Πριν από περίπου μία ή δύο εβδομάδες, ένα άλλο hack από σύγχρονους κατασκευαστές ιών εμφανίστηκε στο Διαδίκτυο, το οποίο κρυπτογραφεί όλα τα αρχεία του χρήστη. Για άλλη μια φορά θα εξετάσω το ερώτημα πώς να θεραπεύσετε έναν υπολογιστή μετά από έναν ιό ransomware κρυπτογραφημένο000007και να ανακτήσετε κρυπτογραφημένα αρχεία. ΣΕ σε αυτήν την περίπτωσηΔεν έχει εμφανιστεί τίποτα νέο ή μοναδικό, απλώς μια τροποποίηση της προηγούμενης έκδοσης.

Εγγυημένη αποκρυπτογράφηση αρχείων μετά από ιό ransomware - dr-shifro.ru. Λεπτομέρειες για την εργασία και το σχέδιο αλληλεπίδρασης με τον πελάτη βρίσκονται παρακάτω στο άρθρο μου ή στον ιστότοπο στην ενότητα "Διαδικασία εργασίας".

Περιγραφή του ιού CRYPTED000007 ransomware

Ο κρυπτογραφητής CRYPTED000007 δεν διαφέρει ουσιαστικά από τους προκατόχους του. Λειτουργεί σχεδόν με τον ίδιο τρόπο. Αλλά εξακολουθούν να υπάρχουν αρκετές αποχρώσεις που το διακρίνουν. Θα σας τα πω όλα με τη σειρά.

Φτάνει, όπως και τα ανάλογα του, ταχυδρομικώς. Τεχνικές που χρησιμοποιούνται κοινωνική μηχανικήέτσι ώστε ο χρήστης σίγουρα να ενδιαφερθεί για την επιστολή και να την ανοίξει. Στην περίπτωσή μου, η επιστολή μιλούσε για κάποιου είδους δικαστήριο και σημαντικές πληροφορίεςγια την υπόθεση στο συνημμένο. Μετά την εκκίνηση του συνημμένου, ο χρήστης ανοίγει ένα έγγραφο του Word με απόσπασμα από το Διαιτητικό Δικαστήριο της Μόσχας.

Παράλληλα με το άνοιγμα του εγγράφου, ξεκινά η κρυπτογράφηση του αρχείου. Ένα πληροφοριακό μήνυμα από το σύστημα ελέγχου λογαριασμού χρήστη των Windows αρχίζει να εμφανίζεται συνεχώς.

Εάν συμφωνείτε με την πρόταση, δημιουργήστε αντίγραφα ασφαλείας των αρχείων στη σκιά αντίγραφα των Windowsθα διαγραφεί και η ανάκτηση πληροφοριών θα είναι πολύ δύσκολη. Είναι προφανές ότι δεν μπορείτε να συμφωνήσετε με την πρόταση σε καμία περίπτωση. Σε αυτόν τον κρυπτογραφητή, αυτά τα αιτήματα εμφανίζονται συνεχώς, το ένα μετά το άλλο και δεν σταματούν, αναγκάζοντας τον χρήστη να συμφωνήσει και να διαγράψει τα αντίγραφα ασφαλείας. Αυτή είναι η κύρια διαφορά από τις προηγούμενες τροποποιήσεις των κρυπτογραφητών. Δεν έχω συναντήσει ποτέ αιτήματα για διαγραφή σκιωδών αντιγράφων χωρίς διακοπή. Συνήθως, μετά από 5-10 προσφορές σταματούσαν.

Θα δώσω αμέσως μια σύσταση για το μέλλον. Είναι πολύ συνηθισμένο για τους ανθρώπους να απενεργοποιούν τις προειδοποιήσεις ελέγχου λογαριασμού χρήστη. Δεν χρειάζεται να γίνει αυτό. Αυτός ο μηχανισμόςμπορεί πραγματικά να βοηθήσει στην αντίσταση στους ιούς. Η δεύτερη προφανής συμβουλή είναι να μην εργάζεστε συνεχώς κάτω λογαριασμόςδιαχειριστή υπολογιστή, εκτός εάν υπάρχει αντικειμενική ανάγκη. Σε αυτή την περίπτωση, ο ιός δεν θα έχει την ευκαιρία να κάνει πολύ κακό. Θα έχετε περισσότερες πιθανότητες να του αντισταθείτε.

Αλλά ακόμα κι αν απαντούσατε πάντα αρνητικά στα αιτήματα του ransomware, όλα τα δεδομένα σας είναι ήδη κρυπτογραφημένα. Αφού ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα δείτε μια εικόνα στην επιφάνεια εργασίας σας.

Ταυτόχρονα θα είναι πολλά αρχεία κειμένουμε το ίδιο περιεχόμενο.

Τα αρχεία σας έχουν κρυπτογραφηθεί. Για να αποκρυπτογραφήσετε το ux, πρέπει να στείλετε τον κωδικό: 329D54752553ED978F94|0 στη διεύθυνση email [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Οι προσπάθειες αποκρυπτογράφησης μόνοι σας δεν θα οδηγήσουν σε τίποτα άλλο εκτός από έναν αμετάκλητο αριθμό πληροφοριών. Εάν εξακολουθείτε να θέλετε να δοκιμάσετε, τότε δημιουργήστε πρώτα αντίγραφα ασφαλείας των αρχείων, διαφορετικά, σε περίπτωση αλλαγής, η αποκρυπτογράφηση θα καταστεί αδύνατη υπό οποιεσδήποτε συνθήκες. Εάν δεν έχετε λάβει ειδοποίηση στην παραπάνω διεύθυνση εντός 48 ωρών (μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα επικοινωνίας. Αυτό μπορεί να γίνει με δύο τρόπους: 1) Κατεβάστε και εγκαταστήστε το Tor Browser χρησιμοποιώντας τον σύνδεσμο: https://www.torproject.org/download/download-easy.html.en Στο χώρο διευθύνσεων Tor Browserπληκτρολογήστε τη διεύθυνση: http://cryptsen7fo43rr6.onion/ και πατήστε Enter. Θα φορτωθεί η σελίδα με τη φόρμα επικοινωνίας. 2) Σε οποιοδήποτε πρόγραμμα περιήγησης, μεταβείτε σε μία από τις διευθύνσεις: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Όλα τα σημαντικά αρχεία στον υπολογιστή σας ήταν κρυπτογραφημένα. Για να αποκρυπτογραφήσετε τα αρχεία θα πρέπει να στείλετε τον ακόλουθο κωδικό: 329D54752553ED978F94|0 στη διεύθυνση e-mail [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Όλες οι προσπάθειες αποκρυπτογράφησης από εσάς θα έχουν ως αποτέλεσμα μόνο αμετάκλητη απώλεια των δεδομένων σας. Εάν εξακολουθείτε να θέλετε να προσπαθήσετε να τα αποκρυπτογραφήσετε μόνοι σας, κάντε ένα αντίγραφο ασφαλείας στην αρχή γιατί η αποκρυπτογράφηση θα καταστεί αδύνατη σε περίπτωση οποιωνδήποτε αλλαγών μέσα στα αρχεία. Εάν δεν λάβατε την απάντηση από το προαναφερθέν email για περισσότερες από 48 ώρες (και μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα σχολίων. Μπορείτε να το κάνετε με δύο τρόπους: 1) Κατεβάστε το Tor Browser από εδώ: https://www.torproject.org/download/download-easy.html.en Εγκαταστήστε το και πληκτρολογήστε την ακόλουθη διεύθυνση στη γραμμή διευθύνσεων: http:/ /cryptsen7fo43rr6.onion/ Πατήστε Enter και στη συνέχεια θα φορτωθεί η σελίδα με τη φόρμα σχολίων. 2) Μεταβείτε σε μία από τις ακόλουθες διευθύνσεις σε οποιοδήποτε πρόγραμμα περιήγησης: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Ταχυδρομική διεύθυνσημπορεί να αλλάξει. Βρήκα επίσης τις παρακάτω διευθύνσεις:

• [email προστατευμένο]
• [email προστατευμένο]

Οι διευθύνσεις ενημερώνονται συνεχώς, επομένως μπορεί να είναι εντελώς διαφορετικές.

Μόλις ανακαλύψετε ότι τα αρχεία σας είναι κρυπτογραφημένα, απενεργοποιήστε αμέσως τον υπολογιστή σας. Αυτό πρέπει να γίνει για να διακοπεί η διαδικασία κρυπτογράφησης όπως στο τοπικός υπολογιστήςκαι σε μονάδες δίσκου δικτύου. Ένας ιός κρυπτογράφησης μπορεί να κρυπτογραφήσει όλες τις πληροφορίες που μπορεί να φτάσει, συμπεριλαμβανομένων των μονάδων δίσκου δικτύου. Αλλά αν υπάρχει μεγάλος όγκος πληροφοριών εκεί, τότε θα του πάρει αρκετό χρόνο. Μερικές φορές, ακόμη και σε μερικές ώρες, το ransomware δεν είχε χρόνο να κρυπτογραφήσει τα πάντα σε μια μονάδα δίσκου δικτύου χωρητικότητας περίπου 100 gigabyte.

Στη συνέχεια, πρέπει να σκεφτείτε προσεκτικά πώς να ενεργήσετε. Εάν χρειάζεστε πληροφορίες για τον υπολογιστή σας με οποιοδήποτε κόστος και δεν έχετε αντίγραφα ασφαλείας, τότε είναι καλύτερα αυτή τη στιγμή να απευθυνθείτε σε ειδικούς. Όχι απαραίτητα για χρήματα σε κάποιες εταιρείες. Χρειάζεσαι απλά κάποιον που να είναι καλός πληροφοριακά συστήματα. Είναι απαραίτητο να αξιολογηθεί το μέγεθος της καταστροφής, να αφαιρεθεί ο ιός και να συλλεχθούν όλες οι διαθέσιμες πληροφορίες για την κατάσταση, προκειμένου να κατανοήσουμε πώς να προχωρήσουμε.

Εσφαλμένες ενέργειες σε αυτό το στάδιο μπορεί να περιπλέξουν σημαντικά τη διαδικασία αποκρυπτογράφησης ή επαναφοράς αρχείων. Στη χειρότερη περίπτωση, μπορούν να το κάνουν αδύνατο. Πάρτε λοιπόν το χρόνο σας, να είστε προσεκτικοί και συνεπείς.

Πώς ο ιός ransomware CRYPTED000007 κρυπτογραφεί αρχεία

Μετά την εκκίνηση του ιού και την ολοκλήρωση της δραστηριότητάς του, όλα τα χρήσιμα αρχεία θα κρυπτογραφηθούν και θα μετονομαστούν από επέκταση.crypted000007. Επιπλέον, δεν θα αντικατασταθεί μόνο η επέκταση αρχείου, αλλά και το όνομα του αρχείου, ώστε να μην γνωρίζετε ακριβώς τι είδους αρχεία είχατε αν δεν θυμάστε. Θα μοιάζει κάπως έτσι.

Σε μια τέτοια κατάσταση, θα είναι δύσκολο να εκτιμήσετε το μέγεθος της τραγωδίας, αφού δεν θα μπορείτε να θυμηθείτε πλήρως τι είχατε στη ζωή σας. διαφορετικούς φακέλους. Αυτό έγινε ειδικά για να μπερδέψει τους ανθρώπους και να τους ενθαρρύνει να πληρώσουν για την αποκρυπτογράφηση αρχείων.

Και αν είχατε κρυπτογραφήσει και φακέλους δικτύουκαι δεν υπάρχουν πλήρη αντίγραφα ασφαλείας, αυτό μπορεί να σταματήσει εντελώς το έργο ολόκληρου του οργανισμού. Θα σας πάρει λίγο χρόνο για να καταλάβετε τι χάθηκε τελικά για να ξεκινήσετε την αποκατάσταση.

Πώς να χειριστείτε τον υπολογιστή σας και να αφαιρέσετε το CRYPTED000007 ransomware

Ο ιός CRYPTED000007 βρίσκεται ήδη στον υπολογιστή σας. Το πρώτο και πιο σημαντικό ερώτημα είναι πώς να απολυμάνετε έναν υπολογιστή και πώς να αφαιρέσετε έναν ιό από αυτόν για να αποτρέψετε περαιτέρω κρυπτογράφηση, εάν δεν έχει ολοκληρωθεί ακόμη. Θα ήθελα να επιστήσω αμέσως την προσοχή σας στο γεγονός ότι αφού αρχίσετε να κάνετε κάποιες ενέργειες με τον υπολογιστή σας, οι πιθανότητες αποκρυπτογράφησης των δεδομένων μειώνονται. Εάν χρειάζεται να ανακτήσετε αρχεία με οποιοδήποτε κόστος, μην αγγίζετε τον υπολογιστή σας, αλλά επικοινωνήστε αμέσως με επαγγελματίες. Παρακάτω θα μιλήσω για αυτά και θα παράσχω έναν σύνδεσμο προς τον ιστότοπο και θα περιγράψω πώς λειτουργούν.

Στο μεταξύ, θα συνεχίσουμε να αντιμετωπίζουμε ανεξάρτητα τον υπολογιστή και να αφαιρούμε τον ιό. Παραδοσιακά, το ransomware αφαιρείται εύκολα από έναν υπολογιστή, αφού ο ιός δεν έχει το καθήκον να παραμείνει στον υπολογιστή με οποιοδήποτε κόστος. Μετά πλήρη κρυπτογράφησηαρχεία, του είναι ακόμη πιο κερδοφόρο να διαγραφεί και να εξαφανιστεί, ώστε να είναι πιο δύσκολη η διερεύνηση του συμβάντος και η αποκρυπτογράφηση των αρχείων.

Είναι δύσκολο να περιγράψω πώς να αφαιρέσετε με μη αυτόματο τρόπο έναν ιό, αν και έχω προσπαθήσει να το κάνω στο παρελθόν, αλλά βλέπω ότι τις περισσότερες φορές είναι άσκοπο. Τα ονόματα αρχείων και οι διαδρομές τοποθέτησης ιών αλλάζουν συνεχώς. Αυτό που είδα δεν είναι πλέον σχετικό σε μια ή δύο εβδομάδες. Συνήθως, οι ιοί αποστέλλονται ταχυδρομικά σε κύματα και κάθε φορά υπάρχει μια νέα τροποποίηση που δεν έχει εντοπιστεί ακόμη από τα προγράμματα προστασίας από ιούς. Βοηθούν τα καθολικά εργαλεία που ελέγχουν την εκκίνηση και ανιχνεύουν ύποπτη δραστηριότητα σε φακέλους συστήματος.

Για να αφαιρέσετε τον ιό CRYPTED000007, μπορείτε να χρησιμοποιήσετε τα ακόλουθα προγράμματα:

1. Kaspersky Virus Removal Tool - ένα βοηθητικό πρόγραμμα από την Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - ένα παρόμοιο προϊόν από άλλο web http://free.drweb.ru/cureit.
3. Εάν τα δύο πρώτα βοηθητικά προγράμματα δεν βοηθήσουν, δοκιμάστε το MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Πιθανότατα, ένα από αυτά τα προϊόντα θα καθαρίσει τον υπολογιστή σας από το CRYPTED000007 ransomware. Εάν ξαφνικά συμβεί ότι δεν βοηθούν, δοκιμάστε να αφαιρέσετε τον ιό με μη αυτόματο τρόπο. Έδωσα ένα παράδειγμα της μεθόδου αφαίρεσης και μπορείτε να το δείτε εκεί. Εν συντομία, βήμα προς βήμα, πρέπει να ενεργήσετε ως εξής:

1. Εξετάζουμε τη λίστα των διεργασιών, αφού προσθέσουμε αρκετές επιπλέον στήλες στη διαχείριση εργασιών.
2. Βρίσκουμε τη διαδικασία του ιού, ανοίγουμε το φάκελο στον οποίο βρίσκεται και τη διαγράφουμε.
3. Καθαρίζουμε την αναφορά της διαδικασίας του ιού με το όνομα αρχείου στο μητρώο.
4. Κάνουμε επανεκκίνηση και βεβαιωνόμαστε ότι ο ιός CRYPTED000007 δεν βρίσκεται στη λίστα των διεργασιών που εκτελούνται.

Πού να κάνετε λήψη του αποκρυπτογραφητή CRYPTED000007

Το ερώτημα ενός απλού και αξιόπιστου αποκρυπτογραφητή έρχεται πρώτο όταν πρόκειται για έναν ιό ransomware. Το πρώτο πράγμα που προτείνω είναι να χρησιμοποιήσετε την υπηρεσία https://www.nomoreransom.org. Τι γίνεται αν είστε τυχεροί και έχουν έναν αποκρυπτογραφητή για την έκδοση του κρυπτογραφητή CRYPTED000007. Θα πω αμέσως ότι δεν έχετε πολλές πιθανότητες, αλλά η προσπάθεια δεν είναι βασανιστήριο. Επί αρχική σελίδακάντε κλικ στο Ναι:

Στη συνέχεια, κατεβάστε μερικά κρυπτογραφημένα αρχεία και κάντε κλικ στο Go! Βρίσκω:

Τη στιγμή της σύνταξης, δεν υπήρχε αποκρυπτογραφητής στον ιστότοπο.

Ίσως θα έχετε καλύτερη τύχη. Μπορείτε επίσης να δείτε τη λίστα των αποκρυπτογραφητών για λήψη σε μια ξεχωριστή σελίδα - https://www.nomoreransom.org/decryption-tools.html. Ίσως υπάρχει κάτι χρήσιμο εκεί. Όταν ο ιός είναι εντελώς φρέσκος, υπάρχει μικρή πιθανότητα να συμβεί κάτι τέτοιο, αλλά με την πάροδο του χρόνου μπορεί να εμφανιστεί κάτι. Υπάρχουν παραδείγματα όταν εμφανίστηκαν στο δίκτυο αποκρυπτογραφητές για ορισμένες τροποποιήσεις κρυπτογραφητών. Και αυτά τα παραδείγματα βρίσκονται στην καθορισμένη σελίδα.

Δεν ξέρω πού αλλού μπορείτε να βρείτε αποκωδικοποιητή. Είναι απίθανο να υπάρχει στην πραγματικότητα, λαμβάνοντας υπόψη τις ιδιαιτερότητες της εργασίας των σύγχρονων κρυπτογραφητών. Μόνο οι δημιουργοί του ιού μπορούν να έχουν πλήρη αποκρυπτογράφηση.

Πώς να αποκρυπτογραφήσετε και να ανακτήσετε αρχεία μετά τον ιό CRYPTED000007

Τι να κάνετε όταν ο ιός CRYPTED000007 έχει κρυπτογραφήσει τα αρχεία σας; Η τεχνική εφαρμογή της κρυπτογράφησης δεν επιτρέπει την αποκρυπτογράφηση αρχείων χωρίς κλειδί ή αποκρυπτογραφητή, που έχει μόνο ο συγγραφέας του κρυπτογραφητή. Ίσως υπάρχει κάποιος άλλος τρόπος να το αποκτήσω, αλλά δεν έχω αυτές τις πληροφορίες. Μπορούμε μόνο να προσπαθήσουμε να ανακτήσουμε αρχεία χρησιμοποιώντας αυτοσχέδιες μεθόδους. Αυτά περιλαμβάνουν:

• Εργαλείο σκιώδη αντίγραφαπαράθυρα.
• Διαγραμμένα προγράμματα ανάκτησης δεδομένων

Αρχικά, ας ελέγξουμε αν έχουμε ενεργοποιημένα τα σκιώδη αντίγραφα. Αυτό το εργαλείο λειτουργεί από προεπιλογή σε Windows 7 και νεότερες εκδόσεις, εκτός εάν το απενεργοποιήσετε χειροκίνητα. Για έλεγχο, ανοίξτε τις ιδιότητες του υπολογιστή και μεταβείτε στην ενότητα προστασίας συστήματος.

Εάν κατά τη διάρκεια της μόλυνσης δεν επιβεβαιώσετε το αίτημα UAC για διαγραφή αρχείων σε σκιερά αντίγραφα, τότε κάποια δεδομένα θα πρέπει να παραμείνουν εκεί. Μίλησα πιο αναλυτικά για αυτό το αίτημα στην αρχή της ιστορίας, όταν μίλησα για το έργο του ιού.

Για να επαναφέρετε εύκολα αρχεία από σκιώδη αντίγραφα, προτείνω να χρησιμοποιήσετε δωρεάν πρόγραμμαγια το σκοπό αυτό - ShadowExplorer. Κατεβάστε το αρχείο, αποσυσκευάστε το πρόγραμμα και εκτελέστε το.

Θα ανοίξει το πιο πρόσφατο αντίγραφο των αρχείων και η ρίζα της μονάδας δίσκου C Στην επάνω αριστερή γωνία μπορείτε να επιλέξετε Αντίγραφο ασφαλείας, εάν έχετε πολλά από αυτά. Ελέγξτε διαφορετικά αντίγραφα για διαθεσιμότητα απαραίτητα αρχεία. Συγκρίνετε κατά ημερομηνία για την πιο πρόσφατη έκδοση. Στο παρακάτω παράδειγμά μου, βρήκα 2 αρχεία στην επιφάνεια εργασίας μου πριν από τρεις μήνες, όταν επεξεργάστηκαν για τελευταία φορά.

Κατάφερα να ανακτήσω αυτά τα αρχεία. Για να το κάνω αυτό, τα επέλεξα, έκανα δεξί κλικ, επέλεξα Εξαγωγή και όρισα τον φάκελο στον οποίο θα τα επαναφέρω.

Μπορείτε να επαναφέρετε τους φακέλους αμέσως χρησιμοποιώντας την ίδια αρχή. Εάν λειτουργούσαν σκιώδη αντίγραφα και δεν τα διαγράψατε, έχετε πολλές πιθανότητες να ανακτήσετε όλα, ή σχεδόν όλα, τα αρχεία που είναι κρυπτογραφημένα από τον ιό. Ίσως κάποια από αυτά να είναι περισσότερα παλιά εκδοχή, από ό,τι θα θέλαμε, αλλά παρόλα αυτά, είναι καλύτερο από το τίποτα.

Εάν για κάποιο λόγο δεν έχετε σκιώδη αντίγραφα των αρχείων σας, η μόνη σας ευκαιρία να λάβετε τουλάχιστον κάτι από τα κρυπτογραφημένα αρχεία είναι να τα επαναφέρετε χρησιμοποιώντας εργαλεία ανάκτησης διαγραμμένα αρχεία. Για να το κάνετε αυτό, προτείνω να χρησιμοποιήσετε το δωρεάν πρόγραμμα Photorec.

Εκκινήστε το πρόγραμμα και επιλέξτε το δίσκο στον οποίο θα επαναφέρετε τα αρχεία. Η εκκίνηση της γραφικής έκδοσης του προγράμματος εκτελεί το αρχείο qphotorec_win.exe. Πρέπει να επιλέξετε έναν φάκελο όπου θα τοποθετηθούν τα αρχεία που βρέθηκαν. Είναι καλύτερα αυτός ο φάκελος να μην βρίσκεται στην ίδια μονάδα δίσκου όπου κάνουμε αναζήτηση. Συνδέστε μια μονάδα flash ή μια εξωτερική HDDγια αυτό.

Η διαδικασία αναζήτησης θα διαρκέσει πολύ. Στο τέλος θα δείτε στατιστικά. Τώρα μπορείτε να μεταβείτε στον προκαθορισμένο φάκελο και να δείτε τι βρίσκεται εκεί. Πιθανότατα θα υπάρχουν πολλά αρχεία και τα περισσότερα είτε θα είναι κατεστραμμένα είτε θα είναι κάποιου είδους σύστημα και άχρηστα αρχεία. Ωστόσο, ορισμένα χρήσιμα αρχεία μπορούν να βρεθούν σε αυτήν τη λίστα. Δεν υπάρχουν εγγυήσεις εδώ. Οι εικόνες συνήθως αποκαθίστανται καλύτερα.

Εάν το αποτέλεσμα δεν σας ικανοποιεί, τότε υπάρχουν και προγράμματα για την ανάκτηση των διαγραμμένων αρχείων. Ακολουθεί μια λίστα με τα προγράμματα που χρησιμοποιώ συνήθως όταν χρειάζεται να ανακτήσω τον μέγιστο αριθμό αρχείων:

• R.saver
• Ανάκτηση αρχείων Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Αυτά τα προγράμματα δεν είναι δωρεάν, επομένως δεν θα παράσχω συνδέσμους. Αν θέλετε πραγματικά, μπορείτε να τα βρείτε μόνοι σας στο Διαδίκτυο.

Ολόκληρη η διαδικασία ανάκτησης αρχείων παρουσιάζεται λεπτομερώς στο βίντεο στο τέλος του άρθρου.

Kaspersky, eset nod32 και άλλα στον αγώνα κατά του κρυπτογραφητή Filecoder.ED

Τα δημοφιλή antivirus ανιχνεύουν το ransomware CRYPTED000007 ως Filecoder.EDκαι μετά μπορεί να υπάρχει κάποιος άλλος προσδιορισμός. Κοίταξα στα μεγάλα φόρουμ προστασίας από ιούς και δεν είδα κάτι χρήσιμο εκεί. Δυστυχώς, ως συνήθως, το λογισμικό προστασίας από ιούς αποδείχθηκε απροετοίμαστο για την εισβολή ενός νέου κύματος ransomware. Εδώ είναι μια ανάρτηση από το φόρουμ της Kaspersky.

Τα antivirus χάνουν παραδοσιακά τις νέες τροποποιήσεις των Trojans ransomware. Παρόλα αυτά, προτείνω να τα χρησιμοποιήσετε. Εάν είστε τυχεροί και λάβετε ένα email ransomware όχι στο πρώτο κύμα μολύνσεων, αλλά λίγο αργότερα, υπάρχει πιθανότητα το antivirus να σας βοηθήσει. Όλοι δουλεύουν ένα βήμα πίσω από τους επιτιθέμενους. Αποδεικνύεται μια νέα έκδοση ransomware, τα antivirus δεν ανταποκρίνονται σε αυτό. Μόλις συσσωρευτεί μια ορισμένη ποσότητα υλικού για έρευνα σχετικά με έναν νέο ιό, το λογισμικό προστασίας από ιούς εκδίδει μια ενημέρωση και αρχίζει να ανταποκρίνεται σε αυτήν.

Δεν καταλαβαίνω τι εμποδίζει τα προγράμματα προστασίας από ιούς να ανταποκρίνονται αμέσως σε οποιαδήποτε διαδικασία κρυπτογράφησης στο σύστημα. Ίσως υπάρχει κάποια τεχνική απόχρωση σε αυτό το θέμα που δεν μας επιτρέπει να ανταποκριθούμε επαρκώς και να αποτρέψουμε την κρυπτογράφηση των αρχείων χρήστη. Μου φαίνεται ότι θα ήταν δυνατό να εμφανιστεί τουλάχιστον μια προειδοποίηση σχετικά με το γεγονός ότι κάποιος κρυπτογραφεί τα αρχεία σας και να προσφερθεί να σταματήσει τη διαδικασία.

Πού να πάτε για εγγυημένη αποκρυπτογράφηση

Είχα την ευκαιρία να γνωρίσω μια εταιρεία που στην πραγματικότητα αποκρυπτογραφεί δεδομένα μετά από την εργασία διαφόρων ιών κρυπτογράφησης, συμπεριλαμβανομένου του CRYPTED000007. Η διεύθυνσή τους είναι http://www.dr-shifro.ru. Πληρωμή μόνο μετά την πλήρη αποκρυπτογράφηση και την επαλήθευση σας. Εδώ είναι ένα κατά προσέγγιση σχέδιο εργασίας:

1. Ένας ειδικός της εταιρείας έρχεται στο γραφείο ή το σπίτι σας και υπογράφει μια συμφωνία μαζί σας, η οποία καθορίζει το κόστος της εργασίας.
2. Εκκινεί τον αποκρυπτογραφητή και αποκρυπτογραφεί όλα τα αρχεία.
3. Βεβαιωθείτε ότι έχουν ανοίξει όλα τα αρχεία και υπογράφετε το πιστοποιητικό παράδοσης/αποδοχής για ολοκληρωμένες εργασίες.
4. Η πληρωμή πραγματοποιείται μόνο μετά από επιτυχή αποτελέσματα αποκρυπτογράφησης.

Θα είμαι ειλικρινής, δεν ξέρω πώς το κάνουν, αλλά δεν ρισκάρεις τίποτα. Πληρωμή μόνο μετά από επίδειξη της λειτουργίας του αποκωδικοποιητή. Γράψτε μια κριτική σχετικά με την εμπειρία σας με αυτήν την εταιρεία.

Μέθοδοι προστασίας από τον ιό CRYPTED000007

Πώς να προστατευτείτε από ransomware και να αποφύγετε υλικές και ηθικές ζημιές; Υπάρχουν μερικές απλές και αποτελεσματικές συμβουλές:

1. Αντιγράφων ασφαλείας! Δημιουργία αντιγράφων ασφαλείας όλων των σημαντικών δεδομένων. Και όχι απλώς ένα αντίγραφο ασφαλείας, αλλά ένα αντίγραφο ασφαλείας στο οποίο δεν υπάρχει συνεχής πρόσβαση. Διαφορετικά, ο ιός μπορεί να μολύνει τόσο τα έγγραφά σας όσο και τα αντίγραφα ασφαλείας.
2. Άδεια προστασίας από ιούς. Αν και δεν παρέχουν 100% εγγύηση, αυξάνουν τις πιθανότητες αποφυγής της κρυπτογράφησης. Τις περισσότερες φορές δεν είναι έτοιμοι για νέες εκδόσεις του κρυπτογραφητή, αλλά μετά από 3-4 ημέρες αρχίζουν να ανταποκρίνονται. Αυτό αυξάνει τις πιθανότητές σας να αποφύγετε τη μόλυνση εάν δεν συμπεριλαμβανόσασταν στο πρώτο κύμα αποστολών νέα τροποποίησηκρυπτογράφος
3. Μην ανοίγετε ύποπτα συνημμένα στο ταχυδρομείο. Δεν υπάρχει τίποτα να σχολιάσω εδώ. Όλα τα ransomware που γνωρίζω έφτασαν στους χρήστες μέσω email. Επιπλέον, κάθε φορά επινοούνται νέα κόλπα για να εξαπατήσουν το θύμα.
4. Μην ανοίγετε αλόγιστα συνδέσμους που σας αποστέλλονται από τους φίλους σας μέσω μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣή αγγελιοφόροι. Κάπως έτσι μεταδίδονται και οι ιοί μερικές φορές.
5. Ανάβω οθόνη παραθύρωνεπεκτάσεις αρχείων. Πώς να το κάνετε αυτό είναι εύκολο να βρείτε στο Διαδίκτυο. Αυτό θα σας επιτρέψει να παρατηρήσετε την επέκταση αρχείου στον ιό. Τις περισσότερες φορές θα είναι .exe, .vbs, .src. Στην καθημερινή σας εργασία με έγγραφα, είναι απίθανο να συναντήσετε τέτοιες επεκτάσεις αρχείων.

Προσπάθησα να συμπληρώσω όσα έχω ήδη γράψει σε κάθε άρθρο σχετικά με τον ιό ransomware. Στο μεταξύ, αποχαιρετώ. Θα χαρώ να λάβω χρήσιμα σχόλια για το άρθρο και τον ιό ransomware CRYPTED000007 γενικά.

Βίντεο με αποκρυπτογράφηση και ανάκτηση αρχείων

Ακολουθεί ένα παράδειγμα προηγούμενης τροποποίησης του ιού, αλλά το βίντεο είναι απολύτως σχετικό με το CRYPTED000007.

Kaspersky WildfireDecryptorείναι ένα απλό εργαλείο για την ανάκτηση αρχείων που ήταν κρυπτογραφημένα από το WildFire Locker ransomware Trojan.

Σε περίπτωση που έχει ήδη συμβεί μόλυνση ransomware, το WildfireDecryptor θα βοηθήσει στην αντιμετώπιση των συνεπειών του και θα αποκρυπτογραφήσει αρχεία με την επέκταση .wflx.

Σημάδια μόλυνσης από WildFire Locker

Το WildFire Locker είναι ένα ransomware που εξαπλώνεται μέσω μηνυμάτων email των οποίων οι κεφαλίδες έχουν τροποποιηθεί για να υποδύονται μια αξιόπιστη εταιρεία ως αποστολέα. Το θύμα λαμβάνει πληροφορίες που αναγκάζουν ανυποψίαστους χρήστες να κατεβάσουν και να εκτελέσουν το αρχείο που επισυνάπτεται στο email.

Αμέσως μετά το άνοιγμα ενός κακόβουλου αρχείου, το Wildfire διεισδύει στο σύστημα και επιλέγει έγγραφα γραφείου και αρχεία PDF, τα οποία είναι κρυπτογραφημένα χρησιμοποιώντας αλγόριθμους RSA ή AES-256. Οι επεκτάσεις αρχείων αλλάζουν σε WFLX και ως εκ τούτου οι χρήστες δεν μπορούν πλέον να τις ανοίξουν. Το κακόβουλο λογισμικό αφήνει επίσης μηνύματα σχετικά με τον τρόπο ξεκλειδώματος αρχείων σε κάθε φάκελο που δέχεται επίθεση και στην επιφάνεια εργασίας.

Είναι σημαντικό να σημειωθεί ότι το ransomware διαγράφει όλα τα αντίγραφα των τόμων σκιών στον υπολογιστή. Συνεπώς, δεν έχει νόημα η επαναφορά αρχείων χρησιμοποιώντας προηγούμενα σημεία επαναφοράς συστήματος.

Σας επιτρέπει να ανακτήσετε μολυσμένα αρχεία

Ο κύριος σκοπός του εργαλείου είναι να βοηθήσει στην εύρεση του κλειδιού κρυπτογράφησης για αρχεία που έχουν μολυνθεί με το WildFire Locker. Συνιστάται να παρέχετε τη διαδρομή σε ένα από τα παραβιασμένα αρχεία και να βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας όλων των εγγράφων πριν πραγματοποιήσετε ανάκτηση.

Το εργαλείο σάς επιτρέπει να αναγνωρίζετε σαρωμένα αντικείμενα σκληροι ΔΙΣΚΟΙ, αφαιρούμενες μονάδες δίσκου και διαμερίσματα δικτύου σε περίπτωση που η μόλυνση έχει εξαπλωθεί πέρα ​​από τον υπολογιστή. Ο χρήστης μπορεί να ρυθμίσει την αφαίρεση μολυσμένων αρχείων μετά από επιτυχή αποκρυπτογράφηση και ανάκτηση αρχείων.

Επίσης, φροντίστε να διαγράψετε το εκτελέσιμο αρχείο WildFire Locker για να αποφύγετε την εκ νέου εκτέλεση εργασιών επαναφοράς. Εκτελέσιμο αρχείοβρίσκεται στο φάκελο %LocalAppData%.

είναι ένα κακόβουλο πρόγραμμα που, όταν ενεργοποιηθεί, κρυπτογραφεί όλα τα προσωπικά αρχεία, όπως έγγραφα, φωτογραφίες κ.λπ. Ο αριθμός τέτοιων προγραμμάτων είναι πολύ μεγάλος και αυξάνεται καθημερινά. Μόνο σε ΠρόσφαταΣυναντήσαμε δεκάδες παραλλαγές ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, κ.λπ. Ο στόχος τέτοιων ιών κρυπτογράφησης είναι να αναγκάσουν τους χρήστες να αγοράσουν, συχνά για ένα μεγάλο χρηματικό ποσό, το πρόγραμμα και το κλειδί που είναι απαραίτητο για την αποκρυπτογράφηση των δικών τους αρχείων.

Φυσικά, μπορείτε να επαναφέρετε κρυπτογραφημένα αρχεία απλά ακολουθώντας τις οδηγίες που αφήνουν οι δημιουργοί του ιού στον μολυσμένο υπολογιστή. Αλλά τις περισσότερες φορές, το κόστος της αποκρυπτογράφησης είναι πολύ σημαντικό και πρέπει επίσης να γνωρίζετε ότι ορισμένοι ιοί ransomware κρυπτογραφούν τα αρχεία με τέτοιο τρόπο που είναι απλώς αδύνατο να τα αποκρυπτογραφήσετε αργότερα. Και φυσικά, είναι απλώς ενοχλητικό να πληρώνεις για να επαναφέρεις τα δικά σου αρχεία.

Παρακάτω θα μιλήσουμε λεπτομερέστερα για τους ιούς κρυπτογράφησης, τον τρόπο διείσδυσης στον υπολογιστή του θύματος, καθώς και τον τρόπο αφαίρεσης του ιού κρυπτογράφησης και επαναφοράς αρχείων κρυπτογραφημένων από αυτόν.

Πώς ένας ιός ransomware διεισδύει σε έναν υπολογιστή;

Ένας ιός ransomware συνήθως διαδίδεται μέσω email. Η επιστολή περιέχει μολυσμένα έγγραφα. Τέτοιες επιστολές αποστέλλονται σε μια τεράστια βάση δεδομένων με διευθύνσεις email. Οι συντάκτες αυτού του ιού χρησιμοποιούν παραπλανητικές κεφαλίδες και περιεχόμενα γραμμάτων, προσπαθώντας να ξεγελάσουν τον χρήστη ώστε να ανοίξει ένα έγγραφο που επισυνάπτεται στην επιστολή. Ορισμένες επιστολές ενημερώνουν για την ανάγκη πληρωμής λογαριασμού, άλλες προσφέρουν να δείτε τον πιο πρόσφατο τιμοκατάλογο, άλλες προσφέρουν να ανοίξετε μια αστεία φωτογραφία κ.λπ. Σε κάθε περίπτωση, το άνοιγμα του συνημμένου αρχείου θα έχει ως αποτέλεσμα να μολυνθεί ο υπολογιστής σας από έναν ιό ransomware.

Τι είναι ένας ιός ransomware;

Ένας ιός ransomware είναι ένα κακόβουλο πρόγραμμα που μολύνει σύγχρονες εκδόσειςλειτουργικά συστήματα Οικογένεια Windows, όπως τα Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Αυτοί οι ιοί προσπαθούν να χρησιμοποιήσουν τις ισχυρότερες δυνατές λειτουργίες κρυπτογράφησης, για παράδειγμα RSA-2048 με μήκος κλειδιού 2048 bit, το οποίο πρακτικά εξαλείφει τη δυνατότητα επιλογής κλειδιού για αυτοαποκρυπτογράφησηαρχεία.

Όταν μολύνει έναν υπολογιστή, ο ιός ransomware χρησιμοποιεί τον κατάλογο συστήματος %APPDATA% για να αποθηκεύσει τα δικά του αρχεία. Για αυτόματη εκκίνηση όταν ο υπολογιστής είναι ενεργοποιημένος, το ransomware δημιουργεί μια καταχώρηση στο μητρώο των Windows: ενότητες HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Αμέσως μετά την εκκίνηση, ο ιός σαρώνει όλες τις διαθέσιμες μονάδες δίσκου, συμπεριλαμβανομένων των δικτύων και αποθήκευση στο σύννεφο, για να προσδιορίσετε ποια αρχεία θα κρυπτογραφηθούν. Ένας ιός ransomware χρησιμοποιεί μια επέκταση ονόματος αρχείου ως τρόπο αναγνώρισης μιας ομάδας αρχείων που θα κρυπτογραφηθούν. Σχεδόν όλοι οι τύποι αρχείων είναι κρυπτογραφημένοι, συμπεριλαμβανομένων κοινών όπως:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdta , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, πορτοφόλι, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Αμέσως μετά την κρυπτογράφηση ενός αρχείου, λαμβάνει μια νέα επέκταση, η οποία μπορεί συχνά να χρησιμοποιηθεί για τον προσδιορισμό του ονόματος ή του τύπου του ransomware. Ορισμένοι τύποι αυτών των κακόβουλων προγραμμάτων μπορούν επίσης να αλλάξουν τα ονόματα των κρυπτογραφημένων αρχείων. Στη συνέχεια δημιουργείται ο ιός έγγραφο κειμένουμε ονόματα όπως HELP_YOUR_FILES, README, τα οποία περιέχουν οδηγίες για την αποκρυπτογράφηση κρυπτογραφημένων αρχείων.

Κατά τη λειτουργία του, ο ιός κρυπτογράφησης προσπαθεί να εμποδίσει τη δυνατότητα επαναφοράς αρχείων χρησιμοποιώντας το σύστημα SVC (σκιώδης αντιγραφή αρχείων). Για το σκοπό αυτό ο ιός λειτουργία εντολήςκαλεί το βοηθητικό πρόγραμμα για τη διαχείριση σκιωδών αντιγράφων αρχείων με ένα κλειδί που ξεκινά τη διαδικασία για την πλήρη διαγραφή τους. Έτσι, είναι σχεδόν πάντα αδύνατο να επαναφέρετε αρχεία χρησιμοποιώντας τα σκιερά αντίγραφά τους.

Ο ιός ransomware χρησιμοποιεί ενεργά τακτικές εκφοβισμού δίνοντας στο θύμα έναν σύνδεσμο προς μια περιγραφή του αλγόριθμου κρυπτογράφησης και εμφανίζοντας ένα απειλητικό μήνυμα στην επιφάνεια εργασίας. Με αυτόν τον τρόπο, προσπαθεί να αναγκάσει τον χρήστη του μολυσμένου υπολογιστή, χωρίς δισταγμό, να στείλει το αναγνωριστικό του υπολογιστή στη διεύθυνση email του συντάκτη του ιού για να προσπαθήσει να ανακτήσει τα αρχεία του. Η απάντηση σε ένα τέτοιο μήνυμα είναι τις περισσότερες φορές το ποσό των λύτρων και η διεύθυνση του ηλεκτρονικού πορτοφολιού.

Είναι ο υπολογιστής μου μολυσμένος με ιό ransomware;

Είναι αρκετά εύκολο να προσδιοριστεί εάν ένας υπολογιστής έχει μολυνθεί από έναν ιό κρυπτογράφησης ή όχι. Δώστε προσοχή στις επεκτάσεις των προσωπικών σας αρχείων, όπως έγγραφα, φωτογραφίες, μουσική κ.λπ. Εάν η επέκταση έχει αλλάξει ή τα προσωπικά σας αρχεία έχουν εξαφανιστεί, αφήνοντας πίσω πολλά αρχεία με άγνωστα ονόματα, τότε ο υπολογιστής σας έχει μολυνθεί. Επιπλέον, ένα σημάδι μόλυνσης είναι η παρουσία ενός αρχείου με το όνομα HELP_YOUR_FILES ή README στους καταλόγους σας. Αυτό το αρχείο θα περιέχει οδηγίες για την αποκρυπτογράφηση των αρχείων.

Εάν υποψιάζεστε ότι έχετε ανοίξει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που έχει μολυνθεί από ιό ransomware, αλλά δεν υπάρχουν ακόμη συμπτώματα μόλυνσης, μην απενεργοποιήσετε ή επανεκκινήσετε τον υπολογιστή σας. Ακολουθήστε τα βήματα που περιγράφονται σε αυτό το εγχειρίδιο, ενότητα. Επαναλαμβάνω για άλλη μια φορά, είναι πολύ σημαντικό να μην απενεργοποιήσετε τον υπολογιστή σε ορισμένους τύπους ransomware, η διαδικασία κρυπτογράφησης αρχείων ενεργοποιείται την πρώτη φορά που ενεργοποιείτε τον υπολογιστή μετά τη μόλυνση!

Πώς να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα με ιό ransomware;

Αν συμβεί αυτή η καταστροφή, τότε δεν υπάρχει λόγος πανικού! Αλλά πρέπει να ξέρετε ότι στις περισσότερες περιπτώσεις δεν υπάρχει δωρεάν αποκρυπτογράφηση. Αυτό οφείλεται στους ισχυρούς αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται από τέτοιους κακόβουλο λογισμικό. Αυτό σημαίνει ότι χωρίς ιδιωτικό κλειδί, είναι σχεδόν αδύνατο να αποκρυπτογραφηθούν αρχεία. Η χρήση της μεθόδου επιλογής κλειδιού δεν αποτελεί επίσης επιλογή, λόγω του μεγάλου μήκους του κλειδιού. Επομένως, δυστυχώς, μόνο η πληρωμή προς τους δημιουργούς του ιού είναι ολόκληρο το ζητούμενο ποσό ο μόνος τρόποςπροσπαθήστε να πάρετε το κλειδί αποκρυπτογράφησης.

Φυσικά, δεν υπάρχει καμία απολύτως εγγύηση ότι μετά την πληρωμή οι δημιουργοί του ιού θα επικοινωνήσουν μαζί σας και θα παρέχουν το απαραίτητο κλειδί για την αποκρυπτογράφηση των αρχείων σας. Επιπλέον, πρέπει να καταλάβετε ότι πληρώνοντας χρήματα σε προγραμματιστές ιών, εσείς οι ίδιοι τους ενθαρρύνετε να δημιουργήσουν νέους ιούς.

Πώς να αφαιρέσετε έναν ιό ransomware;

Πριν ξεκινήσετε, πρέπει να γνωρίζετε ότι ξεκινώντας την αφαίρεση του ιού και την προσπάθεια επαναφοράς των αρχείων μόνοι σας, αποκλείετε τη δυνατότητα αποκρυπτογράφησης των αρχείων πληρώνοντας στους δημιουργούς του ιού το ποσό που ζήτησαν.

Το Kaspersky Virus Removal Tool και το Malwarebytes Anti-malware μπορούν να ανιχνευθούν ΔΙΑΦΟΡΕΤΙΚΟΙ ΤΥΠΟΙενεργούς ιούς ransomware και θα τους αφαιρέσουν εύκολα από τον υπολογιστή σας, ΑΛΛΑ δεν μπορούν να επαναφέρουν κρυπτογραφημένα αρχεία.

5.1. Καταργήστε το ransomware χρησιμοποιώντας το Kaspersky Virus Removal Tool

Από προεπιλογή, το πρόγραμμα έχει ρυθμιστεί να ανακτά όλους τους τύπους αρχείων, αλλά για να επιταχύνετε την εργασία, συνιστάται να αφήσετε μόνο τους τύπους αρχείων που πρέπει να ανακτήσετε. Όταν ολοκληρώσετε την επιλογή σας, κάντε κλικ στο OK.

Στο κάτω μέρος του παραθύρου του προγράμματος QPhotoRec, βρείτε το κουμπί Αναζήτηση και κάντε κλικ σε αυτό. Πρέπει να επιλέξετε τον κατάλογο όπου θα αποθηκευτούν τα ανακτημένα αρχεία. Συνιστάται να χρησιμοποιείτε δίσκο που δεν περιέχει κρυπτογραφημένα αρχεία που απαιτούν ανάκτηση (μπορείτε να χρησιμοποιήσετε μονάδα flash ή εξωτερική μονάδα δίσκου).

Για να ξεκινήσετε τη διαδικασία αναζήτησης και επαναφοράς αρχικών αντιγράφων κρυπτογραφημένων αρχείων, κάντε κλικ στο κουμπί Αναζήτηση. Αυτή η διαδικασία διαρκεί αρκετά, οπότε να είστε υπομονετικοί.

Όταν ολοκληρωθεί η αναζήτηση, κάντε κλικ στο κουμπί Έξοδος. Τώρα ανοίξτε το φάκελο που επιλέξατε για να αποθηκεύσετε τα ανακτημένα αρχεία.

Ο φάκελος θα περιέχει καταλόγους με τα ονόματα recup_dir.1, recup_dir.2, recup_dir.3, κ.λπ. Όσο περισσότερα αρχεία βρίσκει το πρόγραμμα, τόσο περισσότεροι κατάλογοι θα υπάρχουν. Για να βρείτε τα αρχεία που χρειάζεστε, ελέγξτε όλους τους καταλόγους έναν προς έναν. Για να διευκολύνετε την εύρεση του αρχείου που χρειάζεστε μεταξύ ενός μεγάλου αριθμού ανακτημένων, χρησιμοποιήστε το ενσωματωμένο σύστημα Αναζήτηση στα Windows(κατά περιεχόμενο αρχείου) και επίσης μην ξεχνάτε τη λειτουργία ταξινόμησης αρχείων σε καταλόγους. Μπορείτε να επιλέξετε την ημερομηνία τροποποίησης του αρχείου ως επιλογή ταξινόμησης, καθώς το QPhotoRec επιχειρεί να επαναφέρει αυτήν την ιδιότητα κατά την επαναφορά ενός αρχείου.

Πώς να αποτρέψετε έναν ιό ransomware να μολύνει τον υπολογιστή σας;

Τα περισσότερα σύγχρονα προγράμματα προστασίας από ιούς διαθέτουν ήδη ενσωματωμένο σύστημα προστασίας από τη διείσδυση και την ενεργοποίηση ιών κρυπτογράφησης. Επομένως, εάν ο υπολογιστής σας δεν έχει πρόγραμμα προστασίας από ιούς, τότε φροντίστε να το εγκαταστήσετε. Μπορείτε να μάθετε πώς να το επιλέξετε διαβάζοντας αυτό.

Επιπλέον, υπάρχουν εξειδικευμένα προγράμματα προστασίας. Για παράδειγμα, αυτό είναι το CryptoPrevent, περισσότερες λεπτομέρειες.

Λίγα τελευταία λόγια

Ακολουθώντας αυτές τις οδηγίες, ο υπολογιστής σας θα καθαριστεί από τον ιό ransomware. Εάν έχετε οποιεσδήποτε ερωτήσεις ή χρειάζεστε βοήθεια, επικοινωνήστε μαζί μας.

Σήμερα, οι χρήστες υπολογιστών και φορητών υπολογιστών αντιμετωπίζουν όλο και περισσότερο κακόβουλο λογισμικό που αντικαθιστά τα αρχεία με κρυπτογραφημένα αντίγραφά τους. Ουσιαστικά πρόκειται για ιούς. Το XTBL ransomware θεωρείται ένα από τα πιο επικίνδυνα αυτής της σειράς. Τι είναι αυτό το παράσιτο, πώς εισέρχεται στον υπολογιστή του χρήστη και είναι δυνατή η επαναφορά κατεστραμμένων πληροφοριών;

Τι είναι το XTBL ransomware και πώς εισέρχεται στον υπολογιστή;

Εάν βρείτε αρχεία στον υπολογιστή ή τον φορητό υπολογιστή σας με μεγάλο όνομα και επέκταση .xtbl, τότε μπορείτε να πείτε με σιγουριά ότι το σύστημα έχει επικίνδυνο ιό- Κρυπτογράφηση XTBL. Επηρεάζει όλες τις εκδόσεις του λειτουργικού συστήματος Windows. Είναι σχεδόν αδύνατο να αποκρυπτογραφήσετε τέτοια αρχεία μόνοι σας, επειδή το πρόγραμμα χρησιμοποιεί μια υβριδική λειτουργία στην οποία η επιλογή ενός κλειδιού είναι απλά αδύνατη.

Οι κατάλογοι συστήματος είναι γεμάτοι με μολυσμένα αρχεία. Οι εγγραφές προστίθενται σε μητρώο των Windows, που εκκινεί αυτόματα τον ιό κάθε φορά που ξεκινά το λειτουργικό σύστημα.

Σχεδόν όλοι οι τύποι αρχείων είναι κρυπτογραφημένοι - γραφικά, κείμενο, αρχειοθέτηση, email, βίντεο, μουσική κ.λπ. Η εργασία στα Windows γίνεται αδύνατη.

Πώς λειτουργεί; Το XTBL ransomware που εκτελείται στα Windows πρώτα σαρώνει τα πάντα λογικές κινήσεις. Αυτό περιλαμβάνει σύννεφο και αποθήκευσης δικτύουπου βρίσκεται στον υπολογιστή. Ως αποτέλεσμα, τα αρχεία ομαδοποιούνται κατά επέκταση και στη συνέχεια κρυπτογραφούνται. Έτσι, όλες οι πολύτιμες πληροφορίες που βρίσκονται στους φακέλους του χρήστη γίνονται απρόσιτες.

Αυτή είναι η εικόνα που θα δει ο χρήστης αντί για εικονίδια με τα ονόματα οικείων αρχείων

Υπό την επίδραση του XTBL ransomware, η επέκταση αρχείου αλλάζει. Τώρα ο χρήστης βλέπει ένα εικονίδιο κενού φύλλου και έναν μεγάλο τίτλο που τελειώνει σε .xtbl αντί για εικόνα ή κείμενο στο Word. Επιπλέον, εμφανίζεται ένα μήνυμα στην επιφάνεια εργασίας, ένα είδος οδηγίας για την επαναφορά κρυπτογραφημένων πληροφοριών, που απαιτεί να πληρώσετε για ξεκλείδωμα. Αυτό δεν είναι τίποτα άλλο από εκβιασμός που απαιτεί λύτρα.

Αυτό το μήνυμα εμφανίζεται στο παράθυρο της επιφάνειας εργασίας του υπολογιστή σας.

Το XTBL ransomware συνήθως διανέμεται μέσω email. Το email περιέχει συνημμένα αρχεία ή έγγραφα που έχουν μολυνθεί από ιό. Ο απατεώνας προσελκύει τον χρήστη με έναν πολύχρωμο τίτλο. Όλα γίνονται για να διασφαλιστεί ότι το μήνυμα, που λέει ότι εσείς, για παράδειγμα, κερδίσατε ένα εκατομμύριο, είναι ανοιχτό. Μην απαντάτε σε τέτοια μηνύματα, διαφορετικά υπάρχει μεγάλος κίνδυνος ο ιός να καταλήξει στο λειτουργικό σας σύστημα.

Είναι δυνατή η ανάκτηση πληροφοριών;

Μπορείτε να προσπαθήσετε να αποκρυπτογραφήσετε τις πληροφορίες χρησιμοποιώντας ειδικά βοηθητικά προγράμματα.Ωστόσο, δεν υπάρχει καμία εγγύηση ότι θα μπορέσετε να απαλλαγείτε από τον ιό και να επαναφέρετε κατεστραμμένα αρχεία.

Επί του παρόντος, το XTBL ransomware αποτελεί αναμφισβήτητη απειλή για όλους τους υπολογιστές με λειτουργικό σύστημα Windows. Ακόμη και οι αναγνωρισμένοι ηγέτες στον αγώνα κατά των ιών - Dr.Web και Kaspersky Lab - δεν έχουν 100% λύση σε αυτό το ζήτημα.

Αφαίρεση ιού και επαναφορά κρυπτογραφημένων αρχείων

Υπάρχουν διάφορες μέθοδοι και προγράμματα που σας επιτρέπουν να εργάζεστε με κρυπτογράφηση XTBL.Κάποιοι αφαιρούν τον ίδιο τον ιό, άλλοι προσπαθούν να αποκρυπτογραφήσουν κλειδωμένα αρχεία ή να επαναφέρουν τα προηγούμενα αντίγραφά τους.

Διακοπή μόλυνσης υπολογιστή

Εάν είστε αρκετά τυχεροί και παρατηρήσετε ότι αρχίζουν να εμφανίζονται στον υπολογιστή σας αρχεία με επέκταση .xtbl, τότε είναι πολύ πιθανό να διακόψετε τη διαδικασία περαιτέρω μόλυνσης.

Εργαλείο αφαίρεσης του ιού Kaspersky για την αφαίρεση ransomware XTBL

Όλα αυτά τα προγράμματα θα πρέπει να ανοίγουν σε ένα λειτουργικό σύστημα που έχει εκκινήσει προηγουμένως σε ασφαλή λειτουργία με την επιλογή φόρτωσης προγραμμάτων οδήγησης δικτύου. Σε αυτήν την περίπτωση, είναι πολύ πιο εύκολο να αφαιρέσετε τον ιό, καθώς είναι συνδεδεμένος ο ελάχιστος αριθμός διεργασιών συστήματος που απαιτούνται για την εκκίνηση των Windows.

Για φόρτωση λειτουργία ασφαλείαςστο Παράθυρο XP, 7, κατά την εκκίνηση του συστήματος, πατήστε συνεχώς το πλήκτρο F8 και αφού εμφανιστεί το παράθυρο μενού, επιλέξτε το κατάλληλο στοιχείο. Στο χρησιμοποιώντας Windows 8, 10 θα πρέπει να επανεκκινήσετε το λειτουργικό σύστημα κρατώντας πατημένο το πλήκτρο Shift. Κατά τη διαδικασία εκκίνησης, θα ανοίξει ένα παράθυρο όπου μπορείτε να επιλέξετε την απαιτούμενη επιλογή ασφαλούς εκκίνησης.

Επιλογή ασφαλούς λειτουργίας με τη φόρτωση προγραμμάτων οδήγησης δικτύου

Το πρόγραμμα Kaspersky Virus Removal Tool αναγνωρίζει τέλεια το XTBL ransomware και αφαιρεί αυτόν τον τύπο ιών. Εκτελέστε μια σάρωση υπολογιστή κάνοντας κλικ στο κατάλληλο κουμπί μετά τη λήψη του βοηθητικού προγράμματος. Μόλις ολοκληρωθεί η σάρωση, διαγράψτε τυχόν κακόβουλα αρχεία που εντοπίστηκαν.

Εκτέλεση σάρωσης υπολογιστή για την παρουσία ενός XTBL ransomware στο λειτουργικό σύστημα Windows και, στη συνέχεια, αφαίρεση του ιού

Dr.Web CureIt!

Ο αλγόριθμος για τον έλεγχο και την αφαίρεση ενός ιού ουσιαστικά δεν διαφέρει από την προηγούμενη έκδοση.Χρησιμοποιήστε το βοηθητικό πρόγραμμα για να σαρώσετε όλες τις λογικές μονάδες δίσκου. Για να το κάνετε αυτό, απλά πρέπει να ακολουθήσετε τις εντολές του προγράμματος μετά την εκκίνηση του. Στο τέλος της διαδικασίας, απαλλαγείτε από τα μολυσμένα αρχεία κάνοντας κλικ στο κουμπί "Απολύμανση".

Εξουδετερώστε τα κακόβουλα αρχεία μετά τη σάρωση των Windows

Malwarebytes Anti-malware

Το πρόγραμμα θα πραγματοποιήσει έναν βήμα προς βήμα έλεγχο του υπολογιστή σας για κακόβουλους κωδικούς και θα τους καταστρέψει.

1. Εγκαταστήστε και εκτελέστε το βοηθητικό πρόγραμμα Anti-malware.
2. Επιλέξτε «Εκτέλεση σάρωσης» στο κάτω μέρος του παραθύρου που ανοίγει.
3. Περιμένετε να ολοκληρωθεί η διαδικασία και επιλέξτε τα πλαίσια ελέγχου με μολυσμένα αρχεία.
4. Διαγράψτε την επιλογή.

Αφαίρεση κακόβουλων αρχείων ransomware XTBL που εντοπίστηκαν κατά τη σάρωση

Ηλεκτρονικό σενάριο αποκρυπτογράφησης από το Dr.Web

Στην επίσημη ιστοσελίδα του Dr.Web στην ενότητα υποστήριξης υπάρχει μια καρτέλα με ένα σενάριο για online αποκρυπτογράφηση αρχείων. Λάβετε υπόψη ότι μόνο οι χρήστες που έχουν εγκατεστημένο το πρόγραμμα προστασίας από ιούς αυτού του προγραμματιστή στους υπολογιστές τους θα μπορούν να χρησιμοποιούν τον αποκρυπτογραφητή στο διαδίκτυο.

Διαβάστε τις οδηγίες, συμπληρώστε όλα τα απαραίτητα και κάντε κλικ στο κουμπί «Υποβολή».

Βοηθητικό πρόγραμμα αποκρυπτογράφησης RectorDecryptor από την Kaspersky Lab

Η Kaspersky Lab αποκρυπτογραφεί επίσης αρχεία.Στον επίσημο ιστότοπο μπορείτε να κάνετε λήψη του βοηθητικού προγράμματος RectorDecryptor.exe για εκδόσεις των Windows Vista, 7, 8 ακολουθώντας τους συνδέσμους μενού "Υποστήριξη - Απολύμανση και αποκρυπτογράφηση αρχείων - RectorDecryptor - Πώς να αποκρυπτογραφήσετε αρχεία". Εκτελέστε το πρόγραμμα, πραγματοποιήστε σάρωση και, στη συνέχεια, διαγράψτε τα κρυπτογραφημένα αρχεία επιλέγοντας την κατάλληλη επιλογή.

Σάρωση και αποκρυπτογράφηση αρχείων που έχουν μολυνθεί με ransomware XTBL

Επαναφορά κρυπτογραφημένων αρχείων από αντίγραφο ασφαλείας

Ξεκινώντας με εκδόσεις των Windows 7, μπορείτε να προσπαθήσετε να επαναφέρετε αρχεία από αντίγραφα ασφαλείας.

ShadowExplorer για ανάκτηση κρυπτογραφημένων αρχείων

Το πρόγραμμα είναι μια φορητή έκδοση, μπορεί να ληφθεί από οποιοδήποτε μέσο.

QPhotoRec

Το πρόγραμμα έχει δημιουργηθεί ειδικά για την ανάκτηση κατεστραμμένων και διαγραμμένων αρχείων.Χρησιμοποιώντας ενσωματωμένους αλγόριθμους, το βοηθητικό πρόγραμμα βρίσκει και επιστρέφει όλες τις χαμένες πληροφορίες στην αρχική τους κατάσταση.

Το QPhotoRec είναι δωρεάν.

Δυστυχώς, υπάρχει μόνο μια αγγλική έκδοση του QPhotoRec, αλλά η κατανόηση των ρυθμίσεων δεν είναι καθόλου δύσκολη, η διεπαφή είναι διαισθητική.

1. Εκκινήστε το πρόγραμμα.
2. Επισημάνετε τις λογικές μονάδες δίσκου με κρυπτογραφημένες πληροφορίες.
3. Κάντε κλικ στην επιλογή Μορφές αρχείων και OK.
4. Επιλέξτε χρησιμοποιώντας το κουμπί Αναζήτηση που βρίσκεται στο κάτω μέρος ανοιχτό παράθυρο, τη θέση αποθήκευσης των αρχείων και έναρξη της διαδικασίας ανάκτησης κάνοντας κλικ στην Αναζήτηση.

Το QPhotoRec ανακτά αρχεία που έχουν διαγραφεί από το XTBL ransomware και αντικαθίστανται με δικά του αντίγραφα

Πώς να αποκρυπτογραφήσετε αρχεία - βίντεο

Τι να μην κάνεις

1. Ποτέ μην κάνετε ενέργειες για τις οποίες δεν είστε απόλυτα σίγουροι.Καλύτερα καλέστε έναν ειδικό από κέντρο εξυπηρέτησηςή πάρτε τον υπολογιστή εκεί μόνοι σας.
2. Μην ανοίγετε μηνύματα email από άγνωστους αποστολείς.
3. Σε καμία περίπτωση δεν πρέπει να ακολουθήσετε το παράδειγμα των εκβιαστών συμφωνώντας να μεταφέρετε χρήματα σε αυτούς. Αυτό πιθανότατα δεν θα δώσει κανένα αποτέλεσμα.
4. Μην μετονομάζετε μη αυτόματα τις επεκτάσεις των κρυπτογραφημένων αρχείων και μην βιαστείτε να εγκαταστήσετε ξανά τα Windows. Ίσως είναι δυνατό να βρεθεί μια λύση που θα διορθώσει την κατάσταση.

Πρόληψη

Προσπαθήστε να εγκαταστήσετε αξιόπιστη προστασία από τη διείσδυση του XTBL ransomware και παρόμοιων ιών ransomware στον υπολογιστή σας. Τέτοια προγράμματα περιλαμβάνουν:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware.
• WinAntiRansom;
• CryptoPrevent.

Παρά το γεγονός ότι είναι όλα αγγλικά, η εργασία με τέτοια βοηθητικά προγράμματα είναι αρκετά απλή. Εκκινήστε το πρόγραμμα και επιλέξτε το επίπεδο προστασίας στις ρυθμίσεις.

Εκκίνηση του προγράμματος και επιλογή επιπέδου προστασίας

Εάν έχετε αντιμετωπίσει έναν ιό ransomware που κρυπτογραφεί αρχεία στον υπολογιστή σας, τότε, φυσικά, δεν πρέπει να απελπίζεστε αμέσως. Δοκιμάστε να χρησιμοποιήσετε τις προτεινόμενες μεθόδους για την επαναφορά κατεστραμμένων πληροφοριών. Συχνά αυτό δίνει ένα θετικό αποτέλεσμα. Μην χρησιμοποιείτε μη επαληθευμένα προγράμματα από άγνωστους προγραμματιστές για να αφαιρέσετε το XTBL ransomware. Μετά από όλα, αυτό μπορεί μόνο να επιδεινώσει την κατάσταση. Εάν είναι δυνατόν, εγκαταστήστε ένα από τα προγράμματα στον υπολογιστή σας που εμποδίζει τον ιό να λειτουργήσει και εκτελέστε τακτικά προγραμματισμένα Σάρωση των Windowsγια την παρουσία κακόβουλων διεργασιών.

Οι χάκερ ransomware μοιάζουν πολύ με τους κανονικούς εκβιαστές. Τόσο στον πραγματικό κόσμο όσο και στο περιβάλλον του κυβερνοχώρου, υπάρχει ένας μεμονωμένος ή ομαδικός στόχος επίθεσης. Είτε κλαπεί είτε γίνεται απρόσιτο. Στη συνέχεια, οι εγκληματίες χρησιμοποιούν ορισμένα μέσα επικοινωνίας με τα θύματα για να μεταφέρουν τα αιτήματά τους. Οι απατεώνες υπολογιστών συνήθως επιλέγουν μόνο λίγες μορφές για γράμματα λύτρων, αλλά αντίγραφα μπορούν να βρεθούν σχεδόν σε οποιαδήποτε θέση μνήμης σε ένα μολυσμένο σύστημα. Στην περίπτωση της οικογένειας spyware που είναι γνωστή ως Troldesh ή Shade, οι απατεώνες ακολουθούν μια ειδική προσέγγιση όταν επικοινωνούν με το θύμα.

Ας ρίξουμε μια πιο προσεκτική ματιά σε αυτό το στέλεχος του ιού ransomware, το οποίο απευθύνεται στο ρωσόφωνο κοινό. Οι περισσότερες παρόμοιες μολύνσεις εντοπίζουν τη διάταξη του πληκτρολογίου στον υπολογιστή που δέχεται επίθεση και εάν μία από τις γλώσσες είναι η ρωσική, η εισβολή σταματά. Ωστόσο, ο ιός ransomware XTBLανεξήγητο: δυστυχώς για τους χρήστες, η επίθεση εκτυλίσσεται ανεξάρτητα από τη γεωγραφική τους θέση και τις γλωσσικές προτιμήσεις τους. Μια σαφής ενσωμάτωση αυτής της ευελιξίας είναι μια προειδοποίηση που εμφανίζεται στο φόντο της επιφάνειας εργασίας, καθώς και ένα αρχείο TXT με οδηγίες για την πληρωμή των λύτρων.

Ο ιός XTBL μεταδίδεται συνήθως μέσω spam. Τα μηνύματα μοιάζουν με γράμματα από διάσημες μάρκες ή είναι απλά εντυπωσιακά επειδή η γραμμή θέματος χρησιμοποιεί εκφράσεις όπως "Επείγοντα!" ή "Σημαντικά οικονομικά έγγραφα". Το τέχνασμα ηλεκτρονικού ψαρέματος θα λειτουργήσει όταν ο παραλήπτης αυτού του μηνύματος ηλεκτρονικού ταχυδρομείου. Τα μηνύματα θα κατεβάσουν ένα αρχείο ZIP που περιέχει κώδικα JavaScript ή ένα αντικείμενο Docm που περιέχει μια δυνητικά ευάλωτη μακροεντολή.

Έχοντας ολοκληρώσει τον βασικό αλγόριθμο στον υπολογιστή που έχει παραβιαστεί, το ransomware Trojan προχωρά στην αναζήτηση δεδομένων που μπορεί να έχουν αξία για τον χρήστη. Για το σκοπό αυτό, ο ιός σαρώνει το τοπικό και εξωτερική μνήμη, ταυτίζοντας ταυτόχρονα κάθε αρχείο με ένα σύνολο μορφών που επιλέγονται με βάση την επέκταση του αντικειμένου. Όλα τα αρχεία .jpg, .wav, .doc, .xls, καθώς και πολλά άλλα αντικείμενα, είναι κρυπτογραφημένα με χρήση του συμμετρικού αλγόριθμου κρυπτογράφησης μπλοκ AES-256.

Υπάρχουν δύο πτυχές σε αυτό το επιβλαβές αποτέλεσμα. Πρώτα απ 'όλα, ο χρήστης χάνει την πρόσβαση σε σημαντικά δεδομένα. Επιπλέον, τα ονόματα αρχείων είναι βαθιά κωδικοποιημένα, με αποτέλεσμα μια άνευ σημασίας συμβολοσειρά δεκαεξαδικών χαρακτήρων. Το μόνο που ενώνει τα ονόματα των επηρεαζόμενων αρχείων είναι η επέκταση xtbl που προστέθηκε σε αυτά, π.χ. όνομα απειλής στον κυβερνοχώρο. Τα κρυπτογραφημένα ονόματα αρχείων μερικές φορές έχουν ειδική μορφή. Σε ορισμένες εκδόσεις του Troldesh, τα ονόματα των κρυπτογραφημένων αντικειμένων ενδέχεται να παραμείνουν αμετάβλητα και ένας μοναδικός κωδικός προστίθεται στο τέλος: [email προστατευμένο], [email προστατευμένο], ή [email προστατευμένο].

Προφανώς, οι εισβολείς, έχοντας εισαγάγει διευθύνσεις email. ταχυδρομήστε απευθείας στα ονόματα των αρχείων, υποδεικνύοντας στα θύματα τη μέθοδο επικοινωνίας. ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗυποδεικνύεται επίσης αλλού, συγκεκριμένα στην επιστολή απαίτησης λύτρων που περιέχεται στο αρχείο "Readme.txt". Τέτοια έγγραφα Σημειωματάριο θα εμφανίζονται στην επιφάνεια εργασίας, καθώς και σε όλους τους φακέλους με κρυπτογραφημένα δεδομένα. Το βασικό μήνυμα είναι το εξής:

«Όλα τα αρχεία ήταν κρυπτογραφημένα. Για να τα αποκρυπτογραφήσετε, πρέπει να στείλετε τον κωδικό: [Ο μοναδικός σας κρυπτογράφηση] στο διεύθυνση ηλεκτρονικού ταχυδρομείου [email προστατευμένο]ή [email προστατευμένο]. Στη συνέχεια θα τα πάρετε όλα απαραίτητες οδηγίες. Οι προσπάθειες αποκρυπτογράφησης μόνοι σας δεν θα οδηγήσουν σε τίποτα παρά σε ανεπανόρθωτη απώλεια πληροφοριών.»

Η διεύθυνση email μπορεί να αλλάξει ανάλογα με την ομάδα εκβιασμού που διαδίδει τον ιό.

Όσο για περαιτέρω εξελίξεις: σε γενικές γραμμές, οι απατεώνες απαντούν με μια σύσταση για μεταφορά λύτρων, τα οποία μπορεί να είναι 3 bitcoin ή άλλο ποσό σε αυτό το εύρος. Λάβετε υπόψη ότι κανείς δεν μπορεί να εγγυηθεί ότι οι χάκερ θα εκπληρώσουν την υπόσχεσή τους ακόμη και μετά τη λήψη των χρημάτων. Για να επαναφέρετε την πρόσβαση σε αρχεία .xtbl, συνιστάται στους χρήστες που επηρεάζονται να δοκιμάσουν πρώτα όλες τις διαθέσιμες εναλλακτικές μεθόδους. Σε ορισμένες περιπτώσεις, τα δεδομένα μπορούν να τεθούν σε τάξη χρησιμοποιώντας την υπηρεσία Volume Shadow Copy που παρέχεται απευθείας στο λειτουργικό σύστημα Windows, καθώς και προγράμματα αποκρυπτογράφησης και ανάκτησης δεδομένων από ανεξάρτητους προγραμματιστές λογισμικού.

Καταργήστε το XTBL ransomware χρησιμοποιώντας ένα αυτόματο καθαριστικό

Αποκλειστικά αποτελεσματική μέθοδοςεργασία με κακόβουλο λογισμικό γενικά και ransomware ειδικότερα. Η χρήση ενός αποδεδειγμένου προστατευτικού συμπλέγματος εγγυάται την ενδελεχή ανίχνευση τυχόν ιικών συστατικών, τους πλήρης αφαίρεσημε ένα κλικ. Λάβετε υπόψη ότι μιλάμε για δύο διαφορετικές διαδικασίες: απεγκατάσταση της μόλυνσης και επαναφορά αρχείων στον υπολογιστή σας. Ωστόσο, η απειλή σίγουρα πρέπει να αφαιρεθεί, καθώς υπάρχουν πληροφορίες για την εισαγωγή άλλων Trojans υπολογιστών που την χρησιμοποιούν.

1. . Μετά την εκκίνηση του λογισμικού, κάντε κλικ στο κουμπί Αρχή Σάρωση υπολογιστή (Ξεκινήστε τη σάρωση).
2. Το εγκατεστημένο λογισμικό θα παρέχει μια αναφορά για τις απειλές που εντοπίστηκαν κατά τη σάρωση. Για να αφαιρέσετε όλες τις απειλές που εντοπίστηκαν, επιλέξτε την επιλογή Διορθώστε τις απειλές(Εξάλειψη απειλών). Το εν λόγω κακόβουλο λογισμικό θα καταργηθεί πλήρως.

Επαναφέρετε την πρόσβαση σε κρυπτογραφημένα αρχεία με την επέκταση .xtbl

Όπως σημειώθηκε, το XTBL ransomware κλειδώνει τα αρχεία χρησιμοποιώντας έναν ισχυρό αλγόριθμο κρυπτογράφησης, έτσι ώστε τα κρυπτογραφημένα δεδομένα να μην μπορούν να αποκατασταθούν με ένα κύμα μαγικού ραβδιού - χωρίς να πληρώσει ένα ανήκουστο ποσό λύτρων. Αλλά ορισμένες μέθοδοι μπορούν πραγματικά να είναι σωτήριες που θα σας βοηθήσουν να ανακτήσετε σημαντικά δεδομένα. Παρακάτω μπορείτε να εξοικειωθείτε με αυτά.

Decryptor – πρόγραμμα αυτόματης ανάκτησης αρχείων

Είναι γνωστή μια πολύ ασυνήθιστη περίσταση. Αυτή η μόλυνση διαγράφει τα αρχικά αρχεία σε μη κρυπτογραφημένη μορφή. Η διαδικασία κρυπτογράφησης για σκοπούς εκβιασμού στοχεύει έτσι αντίγραφά τους. Αυτό δίνει μια ευκαιρία για τέτοια λογισμικόπώς να επαναφέρετε τα σβησμένα αντικείμενα, ακόμα κι αν είναι εγγυημένη η αξιοπιστία της αφαίρεσής τους. Συνιστάται ανεπιφύλακτα να καταφύγετε στη διαδικασία ανάκτησης αρχείων, η αποτελεσματικότητα της οποίας έχει επιβεβαιωθεί περισσότερες από μία φορές.

Σκιώδη αντίγραφα τόμων

Η προσέγγιση βασίζεται στη διαδικασία των Windows Κρατήστε αντίγραφοαρχεία, η οποία επαναλαμβάνεται σε κάθε σημείο ανάκτησης. Σημαντική κατάσταση λειτουργίας αυτή τη μέθοδο: Η λειτουργία "Επαναφορά Συστήματος" πρέπει να ενεργοποιηθεί πριν από τη μόλυνση. Ωστόσο, τυχόν αλλαγές στο αρχείο που έγιναν μετά το σημείο επαναφοράς δεν θα εμφανιστούν στην επαναφερθείσα έκδοση του αρχείου.

Αντιγράφων ασφαλείας

Αυτή είναι η καλύτερη από όλες τις μεθόδους χωρίς λύτρα. Εάν η διαδικασία δημιουργίας αντιγράφων ασφαλείας δεδομένων σε εξωτερικό διακομιστή χρησιμοποιήθηκε πριν από την επίθεση ransomware στον υπολογιστή σας, για να επαναφέρετε κρυπτογραφημένα αρχεία, πρέπει απλώς να εισαγάγετε την κατάλληλη διεπαφή, να επιλέξετε τα απαραίτητα αρχεία και να εκκινήσετε τον μηχανισμό ανάκτησης δεδομένων από το αντίγραφο ασφαλείας. Πριν εκτελέσετε τη λειτουργία, πρέπει να βεβαιωθείτε ότι το ransomware έχει αφαιρεθεί πλήρως.

Ελέγξτε για πιθανή παρουσία υπολειμματικών στοιχείων του ιού XTBL ransomware

Καθαρισμός μέσα χειροκίνητη λειτουργίαείναι γεμάτη με την παράλειψη μεμονωμένων κομματιών ransomware που μπορούν να αποφύγουν την αφαίρεση ως κρυφά αντικείμενα λειτουργικό σύστημαή στοιχεία μητρώου. Για να εξαλείψετε τον κίνδυνο μερικής διατήρησης μεμονωμένων κακόβουλων στοιχείων, σαρώστε τον υπολογιστή σας χρησιμοποιώντας μια αξιόπιστη καθολική σουίτα προστασίας από ιούς.