ thống này đã được cài đặt vào tháng 5. Tức là không được có bất kỳ lỗ hở cũ nào trên đó. Bây giờ tôi thậm chí không biết làm thế nào để rời đi cổng rdp có thể truy cập từ Internet. Có quá nhiều trường hợp điều này thực sự cần thiết. Ví dụ: một máy chủ đầu cuối trên phần cứng được thuê. Bạn cũng sẽ không thuê cổng VPN cho mỗi máy chủ.

Bây giờ chúng ta hãy tiến gần hơn đến vấn đề chính và phần mềm tống tiền. Máy ảo đã bị vô hiệu hóa giao diện mạng, sau đó tôi đã khởi chạy nó. Tôi được chào đón bởi một dấu hiệu tiêu chuẩn mà tôi đã thấy nhiều lần từ các nhà mật mã khác.

Tất cả các tập tin của bạn đã được mã hóa! Tất cả các tệp của bạn đã được mã hóa do sự cố bảo mật với PC của bạn. Nếu bạn muốn khôi phục chúng, hãy viết thư cho chúng tôi [email được bảo vệ] Viết ID này vào tiêu đề tin nhắn của bạn 501BED27 Trong trường hợp không có câu trả lời sau 24 giờ, hãy viết thư cho chúng tôi theo những e-mail sau: [email được bảo vệ] Bạn phải trả tiền để giải mã bằng Bitcoin. Giá cả phụ thuộc vào tốc độ bạn viết thư cho chúng tôi. Sau khi thanh toán chúng tôi sẽ gửi bạn công cụ giải mã sẽ giải mã tất cả các tập tin của bạn. Giải mã miễn phí dưới dạng đảm bảo Trước khi thanh toán bạn có thể gửi cho chúng tôi tối đa 1 tập tin miễn phí giải mã Tổng kích thước của tệp phải nhỏ hơn 1Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị. (cơ sở dữ liệu, bản sao lưu, bảng excel lớn, v.v.) Cách nhận Bitcoin Cách dễ nhất để mua bitcoin là trang web LocalBitcoins. Bạn phải đăng ký, nhấp vào "Mua bitcoin" và chọn người bán hàng theo phương thức thanh toán và giá cả. https://localbitcoins.com/buy_bitcoins Ngoài ra, bạn có thể tìm những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây: Chú ý! Không đổi tên các tập tin được mã hóa. Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, việc này có thể gây mất dữ liệu vĩnh viễn. Việc giải mã các tập tin của bạn với sự trợ giúp của bên thứ ba có thể khiến giá tăng lên (họ tính phí của họ cho chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo.

Có 2 file văn bản trên desktop có tên TỆP MÃ HÓA.TXT nội dung sau:

Tất cả dữ liệu của bạn đã bị khóa, chúng tôi có muốn quay lại không? viết thư điện tử [email được bảo vệ]

Thật thú vị khi quyền truy cập thư mục đã thay đổi Máy tính để bàn. Người dùng không có quyền ghi. Rõ ràng, vi-rút đã làm điều này để ngăn người dùng vô tình xóa thông tin trong tệp văn bản khỏi màn hình. Có một thư mục trên màn hình nền troy, chứa chính virus - một tệp l20VHC_playload.exe.

Virus ransomware Crusis (Dharma) mã hóa tập tin như thế nào

Sau khi bình tĩnh tìm hiểu mọi chuyện và đọc những tin nhắn tương tự về chủ đề ransomware trên Internet, tôi được biết rằng mình đã mắc phải một phiên bản của virus ransomware Crusis (Dharma) nổi tiếng. Kaspersky phát hiện nó như thế nào Trojan-Ransom.Win32.Crusis.to. Nó đặt các phần mở rộng khác nhau trên các tệp, bao gồm and.combo. Danh sách các tập tin của tôi trông giống như thế này:

  • Vanino.docx.id-24EE2FBC..combo
  • Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
  • Khorol.docx.id-24EE2FBC..combo
  • Yakutsk.docx.id-24EE2FBC..combo

Tôi sẽ cho bạn biết thêm một số chi tiết về cách thức hoạt động của ransomware. Tôi đã không đề cập đến một điều quan trọng. Máy tính nàyđã ở trong miền. Các tập tin đã được mã hóa từ một người dùng tên miền!!! Đây là nơi đặt ra câu hỏi: virus lấy nó từ đâu? Tôi không thấy thông tin về nhật ký bộ điều khiển miền và việc chọn mật khẩu của người dùng. Không có nhiều lần đăng nhập thất bại. Hoặc là một loại lỗ hổng nào đó đã bị khai thác hoặc tôi không biết phải nghĩ gì. Một tài khoản được sử dụng chưa bao giờ đăng nhập hệ thống này. Đã có ủy quyền qua rdp từ tài khoản người dùng miền và sau đó mã hóa. Cũng không có dấu vết của các cuộc tấn công bạo lực đối với người dùng và mật khẩu trên chính hệ thống. Gần như ngay lập tức tôi đã đăng nhập bằng tài khoản miền rdp. Tối thiểu cần phải chọn không chỉ mật khẩu mà còn cả tên.

Thật không may, mật khẩu của tài khoản là 123456. Đây là tài khoản duy nhất có mật khẩu đó bị quản trị viên địa phương bỏ qua. Nhân tố con người. Đó là người lãnh đạo và vì lý do nào đó mà cả một loạt quản trị viên hệ thống biết về mật khẩu này nhưng không thay đổi nó. Rõ ràng đây là lý do để sử dụng tài khoản cụ thể này. Tuy nhiên, cơ chế để có được mật khẩu và tên người dùng đơn giản như vậy vẫn chưa được biết.

Tôi đã tắt và xóa máy ảo bị nhiễm bộ mã hóa, trước tiên tôi đã chụp ảnh đĩa. Bản thân virus đã lấy hình ảnh ra khỏi nó để xem hoạt động của nó. Câu chuyện tiếp theo sẽ dựa trên việc chạy virus trong một máy ảo.

Một chi tiết nhỏ nữa. Virus đã quét toàn bộ mạng cục bộ, đồng thời mã hóa thông tin trên những máy tính có một số thư mục dùng chung có quyền truy cập cho tất cả mọi người. Đây là lần đầu tiên tôi thấy bộ mã hóa được sửa đổi như vậy. Đây thực sự là một điều đáng sợ. Một loại virus như vậy có thể đơn giản làm tê liệt công việc của toàn bộ tổ chức. Giả sử, vì lý do nào đó, bạn có quyền truy cập mạng vào các bản sao lưu. Hoặc họ đã sử dụng một loại mật khẩu yếu nào đó cho tài khoản. Có thể xảy ra trường hợp mọi thứ sẽ được mã hóa - cả dữ liệu và bản sao lưu trữ. Nói chung, bây giờ tôi đang nghĩ đến việc lưu trữ các bản sao lưu không chỉ ở một nơi riêng biệt môi trường mạng, nhưng nói chung là trên thiết bị đã tắt, thiết bị này chỉ được khởi động để sao lưu.

Cách xử lý máy tính và loại bỏ ransomware Crusis (Dharma)

Trong trường hợp của tôi, vi-rút ransomware Crusis (Dharma) không bị ẩn đặc biệt và việc loại bỏ nó sẽ không gây ra bất kỳ vấn đề gì. Như tôi đã nói, nó nằm trong một thư mục trên màn hình của tôi. Ngoài ra, anh ta còn ghi lại chính mình và một tin nhắn thông tin trong tệp autorun.

Bản thân virus đã được nhân đôi trong phần khởi chạy Khởi động cho tất cả người dùng và cửa sổ/hệ thống32. Tôi không nhìn kỹ hơn vì tôi không thấy ý nghĩa trong đó. Sau khi bị nhiễm ransomware, tôi thực sự khuyên bạn nên cài đặt lại hệ thống. Đây là cách duy nhất để chắc chắn loại bỏ virus. Bạn sẽ không bao giờ hoàn toàn chắc chắn rằng vi-rút đã bị loại bỏ vì nó có thể đã sử dụng một số lỗ hổng chưa được công bố và chưa xác định để để lại dấu trang trên hệ thống. Sau một thời gian, thông qua khoản thế chấp này bạn có thể nhận được một số vi-rút mới và mọi thứ sẽ lặp lại theo một vòng tròn.

Vì vậy tôi khuyên ngay sau khi phát hiện ransomware, bạn không nên xử lý máy tính mà hãy cài đặt lại hệ thống, lưu lại những dữ liệu còn lại. Có lẽ virus đã không mã hóa được mọi thứ. Những khuyến nghị này áp dụng cho những người không có ý định khôi phục tệp. Nếu bạn có bản sao lưu hiện tại thì chỉ cần cài đặt lại hệ thống và khôi phục dữ liệu.

Nếu bạn không có bản sao lưu và sẵn sàng khôi phục tệp bằng bất cứ giá nào thì chúng tôi cố gắng không chạm vào máy tính. Trước hết hãy tắt nó đi cáp mạng, tải xuống một vài tệp được mã hóa và một tệp văn bản có thông tin về lau dọnổ đĩa flash, sau đó tắt máy tính. Máy tính không thể bật được nữa. Nếu bạn hoàn toàn không hiểu các vấn đề về máy tính thì bạn sẽ không thể tự mình xử lý vi-rút, chứ đừng nói đến việc giải mã hoặc khôi phục các tệp. Liên hệ với người biết. Nếu bạn nghĩ rằng bạn có thể tự mình làm điều gì đó thì hãy đọc tiếp.

Tải xuống bộ giải mã Crusis (Dharma) ở đâu

Sau đây là lời khuyên chung của tôi về tất cả các loại virus ransomware. Có một trang web - https://www.nomoreransom.org Về mặt lý thuyết, nó có thể chứa bộ giải mã cho Crusis hoặc Dharma hoặc một số thông tin khác về việc giải mã các tệp. Trong thực tế của tôi, điều này chưa bao giờ xảy ra trước đây, nhưng có thể bạn sẽ gặp may mắn. Nó đáng để thử. Với mục đích này trên trang chủđồng ý bằng cách nhấp vào ĐÚNG.

Đính kèm 2 file và dán nội dung thông báo thông tin của ransomware rồi nhấn vào Kiểm tra.

Nếu may mắn, bạn sẽ nhận được một số thông tin. Trong trường hợp của tôi không có gì được tìm thấy.

Tất cả các bộ giải mã ransomware hiện có đều được thu thập trên trang riêng— https://www.nomoreransom.org/ru/decryption-tools.html Sự tồn tại của danh sách này cho phép chúng tôi hy vọng rằng trang web và dịch vụ này vẫn có ý nghĩa nào đó. Dịch vụ tương tự Kaspersky có nó - https://noransom.kaspersky.com/ru/ Bạn có thể thử vận ​​may của mình ở đó.

Tôi không nghĩ rằng việc tìm kiếm bộ giải mã ở bất kỳ nơi nào khác thông qua tìm kiếm trên Internet là đáng giá. Không chắc là họ sẽ được tìm thấy. Rất có thể đó sẽ là một trò lừa đảo thông thường bằng phần mềm rác hoặc một loại vi-rút mới.

Bổ sung quan trọng. Nếu bạn đã cài đặt phiên bản chống vi-rút được cấp phép, hãy nhớ tạo yêu cầu tới TP chống vi-rút để giải mã tệp. Đôi khi nó thực sự có ích. Tôi đã thấy các đánh giá về việc giải mã thành công nhờ hỗ trợ chống vi-rút.

Cách giải mã và phục hồi file sau virus Crusis (Dharma)

Phải làm gì khi virus Crusis (Dharma) đã mã hóa các tệp của bạn, không có phương pháp nào được mô tả trước đây giúp ích được và bạn thực sự cần khôi phục các tệp? Việc triển khai kỹ thuật mã hóa không cho phép giải mã các tập tin mà không có khóa hoặc bộ giải mã mà chỉ tác giả của bộ mã hóa mới có. Có thể có cách khác để lấy nó nhưng tôi không có thông tin đó. Chúng tôi chỉ có thể cố gắng khôi phục tệp bằng các phương pháp ngẫu hứng. Bao gồm các:

  • Dụng cụ bản sao bóng tối các cửa sổ.
  • Các chương trình khôi phục dữ liệu đã xóa

Trước khi thực hiện các thao tác tiếp theo, tôi khuyên bạn nên tạo ảnh đĩa theo từng khu vực. Điều này sẽ cho phép bạn ghi lại trạng thái hiện tại và nếu không có gì hiệu quả thì ít nhất bạn có thể quay lại điểm xuất phát và thử cách khác. Tiếp theo, bạn cần loại bỏ chính phần mềm ransomware bằng cách sử dụng bất kỳ phần mềm chống vi-rút nào có bộ cơ sở dữ liệu chống vi-rút mới nhất. Sẽ làm chữa bệnh hoặc Công cụ diệt virus Kaspersky. Bạn có thể cài đặt bất kỳ phần mềm chống vi-rút nào khác ở chế độ dùng thử. Điều này là đủ để loại bỏ virus.

Sau đó, chúng tôi khởi động vào hệ thống bị nhiễm và kiểm tra xem chúng tôi đã bật bản sao bóng chưa. Công cụ này hoạt động theo mặc định trong Windows 7 trở lên, trừ khi bạn tắt nó theo cách thủ công. Để kiểm tra, hãy mở thuộc tính máy tính và vào phần bảo vệ hệ thống.

Nếu trong quá trình lây nhiễm, bạn không xác nhận yêu cầu UAC xóa các tệp trong bản sao ẩn thì một số dữ liệu sẽ vẫn còn ở đó. Để dễ dàng khôi phục các tập tin từ bản sao bóng, tôi khuyên bạn nên sử dụng chương trình miễn phí cho mục đích này - ShadowExplorer. Tải xuống kho lưu trữ, giải nén chương trình và chạy nó.

Bản sao mới nhất của tập tin và thư mục gốc của ổ C sẽ mở ra. góc trên cùng có thể chọn bản sao lưu, nếu bạn có một vài trong số họ. Kiểm tra bản sao khác nhauđể sẵn sàng tập tin cần thiết. So sánh theo ngày tháng, ở đâu nữa phiên bản mới nhất. Trong ví dụ bên dưới, tôi tìm thấy 2 tệp trên máy tính để bàn của mình từ ba tháng trước khi chúng được chỉnh sửa lần cuối.

Tôi đã có thể khôi phục các tập tin này. Để làm điều này, tôi đã chọn chúng, nhấp chuột phải, chọn Xuất và chỉ định thư mục nơi khôi phục chúng.

Bạn có thể khôi phục các thư mục ngay lập tức bằng cách sử dụng nguyên tắc tương tự. Nếu bạn có các bản sao ẩn đang hoạt động và không xóa chúng, bạn có cơ hội tốt để khôi phục tất cả hoặc gần như tất cả các tệp bị vi-rút mã hóa. Có lẽ một số trong số chúng sẽ là phiên bản cũ hơn chúng ta mong muốn, nhưng tuy nhiên, có còn hơn không.

Nếu vì lý do nào đó mà bạn không có bản sao ẩn của các tệp của mình, cơ hội duy nhất để bạn lấy được ít nhất thứ gì đó từ các tệp được mã hóa là khôi phục chúng bằng các công cụ khôi phục tập tin đã xóa. Để làm điều này, tôi khuyên bạn nên sử dụng chương trình Photorec miễn phí.

Khởi chạy chương trình và chọn đĩa mà bạn sẽ khôi phục các tập tin. Khởi chạy phiên bản đồ họa của chương trình sẽ thực thi tệp qphotorec_win.exe. Bạn phải chọn một thư mục nơi các tập tin tìm thấy sẽ được đặt. Sẽ tốt hơn nếu thư mục này không nằm trên cùng ổ đĩa mà chúng ta đang tìm kiếm. Kết nối ổ đĩa flash hoặc ổ cứng ngoài để thực hiện việc này.

Quá trình tìm kiếm sẽ mất nhiều thời gian. Cuối cùng bạn sẽ thấy số liệu thống kê. Bây giờ bạn có thể vào thư mục đã chỉ định trước đó và xem những gì được tìm thấy ở đó. Rất có thể sẽ có rất nhiều tệp và hầu hết chúng sẽ bị hỏng hoặc chúng sẽ là một loại tệp hệ thống và vô dụng nào đó. Tuy nhiên, bạn có thể tìm thấy một số tệp hữu ích trong danh sách này. Không có gì đảm bảo ở đây; những gì bạn tìm thấy là những gì bạn sẽ tìm thấy. Hình ảnh thường được khôi phục tốt nhất.

Nếu kết quả không làm bạn hài lòng thì cũng có các chương trình khôi phục các tập tin đã xóa. Dưới đây là danh sách các chương trình tôi thường sử dụng khi cần khôi phục số lượng tệp tối đa:

  • R.saver
  • Phục hồi tập tin Starus
  • Phục hồi JPEG chuyên nghiệp
  • Phục hồi tập tin hoạt động chuyên nghiệp

Những chương trình này không miễn phí nên tôi sẽ không cung cấp liên kết. Nếu bạn thực sự muốn, bạn có thể tự tìm thấy chúng trên Internet.

Toàn bộ quá trình khôi phục tệp bằng các chương trình được liệt kê được hiển thị chi tiết trong video ở cuối bài viết.

Kaspersky, eset nod32 và những người khác trong cuộc chiến chống lại ransomware Crusis (Dharma)

Như thường lệ, tôi lướt qua các diễn đàn phần mềm diệt virus phổ biến tìm kiếm thông tin về ransomware cài đặt phần mở rộng .combo. Có một xu hướng rõ ràng về sự lây lan của virus. Rất nhiều yêu cầu bắt đầu từ giữa tháng 8. Bây giờ có vẻ như chúng không hiển thị, nhưng có lẽ là tạm thời hoặc phần mở rộng của tệp được mã hóa chỉ đơn giản là đã thay đổi.

Dưới đây là ví dụ về một yêu cầu điển hình từ diễn đàn Kaspersky.

Ngoài ra còn có một bình luận từ người điều hành bên dưới.

Diễn đàn EsetNod32 từ lâu đã quen với việc virus cài đuôi .combo. Theo tôi hiểu, loại vi-rút này không phải là duy nhất và không phải là mới, mà là một biến thể của dòng vi-rút Crusis (Dharma) nổi tiếng từ lâu. Đây là một yêu cầu điển hình để giải mã dữ liệu:

Tôi nhận thấy có nhiều đánh giá trên diễn đàn Eset rằng virus đã xâm nhập vào máy chủ thông qua rdp. Có vẻ như đây là một mối đe dọa thực sự mạnh mẽ và bạn không thể rời khỏi rdp mà không che chắn. Câu hỏi duy nhất được đặt ra là virus xâm nhập qua rdp như thế nào? Nó đoán mật khẩu, kết nối với người dùng và mật khẩu đã biết hoặc thứ gì đó khác.

Đi đâu để giải mã được đảm bảo

Tôi tình cờ gặp một công ty thực sự giải mã dữ liệu sau hoạt động của nhiều loại virus mã hóa khác nhau, bao gồm cả Crusis (Dharma). Địa chỉ của họ là http://www.dr-shifro.ru. Chỉ thanh toán sau khi giải mã và xác minh của bạn. Đây là một sơ đồ công việc gần đúng:

  1. Một chuyên gia của công ty đến văn phòng hoặc nhà của bạn và ký một thỏa thuận với bạn, trong đó đưa ra chi phí cho công việc.
  2. Khởi chạy bộ giải mã trên máy tính của anh ấy và giải mã một số tệp.
  3. Bạn đảm bảo rằng tất cả các tệp đã được mở, ký vào chứng nhận chấp nhận cho tác phẩm đã hoàn thành và nhận bộ giải mã.
  4. Bạn giải mã các tập tin của mình và hoàn thành các tài liệu còn lại.

Bạn không mạo hiểm bất cứ điều gì. Chỉ thanh toán sau khi trình diễn hoạt động của bộ giải mã. Hãy viết bình luận về trải nghiệm của bạn với công ty này.

Các phương pháp bảo vệ chống lại virus ransomware

Tôi sẽ không liệt kê những điều hiển nhiên về việc khởi chạy các chương trình không xác định từ Internet và mở các tệp đính kèm trong thư. Bây giờ mọi người đều biết điều này. Ngoài ra, tôi đã viết về điều này nhiều lần trong các bài viết của mình ở phần giới thiệu. Tôi sẽ chú ý đến việc sao lưu. Chúng không chỉ phải tồn tại mà còn không thể tiếp cận được từ bên ngoài. Nếu đây là một loại ổ đĩa mạng, thì một tài khoản riêng có mật khẩu mạnh phải có quyền truy cập vào tài khoản đó.

Nếu bạn sao lưu các tập tin cá nhân vào ổ đĩa flash hoặc ổ đĩa ngoài, đừng để họ kết nối liên tục với hệ thống. Sau khi tạo bản sao lưu trữ, ngắt kết nối thiết bị khỏi máy tính. Tôi thấy bản sao lưu lý tưởng trên một thiết bị riêng biệt, thiết bị này chỉ được bật để tạo bản sao lưu, sau đó lại bị ngắt kết nối vật lý khỏi mạng bằng cách ngắt kết nối dây mạng hoặc đơn giản là tắt máy.

Sao lưu phải tăng dần. Điều này là cần thiết để tránh tình huống người mã hóa mã hóa tất cả dữ liệu mà bạn không nhận ra. Một bản sao lưu đã được thực hiện, thay thế các tệp cũ bằng các tệp mới nhưng đã được mã hóa. Kết quả là bạn có một kho lưu trữ nhưng nó chẳng có tác dụng gì. Bạn cần có độ sâu lưu trữ ít nhất vài ngày. Tôi nghĩ rằng trong tương lai sẽ có, nếu chúng chưa xuất hiện, ransomware sẽ lặng lẽ mã hóa một phần dữ liệu và chờ một thời gian mà không lộ diện. Điều này sẽ được thực hiện với hy vọng rằng các tệp được mã hóa sẽ được đưa vào kho lưu trữ và ở đó, theo thời gian, sẽ thay thế các tệp thực.

Đây sẽ là thời điểm khó khăn đối với khu vực doanh nghiệp. Tôi đã đưa ra một ví dụ ở trên từ diễn đàn eset, nơi các ổ đĩa mạng có 20 TB dữ liệu đã được mã hóa. Bây giờ hãy tưởng tượng rằng bạn có một ổ đĩa mạng như vậy nhưng chỉ có 500G dữ liệu được mã hóa trong các thư mục không được truy cập liên tục. Một vài tuần trôi qua, không ai để ý đến các tệp được mã hóa vì chúng được lưu trữ trong các thư mục lưu trữ và không được làm việc liên tục. Nhưng vào cuối kỳ báo cáo, dữ liệu là cần thiết. Họ đến đó và thấy mọi thứ đều được mã hóa. Họ đi đến kho lưu trữ và ở đó độ sâu lưu trữ là 7 ngày. Và thế là xong, dữ liệu đã biến mất.

Điều này đòi hỏi một cách tiếp cận riêng biệt và cẩn thận đối với các kho lưu trữ. Cần phải phần mềm và tài nguyên để lưu trữ dữ liệu lâu dài.

Video về giải mã và phục hồi tập tin

Đây là một ví dụ về một sửa đổi tương tự của virus, nhưng video hoàn toàn có liên quan đến combo.

là một chương trình độc hại mà khi được kích hoạt sẽ mã hóa tất cả các tệp cá nhân, chẳng hạn như tài liệu, ảnh, v.v. Số lượng các chương trình như vậy rất lớn và đang tăng lên mỗi ngày. Chỉ gần đây chúng tôi mới gặp hàng tá biến thể ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff, v.v. Mục tiêu của các virus mã hóa như vậy là buộc người dùng phải mua, thường với số tiền lớn, chương trình và khóa cần thiết để giải mã. tập tin riêng.

Tất nhiên, bạn có thể khôi phục các tệp bị mã hóa chỉ bằng cách làm theo hướng dẫn mà kẻ tạo vi-rút để lại trên máy tính bị nhiễm. Nhưng thông thường, chi phí giải mã là rất đáng kể và bạn cũng cần biết rằng một số vi-rút ransomware mã hóa tệp theo cách mà sau này đơn giản là không thể giải mã chúng. Và tất nhiên, việc trả tiền để khôi phục các tập tin của riêng bạn thật khó chịu.

Dưới đây chúng tôi sẽ nói chi tiết hơn về vi-rút mã hóa, cách chúng xâm nhập vào máy tính của nạn nhân, cũng như cách loại bỏ vi-rút mã hóa và khôi phục các tệp bị nó mã hóa.

Virus ransomware xâm nhập vào máy tính như thế nào?

Virus ransomware thường lây lan qua email. Bức thư chứa các tài liệu bị nhiễm bệnh. Những bức thư như vậy sẽ được gửi đến một cơ sở dữ liệu khổng lồ về địa chỉ email. Tác giả của loại vi-rút này sử dụng các tiêu đề và nội dung sai lệch của các bức thư, cố gắng lừa người dùng mở một tài liệu đính kèm với bức thư. Một số lá thư thông báo về việc cần phải thanh toán hóa đơn, một số khác đề nghị xem bảng giá mới nhất, một số khác đề nghị mở một bức ảnh vui nhộn, v.v. Trong mọi trường hợp, việc mở file đính kèm sẽ khiến máy tính của bạn bị nhiễm virus mã hóa.

Virus ransomware là gì?

Vi-rút ransomware là một chương trình độc hại lây nhiễm vào các phiên bản hiện đại của hệ điều hành Windows, chẳng hạn như Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Những vi-rút này cố gắng sử dụng các chế độ mã hóa mạnh nhất có thể, chẳng hạn như RSA-2048 với độ dài khóa là 2048 bit, điều này thực tế loại bỏ khả năng chọn khóa để giải mã các tệp độc lập.

Khi lây nhiễm vào máy tính, vi-rút ransomware sử dụng thư mục hệ thống %APPDATA% để lưu trữ các tệp của chính nó. Để tự động khởi chạy khi máy tính được bật, ransomware tạo một mục trong sổ đăng ký Windows: các phần HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Ngay sau khi khởi chạy, virus sẽ quét tất cả các ổ đĩa có sẵn, bao gồm cả ổ đĩa mạng và ổ đĩa có sẵn. lưu trữ đám mây, để xác định tập tin nào sẽ được mã hóa. Virus ransomware sử dụng phần mở rộng tên tệp như một cách để xác định một nhóm tệp sẽ được mã hóa. Hầu hết tất cả các loại tệp đều được mã hóa, bao gồm cả những loại phổ biến như:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Ngay sau khi tệp được mã hóa, nó sẽ nhận được phần mở rộng mới, phần mở rộng này thường có thể được sử dụng để xác định tên hoặc loại phần mềm ransomware. Một số loại phần mềm độc hại này cũng có thể thay đổi tên của tệp được mã hóa. Sau đó virus sẽ tạo ra dữ liệu văn bản với các tên như HELP_YOUR_FILES, README, chứa hướng dẫn giải mã các tệp được mã hóa.

Trong quá trình hoạt động, virus mã hóa cố gắng chặn khả năng khôi phục tệp bằng hệ thống SVC (bản sao bóng của tệp). Để thực hiện điều này, vi-rút, ở chế độ lệnh, gọi tiện ích quản lý các bản sao ẩn của tệp bằng một phím để bắt đầu quy trình xóa chúng hoàn toàn. Vì vậy, hầu như không thể khôi phục tệp bằng cách sử dụng bản sao bóng của chúng.

Virus ransomware tích cực sử dụng các chiến thuật đe dọa bằng cách cung cấp cho nạn nhân một liên kết đến mô tả thuật toán mã hóa và hiển thị thông báo đe dọa trên Màn hình nền. Bằng cách này, anh ta cố gắng buộc người dùng máy tính bị nhiễm không do dự gửi ID máy tính đến địa chỉ email của tác giả vi-rút để cố gắng lấy lại các tập tin của mình. Phản hồi cho một tin nhắn như vậy thường là số tiền chuộc và địa chỉ ví điện tử.

Máy tính của tôi có bị nhiễm virus ransomware không?

Khá dễ dàng để xác định xem máy tính có bị nhiễm vi-rút mã hóa hay không. Hãy chú ý đến phần mở rộng của các tệp cá nhân của bạn, chẳng hạn như tài liệu, ảnh, nhạc, v.v. Nếu tiện ích mở rộng đã thay đổi hoặc các tập tin cá nhân của bạn biến mất, để lại nhiều tập tin không rõ tên thì máy tính của bạn đã bị nhiễm virus. Ngoài ra, một dấu hiệu lây nhiễm là sự hiện diện của một tệp có tên HELP_YOUR_FILES hoặc README trong thư mục của bạn. Tệp này sẽ chứa hướng dẫn giải mã các tập tin.

Nếu bạn nghi ngờ rằng mình đã mở một email bị nhiễm vi-rút ransomware nhưng chưa có triệu chứng lây nhiễm thì đừng tắt hoặc khởi động lại máy tính. Thực hiện theo các bước được mô tả trong phần hướng dẫn này. Tôi nhắc lại một lần nữa, điều rất quan trọng là không tắt máy tính; ở một số loại ransomware, quá trình mã hóa tệp được kích hoạt vào lần đầu tiên bạn bật máy tính sau khi bị lây nhiễm!

Làm cách nào để giải mã các tập tin bị mã hóa bằng virus ransomware?

Nếu thảm họa này xảy ra thì không cần phải hoảng sợ! Nhưng bạn cần biết rằng trong hầu hết các trường hợp không có bộ giải mã miễn phí. Điều này là do các thuật toán mã hóa mạnh được sử dụng bởi phần mềm độc hại đó. Điều này có nghĩa là nếu không có khóa riêng thì gần như không thể giải mã được tập tin. Sử dụng phương pháp chọn khóa cũng không phải là một lựa chọn do độ dài của khóa lớn. Do đó, thật không may, chỉ trả cho tác giả của vi-rút toàn bộ số tiền được yêu cầu là cách duy nhất để cố gắng lấy khóa giải mã.

Tất nhiên, hoàn toàn không có gì đảm bảo rằng sau khi thanh toán, tác giả của vi-rút sẽ liên hệ với bạn và cung cấp khóa cần thiết để giải mã các tệp của bạn. Ngoài ra, bạn cần hiểu rằng bằng cách trả tiền cho những kẻ phát triển virus, chính bạn đang khuyến khích họ tạo ra những loại virus mới.

Làm thế nào để loại bỏ virus ransomware?

Trước khi bắt đầu, bạn cần biết rằng khi bạn bắt đầu loại bỏ vi-rút và cố gắng loại bỏ tự phục hồi các tệp, bạn chặn khả năng giải mã các tệp bằng cách trả cho tác giả vi-rút số tiền họ yêu cầu.

Công cụ diệt virus Kaspersky và Malwarebytes Anti-Malware có thể phát hiện các loại vi-rút ransomware đang hoạt động khác nhau và sẽ dễ dàng loại bỏ chúng khỏi máy tính của bạn, NHƯNG chúng không thể khôi phục các tệp được mã hóa.

5.1. Loại bỏ ransomware bằng Kaspersky Virus Removal Tool

Theo mặc định, chương trình được cấu hình để khôi phục tất cả các loại tệp, nhưng để tăng tốc công việc, bạn chỉ nên để lại những loại tệp mà bạn cần khôi phục. Khi bạn đã hoàn thành lựa chọn của mình, hãy nhấp vào OK.

Ở cuối cửa sổ chương trình QPhotoRec, tìm nút Duyệt và nhấp vào nút đó. Bạn cần chọn thư mục lưu các tập tin đã khôi phục. Nên sử dụng đĩa không chứa các tệp được mã hóa cần khôi phục (bạn có thể sử dụng ổ đĩa flash hoặc ổ đĩa ngoài).

Để bắt đầu quy trình tìm kiếm và khôi phục bản gốc của các tệp được mã hóa, hãy nhấp vào nút Tìm kiếm. Quá trình này mất khá nhiều thời gian nên hãy kiên nhẫn.

Khi tìm kiếm hoàn tất, nhấp vào nút Thoát. Bây giờ hãy mở thư mục bạn đã chọn để lưu các tập tin đã khôi phục.

Thư mục sẽ chứa các thư mục có tên recup_dir.1, recup_dir.2, recup_dir.3, v.v. Chương trình càng tìm thấy nhiều tập tin thì càng có nhiều thư mục. Để tìm các tập tin bạn cần, hãy kiểm tra từng thư mục một. Để giúp tìm thấy tệp bạn cần dễ dàng hơn trong số lượng lớn tệp đã được khôi phục, hãy sử dụng hệ thống tìm kiếm tích hợp sẵn của Windows (theo nội dung tệp) và cũng đừng quên chức năng sắp xếp tệp trong thư mục. Bạn có thể chọn ngày tệp được sửa đổi làm tùy chọn sắp xếp vì QPhotoRec cố gắng khôi phục thuộc tính này khi khôi phục tệp.

Làm cách nào để ngăn chặn virus ransomware lây nhiễm vào máy tính của bạn?

Hầu hết các chương trình chống vi-rút hiện đại đều có hệ thống bảo vệ tích hợp chống lại sự xâm nhập và kích hoạt của vi-rút mã hóa. Vì vậy, nếu máy tính của bạn không có chương trình chống vi rút, sau đó hãy chắc chắn để cài đặt nó. Bạn có thể tìm hiểu cách chọn nó bằng cách đọc phần này.

Hơn nữa, có các chương trình bảo vệ chuyên biệt. Ví dụ: đây là CryptoPrevent, chi tiết hơn.

Một vài lời cuối cùng

Bằng cách làm theo những hướng dẫn này, máy tính của bạn sẽ sạch virus ransomware. Nếu bạn có thắc mắc hoặc cần trợ giúp, vui lòng liên hệ với chúng tôi.

Tin tặc ransomware rất giống với những kẻ tống tiền thông thường. Cả trong thế giới thực và trong môi trường mạng, đều có một mục tiêu tấn công đơn lẻ hoặc một nhóm. Nó có thể bị đánh cắp hoặc không thể truy cập được. Tiếp theo, bọn tội phạm sử dụng một số phương tiện liên lạc nhất định với nạn nhân để truyền đạt yêu cầu của chúng. Những kẻ lừa đảo trên máy tính thường chỉ chọn một số định dạng cho thư đòi tiền chuộc, nhưng các bản sao có thể được tìm thấy ở hầu hết mọi vị trí bộ nhớ trên hệ thống bị nhiễm. Trong trường hợp của dòng phần mềm gián điệp có tên Troldesh hoặc Shade, những kẻ lừa đảo thực hiện một cách tiếp cận đặc biệt khi liên hệ với nạn nhân.

Chúng ta hãy xem xét kỹ hơn về chủng vi rút ransomware này, nhắm đến đối tượng nói tiếng Nga. Hầu hết các trường hợp lây nhiễm tương tự đều phát hiện bố cục bàn phím trên PC bị tấn công và nếu một trong các ngôn ngữ là tiếng Nga thì quá trình xâm nhập sẽ dừng lại. Tuy nhiên, virus ransomware XBL không thể giải mã được: thật không may cho người dùng, cuộc tấn công diễn ra bất kể vị trí địa lý và tùy chọn ngôn ngữ của họ. Một minh chứng rõ ràng cho tính linh hoạt này là một cảnh báo xuất hiện trên nền màn hình cũng như tệp TXT có hướng dẫn trả tiền chuộc.

Virus XTBL thường lây lan qua thư rác. Tin nhắn giống như những lá thư thương hiệu nổi tiếng hoặc đơn giản là dễ thấy vì dòng chủ đề sử dụng các biểu thức như “Khẩn cấp!” hoặc “Tài liệu tài chính quan trọng.” Thủ đoạn lừa đảo sẽ phát huy tác dụng khi người nhận email như vậy. tin nhắn sẽ tải xuống một tệp ZIP có chứa Mã JavaScript hoặc đối tượng Docm có macro dễ bị tấn công.

Sau khi hoàn thành thuật toán cơ bản trên PC bị xâm nhập, Trojan ransomware sẽ tiến hành tìm kiếm dữ liệu có thể có giá trị đối với người dùng. Với mục đích này, virus sẽ quét cục bộ và bộ nhớ ngoài, đồng thời khớp từng tệp với một tập hợp các định dạng được chọn dựa trên phần mở rộng của đối tượng. Tất cả các tệp .jpg, .wav, .doc, .xls cũng như nhiều đối tượng khác đều được mã hóa bằng thuật toán mã hóa khối đối xứng AES-256.

Có hai khía cạnh của tác động có hại này. Trước hết, người dùng mất quyền truy cập vào dữ liệu quan trọng. Ngoài ra, tên tệp được mã hóa sâu, tạo ra một tập hợp vô nghĩa ký tự thập lục phân. Bất kỳ điểm chung nào giữa tên của các tệp bị ảnh hưởng đều được thêm vào chúng tiện ích mở rộng xtbl, I E. tên của mối đe dọa mạng. Tên tệp được mã hóa đôi khi có định dạng đặc biệt. Trong một số phiên bản của Troldesh, tên của các đối tượng được mã hóa có thể không thay đổi và một mã duy nhất được thêm vào cuối: [email được bảo vệ], [email được bảo vệ], hoặc [email được bảo vệ].

Rõ ràng, những kẻ tấn công đã giới thiệu địa chỉ email. gửi trực tiếp vào tên của các tập tin, cho nạn nhân biết phương thức liên lạc. E-mail cũng được chỉ ra ở nơi khác, cụ thể là trong thư yêu cầu tiền chuộc có trong tệp “Readme.txt”. Những tài liệu Notepad như vậy sẽ xuất hiện trên Màn hình nền, cũng như trong tất cả các thư mục có dữ liệu được mã hóa. Thông điệp chính là thế này:

“Tất cả các tập tin đã được mã hóa. Để giải mã chúng, bạn cần gửi mã: [Mật mã duy nhất của bạn] đến địa chỉ email [email được bảo vệ] hoặc [email được bảo vệ]. Tiếp theo bạn sẽ có được mọi thứ hướng dẫn cần thiết. Nỗ lực tự mình giải mã sẽ không dẫn đến kết quả gì ngoài việc mất thông tin không thể cứu vãn được.”

Địa chỉ email có thể thay đổi tùy theo nhóm tống tiền phát tán virus.

Về việc phát triển hơn nữa sự kiện: nói chung, những kẻ lừa đảo phản hồi bằng khuyến nghị chuyển tiền chuộc, có thể là 3 bitcoin hoặc một số tiền khác trong phạm vi này. Xin lưu ý rằng không ai có thể đảm bảo rằng tin tặc sẽ thực hiện lời hứa ngay cả sau khi nhận được tiền. Để khôi phục quyền truy cập vào tệp .xtbl, người dùng bị ảnh hưởng trước tiên nên thử tất cả các phương pháp thay thế có sẵn. Trong một số trường hợp, dữ liệu có thể được sắp xếp theo thứ tự bằng cách sử dụng dịch vụ sao chép bóng các tập (Bản sao bóng của tập), được cung cấp trực tiếp trong HĐH Windows, cũng như các chương trình giải mã và khôi phục dữ liệu từ các nhà phát triển phần mềm độc lập.

Loại bỏ ransomware XTBL bằng trình dọn dẹp tự động

Một phương pháp làm việc cực kỳ hiệu quả với phần mềm độc hại nói chung và ransomware nói riêng. Việc sử dụng phức hợp bảo vệ đã được chứng minh đảm bảo phát hiện kỹ lưỡng mọi thành phần virus, loại bỏ hoàn toàn chỉ với một cú nhấp chuột. Xin lưu ý rằng chúng ta đang nói về hai quy trình khác nhau: gỡ cài đặt sự lây nhiễm và khôi phục các tệp trên PC của bạn. Tuy nhiên, mối đe dọa chắc chắn cần phải được loại bỏ vì có thông tin về việc xuất hiện các Trojan máy tính khác sử dụng nó.

  1. . Sau khi khởi động phần mềm, nhấn vào nút Bắt đầu Quét máy tính (Bắt đầu quét).
  2. Phần mềm được cài đặt sẽ cung cấp báo cáo về các mối đe dọa được phát hiện trong quá trình quét. Để loại bỏ tất cả các mối đe dọa được phát hiện, hãy chọn tùy chọn Khắc phục các mối đe dọa(Loại bỏ các mối đe dọa). Phần mềm độc hại được đề cập sẽ bị xóa hoàn toàn.

Khôi phục quyền truy cập vào các tệp được mã hóa bằng phần mở rộng .xtbl

Như đã lưu ý, ransomware XTBL khóa các tệp bằng thuật toán mã hóa mạnh, do đó dữ liệu được mã hóa không thể được khôi phục bằng một chiếc đũa thần - nếu không phải trả một số tiền chuộc chưa từng thấy. Nhưng một số phương pháp thực sự có thể là cứu cánh giúp bạn khôi phục dữ liệu quan trọng. Dưới đây bạn có thể làm quen với họ.

Bộ giải mã - chương trình phục hồi tự động các tập tin

Một tình huống rất bất thường được biết đến. Nhiễm trùng này xóa tập tin nguồnở dạng không được mã hóa. Do đó, quá trình mã hóa nhằm mục đích tống tiền nhằm vào các bản sao của chúng. Điều này tạo cơ hội cho những phần mềm cách khôi phục các đối tượng đã bị xóa, ngay cả khi độ tin cậy của việc xóa chúng được đảm bảo. Chúng tôi thực sự khuyên bạn nên sử dụng quy trình khôi phục tệp, tính hiệu quả của quy trình này đã được xác nhận nhiều lần.

Bản sao bóng của các tập

Cách tiếp cận dựa trên Thủ tục Windows sao lưu tập tin, được lặp lại ở mỗi điểm khôi phục. Một điều kiện quan trọng để phương pháp này hoạt động: chức năng “Khôi phục hệ thống” phải được kích hoạt trước khi bị lây nhiễm. Tuy nhiên, mọi thay đổi đối với tệp được thực hiện sau điểm khôi phục sẽ không xuất hiện trong phiên bản được khôi phục của tệp.

Hỗ trợ

Đây là phương pháp tốt nhất trong số tất cả các phương pháp không đòi tiền chuộc. Nếu quy trình sao lưu dữ liệu vào máy chủ bên ngoài đã được sử dụng trước cuộc tấn công của ransomware vào máy tính của bạn, để khôi phục các tệp bị mã hóa, bạn chỉ cần vào giao diện thích hợp, chọn các tệp cần thiết và khởi chạy cơ chế khôi phục dữ liệu từ bản sao lưu. Trước khi thực hiện thao tác, bạn phải đảm bảo rằng phần mềm tống tiền đã được loại bỏ hoàn toàn.

Kiểm tra sự hiện diện của các thành phần còn sót lại của virus ransomware XTBL

Việc dọn dẹp thủ công có nguy cơ thiếu các phần ransomware riêng lẻ có thể thoát khỏi việc loại bỏ dưới dạng đối tượng ẩn hệ điều hành hoặc các mục đăng ký. Để loại bỏ nguy cơ lưu giữ một phần các phần tử độc hại riêng lẻ, hãy quét máy tính của bạn bằng bộ phần mềm chống vi-rút phổ quát đáng tin cậy.

Xuất hiện khoảng 8-10 năm trước, virus mã hóa Hôm nayđã trở nên phổ biến rộng rãi trong số nhiều loại kẻ lừa đảo máy tính.

Các chuyên gia cho rằng điều này là do sự xuất hiện trong kết nối miễn phí các chương trình xây dựng mà ngay cả một chuyên gia yếu cũng có thể sử dụng để tạo ra một loại virus máy tính với các thuộc tính được chỉ định.

Virus mã hóa hoạt động như thế nào?

Thông thường, vi-rút mã hóa được đưa vào máy tính của nạn nhân qua thư. Công ty nhận được một lá thư được cho là do người xin việc gửi, đối tác tiềm năng hoặc bởi người mua, nhưng có chứa một thiết bị cấy ghép file PDF với vi-rút.

Khi nhân viên công ty mở email, virus sẽ được đưa vào danh sách các chương trình khởi động. Sau khi bạn khởi động lại máy tính, nó sẽ khởi động, đổi tên và mã hóa các tập tin, sau đó tự hủy.

Các email bị nhiễm thường được ngụy trang dưới dạng tin nhắn từ cơ quan thuế, cơ quan thực thi pháp luật, ngân hàng, v.v.

Trong một thư mục chứa các tệp bị hỏng, người ta tìm thấy một lá thư cho biết thông tin được mã hóa theo cách an toàn, chống mật mã và không thể giải mã độc lập nếu không bị mất tệp vĩnh viễn.


Nếu muốn khôi phục nó, bạn cần chuyển một số tiền nhất định trong khoảng thời gian được chỉ định để nhận được khóa giải mã.

Có thể tự mình xử lý việc giải mã tập tin không?

Thông thường, ransomware sử dụng vi-rút cho mục đích của chúng, điều mà Doctor Web gọi là Trojan.Bộ mã hóa. Nó chuyển đổi các tập tin có trên máy tính nạn nhân bằng cách cung cấp cho chúng phần mở rộng .crypt. Hầu như tất cả các định dạng phổ biến đều có thể được mã hóa tập tin văn bản, hình ảnh, bản âm thanh, tập tin nén.

Để khôi phục các tập tin bị mã hóa, các chuyên gia của công ty đã tạo ra một tiện ích giải mã te19. Ngày nay nó được cung cấp miễn phí và bất kỳ người dùng Internet nào cũng có thể tải xuống. Đây là một chương trình nhỏ, chỉ chiếm 233 KB. Sau khi tải về bạn cần:

- trong cửa sổ mở ra, nhấp vào nút "Tiếp tục" ;

- nếu có thông báo xuất hiện "Lỗi" , được bổ sung bởi mục “Tôi không thể có được tài liệu quan trọng[tên tệp]. Bạn có muốn chỉ định vị trí của nó theo cách thủ công không?", Nhấn nút ĐƯỢC RỒI;

- trong cửa sổ hiện ra "Mở" chỉ định đường dẫn đến tập tin mã hóa.txt;

— sau đó quá trình giải mã sẽ bắt đầu.


Bạn không bao giờ nên xóa tập tin mã hóa.txt trước khi chạy tiện ích giải mã, vì việc mất nó sẽ khiến thông tin được mã hóa không thể khôi phục được.

Chương trình giải mã RectorDecryptor

Để khôi phục các tập tin bị mã hóa, nhiều người sử dụng chương trình đặc biệt RectorDecryptor. Bạn cần phải làm việc với nó như sau:

- tải chương trình Hiệu trưởngBộ giải mã, nếu nó không theo ý của bạn;

— xóa tất cả các chương trình khỏi danh sách khởi động ngoại trừ phần mềm chống vi-rút;

- khởi động lại máy tính;

— xem qua danh sách các tập tin, đánh dấu những tập tin đáng ngờ, đặc biệt là những tập tin không có thông tin về nhà sản xuất;

— xóa các tập tin đáng ngờ có thể chứa vi-rút;

- xóa bộ nhớ cache của trình duyệt và các thư mục tạm thời bằng chương trình CCleaner hoặc tương tự;

- phóng Hiệu trưởngBộ giải mã, cho biết tệp được mã hóa cũng như phần mở rộng của nó, sau đó nhấp vào nút "Bắt đầu kiểm tra" ;

- V phiên bản mới nhất chương trình, bạn chỉ có thể chỉ định tên tệp, sau đó nhấn "Mở" ;

— đợi cho đến khi tệp được giải mã và chuyển sang tệp tiếp theo.

Chương trình tiếp theo Hiệu trưởngBộ giải mã Bản thân nó tiếp tục quét tất cả các tệp nằm trên máy tính của bạn, bao gồm cả những tệp nằm trên phương tiện di động.


Quá trình giải mã có thể mất vài giờ, tùy thuộc vào số lượng tệp bị hỏng và hiệu suất máy tính. Thông tin được khôi phục sẽ được ghi vào cùng thư mục trước đó.

Bạn có thể cho biết nhu cầu xóa tài liệu được mã hóa sau khi giải mã bằng cách chọn hộp bên cạnh yêu cầu tương ứng. Nhưng những người dùng có kinh nghiệm khuyên không nên làm điều này, vì nếu quá trình giải mã không thành công, bạn sẽ hoàn toàn mất khả năng khôi phục dữ liệu của mình.

Hãy để chúng tôi nhắc nhở bạn: Trojan thuộc họ Trojan.Encode là các chương trình độc hại mã hóa các tệp trên ổ cứng máy tính và yêu cầu trả tiền để giải mã chúng. Các tệp *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar, v.v. có thể được mã hóa.
Không thể đích thân gặp toàn bộ họ virus này, nhưng, như thực tế cho thấy, phương pháp lây nhiễm, điều trị và giải mã gần như giống nhau đối với tất cả mọi người:
1. nạn nhân bị lây nhiễm qua email spam có tệp đính kèm (ít thường xuyên hơn bằng các phương tiện lây nhiễm),
2. hầu hết mọi chương trình chống vi-rút có cơ sở dữ liệu mới đều nhận ra và loại bỏ vi-rút,
3. các tập tin được giải mã bằng cách chọn khóa mật khẩu cho loại mã hóa được sử dụng.
Ví dụ: Trojan.Encode.225 sử dụng mã hóa RC4 (đã sửa đổi) + DES và Trojan.Encode.263 sử dụng BlowFish trong chế độ CTR. Những loại virus này hiện có thể giải mã được 99% dựa trên kinh nghiệm cá nhân.

Nhưng không phải mọi thứ đều suôn sẻ như vậy. Một số vi-rút mã hóa yêu cầu giải mã liên tục trong nhiều tháng (Trojan.Encode.102), trong khi một số vi-rút khác (Trojan.Encode.283) không thể được giải mã chính xác ngay cả bởi các chuyên gia từ công ty Doctor Web, công ty thực sự chơi trò chơi này. vai trò quan trọng trong bài viết này.

Bây giờ, theo thứ tự.

Vào đầu tháng 8 năm 2013, khách hàng đã liên hệ với tôi về vấn đề tệp bị mã hóa bởi vi rút Trojan.Encode.225. Lúc đó virus mới, chưa ai biết gì, trên Internet có 2-3 link Google chuyên đề. Sau một thời gian dài tìm kiếm trên Internet, hóa ra tổ chức (được tìm thấy) duy nhất giải quyết vấn đề giải mã các tập tin sau loại virus này là công ty Doctor Web. Cụ thể: đưa ra khuyến nghị, trợ giúp khi liên hệ với bộ phận hỗ trợ kỹ thuật, phát triển bộ giải mã riêng, v.v.

Rút lui tiêu cực.

Và nhân cơ hội này, tôi muốn chỉ ra hai béo lên điểm trừ của Kaspersky Lab. Khi liên hệ với bộ phận hỗ trợ kỹ thuật của họ, họ phủ nhận “chúng tôi đang giải quyết vấn đề này, chúng tôi sẽ thông báo cho bạn về kết quả qua thư”. Chưa hết, nhược điểm là tôi chưa bao giờ nhận được phản hồi cho yêu cầu. Sau 4 tháng. Chết tiệt thời gian phản ứng. Và ở đây tôi đang phấn đấu đạt tiêu chuẩn “không quá một giờ kể từ khi hoàn thành đơn đăng ký”.
Thật xấu hổ cho đồng chí Evgeniy Kaspersky, CEO Phòng thí nghiệm Kaspersky. Nhưng tôi có một nửa số công ty “ngồi” trên đó. Được rồi, giấy phép hết hạn vào tháng 1 đến tháng 3 năm 2014. Có đáng nói về việc tôi có gia hạn giấy phép của mình không? ;)

Tôi trình bày khuôn mặt của những “chuyên gia” từ các công ty “đơn giản hơn”, có thể nói, KHÔNG phải những gã khổng lồ của ngành chống vi-rút. Có lẽ họ chỉ “ rúc vào một góc” và “khóc thầm”.
Mặc dù, hơn thế nữa, tất cả mọi người đều hoàn toàn thất bại. Về nguyên tắc, phần mềm chống vi-rút không nên cho phép vi-rút này xâm nhập vào máy tính. Đặc biệt là xem xét công nghệ hiện đại. Và “họ”, những NGƯỜI KHỔNG LỒ của ngành công nghiệp chống VIRUS, được cho là có mọi thứ, “phân tích kinh nghiệm”, “hệ thống phòng ngừa”, “bảo vệ chủ động”...

TẤT CẢ CÁC SIÊU HỆ THỐNG NÀY Ở ĐÂU KHI NHÂN VIÊN PHÒNG NHÂN SỰ MỞ THƯ “HALMONEST” VỚI CHỦ ĐỀ “CV”???
Nhân viên nên nghĩ gì?
Nếu BẠN không thể bảo vệ chúng tôi, thì tại sao chúng tôi lại cần BẠN?

Và mọi thứ sẽ ổn với Doctor Web, nhưng để nhận được trợ giúp, tất nhiên bạn phải có giấy phép cho bất kỳ sản phẩm phần mềm nào của họ. Khi liên hệ bộ phận hỗ trợ kỹ thuật (sau đây gọi tắt là TS), bạn phải cung cấp số seri Dr.Web và đừng quên chọn “yêu cầu điều trị” ở dòng “Danh mục yêu cầu:” hoặc đơn giản là cung cấp cho họ file mã hóa tới bộ phận hỗ trợ kỹ thuật. phòng thí nghiệm. Hãy để tôi đặt trước ngay rằng cái gọi là “chìa khóa nhật ký” của Dr.Web, được đăng hàng loạt trên Internet, là không phù hợp, vì chúng không xác nhận việc mua bất kỳ khóa nào. sản phẩm phần mềm, và bị chuyên gia TP loại bỏ một hoặc hai lần. Việc mua giấy phép “rẻ” nhất sẽ dễ dàng hơn. Bởi vì nếu bạn thực hiện việc giải mã, giấy phép này sẽ trả lại cho bạn hàng triệu lần. Đặc biệt nếu thư mục chứa ảnh “Ai Cập 2012” nằm trong một bản sao...

Nỗ lực số 1

Vì vậy, sau khi mua “giấy phép cho 2 PC trong một năm” với số tiền n, liên hệ với TP và cung cấp một số tệp, tôi nhận được liên kết đến tiện ích giải mã te225decrypt.exe phiên bản 1.3.0.0. Dự đoán thành công, tôi khởi chạy tiện ích (bạn cần trỏ nó tới một trong các tệp *.doc được mã hóa). Tiện ích bắt đầu lựa chọn, tải không thương tiếc bộ xử lý cũ E5300 DualCore, 2600 MHz (được ép xung lên 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital lên 90-100%.
Ở đây, song song với tôi, một đồng nghiệp trên PC core i5 2500k (được ép xung lên 4,5ghz) / 16 ram 1600 / ssd intel cũng tham gia vào công việc (đây là so sánh về thời gian sử dụng ở cuối bài).
Sau 6 ngày, tiện ích báo cáo rằng 7277 tệp đã được giải mã. Nhưng hạnh phúc chẳng kéo dài được lâu. Tất cả các tập tin đã được giải mã "quanh co". Đó là, ví dụ, tài liệu microsoft văn phòng mở, nhưng với nhiều lỗi khác nhau: “Không thể đọc được nội dung Word tìm thấy trong tài liệu *.docx” hoặc “Không thể mở được tệp *.docx do lỗi nội dung.” Các tệp *.jpg cũng mở được hoặc bị lỗi hoặc 95% hình ảnh có nền màu đen mờ hoặc xanh nhạt. Đối với các tệp *.rar - "Kết thúc lưu trữ không mong đợi".
Nói chung là thất bại hoàn toàn.

Nỗ lực số 2

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Một ngày sau, họ lại cung cấp liên kết đến tiện ích te225decrypt.exe, nhưng phiên bản 1.3.2.0. Được rồi, hãy khởi động thôi, dù sao thì cũng không có lựa chọn nào khác. Khoảng 6 ngày trôi qua và tiện ích kết thúc với lỗi “Không thể chọn tham số mã hóa”. Tổng cộng 13 ngày “xuống cống”.
Nhưng chúng tôi không bỏ cuộc, chúng tôi có các tài liệu quan trọng từ ứng dụng khách *ngu ngốc* của mình mà không cần bản sao lưu cơ bản.

Nỗ lực số 3

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Và, như bạn có thể đoán, một ngày sau, họ cung cấp liên kết đến tiện ích te225decrypt.exe tương tự, nhưng phiên bản 1.4.2.0. Chà, hãy khởi động thôi, không có giải pháp thay thế nào và nó cũng không xuất hiện từ Kaspersky Lab, hay từ ESET NOD32, hay từ các nhà sản xuất giải pháp chống vi-rút khác. Và bây giờ, sau 5 ngày 3 giờ 14 phút (123,5 giờ), tiện ích báo cáo rằng các tệp đã được giải mã (đối với một đồng nghiệp sử dụng core i5, quá trình giải mã chỉ mất 21 giờ 10 phút).
Chà, tôi nghĩ là có hoặc không. Và lo và kìa: thành công hoàn toàn! Tất cả các tập tin được giải mã chính xác. Mọi thứ đều mở, đóng, xem, chỉnh sửa và lưu đúng cách.

Mọi người đều vui vẻ, KẾT THÚC.

Bạn hỏi: “Câu chuyện về virus Trojan.Encoding.263 ở đâu?”. Và trên chiếc PC tiếp theo, dưới gầm bàn... có. Mọi thứ ở đó đơn giản hơn: Chúng tôi viết thư cho Doctor Web TP, tải tiện ích te263decrypt.exe, khởi chạy nó, đợi 6,5 ngày, thì đấy! và mọi thứ đã sẵn sàng. Để tóm tắt, tôi có thể đưa ra một số lời khuyên từ diễn đàn Doctor Web trong ấn bản của mình:

Phải làm gì nếu bạn bị nhiễm vi-rút ransomware:
- gửi đến phòng thí nghiệm virus Dr. Web hoặc trong phần “Gửi tệp đáng ngờ” dưới dạng tệp tài liệu được mã hóa.
- Chờ phản hồi từ nhân viên Dr.Web rồi làm theo hướng dẫn của anh ta.

Những gì không làm:
- thay đổi phần mở rộng của tập tin được mã hóa; Mặt khác, với khóa được chọn thành công, tiện ích sẽ không “nhìn thấy” các tệp cần được giải mã.
- sử dụng độc lập, không cần hỏi ý kiến ​​​​chuyên gia, bất kỳ chương trình giải mã/khôi phục dữ liệu nào.

Xin lưu ý, để có một máy chủ không có các tác vụ khác, tôi cung cấp các dịch vụ miễn phí để giải mã dữ liệu CỦA BẠN. Lõi máy chủ i7-3770K có khả năng ép xung lên * tần số nhất định*, RAM 16GB và SSD Vertex 4.
Đối với tất cả người dùng đang hoạt động của Habr, việc sử dụng tài nguyên của tôi sẽ MIỄN PHÍ!!!
Viết thư cho tôi bằng tin nhắn cá nhân hoặc thông qua các địa chỉ liên hệ khác. Tôi đã “ăn thịt chó” rồi. Vì vậy, tôi không quá lười để đặt máy chủ vào chế độ giải mã qua đêm.
Loại virus này là “tai họa” của thời đại chúng ta và việc “cướp bóc” của đồng đội là không nhân đạo. Mặc dù vậy, nếu ai đó “ném” một vài đô la vào tài khoản Yandex.money 410011278501419 của tôi, tôi sẽ không bận tâm. Nhưng điều này hoàn toàn không cần thiết. Liên hệ chúng tôi. Tôi xử lý đơn đăng ký vào thời gian rảnh.

Thông tin mới!

Bắt đầu từ ngày 8 tháng 12 năm 2013, một loại vi-rút mới cùng dòng Trojan.Encoding bắt đầu lây lan dưới phân loại Doctor Web - Trojan.Encode.263, nhưng có mã hóa RSA. Loại này tính đến ngày hôm nay (20/12/2013) không thể giải mã được, vì nó sử dụng phương pháp mã hóa rất mạnh.

Tôi khuyên mọi người đã bị nhiễm vi-rút này:
1. Sử dụng tính năng tìm kiếm tích hợp sẵn của Windows, tìm tất cả các tệp có phần mở rộng .perfect và sao chép chúng sang phương tiện bên ngoài.
2. Sao chép cả tệp CONTACT.txt
3. Đặt phương tiện bên ngoài này “trên kệ”.
4. Đợi tiện ích giải mã xuất hiện.

Những gì không làm:
Không cần phải gây rối với tội phạm. Điều này thật ngốc nghếch. Trong hơn 50% trường hợp, sau khi “thanh toán” khoảng 5000 rúp, bạn sẽ KHÔNG nhận được gì. Không có tiền, không có bộ giải mã.
Công bằng mà nói, điều đáng chú ý là có những người “may mắn” trên Internet đã nhận lại được tập tin của họ bằng cách giải mã để “cướp bóc”. Nhưng bạn không nên tin tưởng những người này. Nếu tôi là người viết virus, điều đầu tiên tôi sẽ làm là lan truyền thông tin như “Tôi đã trả tiền và họ gửi cho tôi bộ giải mã!!!”
Đằng sau những “người may mắn” này có thể cũng có những kẻ tấn công tương tự.

Chà... hãy cùng chúc may mắn cho các công ty chống vi-rút khác trong việc tạo ra tiện ích giải mã các tập tin sau nhóm vi-rút Trojan.Encoding.

Đặc biệt cảm ơn đồng chí v.martyanov từ diễn đàn Doctor Web về công việc tạo ra các tiện ích giải mã.