محافظت در برابر باج افزار. ویروس رمزگذار - چیست، چرا رمزگشای فایل بعد از ویروس های کسپرسکی خطرناک است؟

حدود یک یا دو هفته پیش، هک دیگری از سوی سازندگان ویروس مدرن در اینترنت ظاهر شد که تمام فایل های کاربر را رمزگذاری می کند. یک بار دیگر به این سوال می پردازم که چگونه کامپیوتر را پس از یک ویروس باج افزار درمان کنیم رمزگذاری شده000007و فایل های رمزگذاری شده را بازیابی کنید. که در در این موردهیچ چیز جدید یا منحصر به فردی ظاهر نشده است، فقط یک تغییر از نسخه قبلی است.

رمزگشایی تضمین شده فایل ها پس از ویروس باج افزار - dr-shifro.ru. جزئیات کار و طرح تعامل با مشتری در مقاله من یا در وب سایت در بخش "رویه کار" در زیر آمده است.

شرح ویروس باج افزار CRYPTED000007

رمزگذار CRYPTED000007 هیچ تفاوتی اساسی با پیشینیان خود ندارد. تقریباً به همین صورت عمل می کند. اما هنوز چندین تفاوت وجود دارد که آن را متمایز می کند. من به ترتیب همه چیز را به شما خواهم گفت.

مانند همتایان خود از طریق پست می رسد. تکنیک های مورد استفاده مهندسی اجتماعیتا کاربر حتماً به نامه علاقه مند شود و آن را باز کند. در مورد من، نامه در مورد نوعی دادگاه و اطلاعات مهمدر مورد پرونده در پیوست پس از راه اندازی پیوست، کاربر یک سند Word را با عصاره ای از دادگاه داوری مسکو باز می کند.

به موازات باز کردن سند، رمزگذاری فایل شروع می شود. یک پیام اطلاعاتی از سیستم کنترل حساب کاربری ویندوز دائماً ظاهر می شود.

اگر با پیشنهاد موافق هستید، از فایل ها در سایه پشتیبان بگیرید کپی های ویندوزحذف خواهد شد و بازیابی اطلاعات بسیار دشوار خواهد بود. بدیهی است که تحت هیچ شرایطی نمی توانید با پیشنهاد موافقت کنید. در این رمزگذار، این درخواست ها به طور مداوم یکی پس از دیگری ظاهر می شوند و متوقف نمی شوند و کاربر را مجبور به موافقت و حذف نسخه های پشتیبان می کنند. این تفاوت اصلی با اصلاحات قبلی رمزگذارها است. من هرگز با درخواست هایی برای حذف کپی های سایه بدون توقف مواجه نشده ام. معمولا بعد از 5-10 پیشنهاد متوقف می شدند.

من فوراً برای آینده توصیه می کنم. غیرفعال کردن هشدارهای کنترل حساب کاربری برای افراد بسیار رایج است. نیازی به این کار نیست. این مکانیسمواقعا می تواند به مقاومت در برابر ویروس ها کمک کند. دومین توصیه واضح این است که دائماً زیر بار کار نکنید حسابمدیر کامپیوتر، مگر اینکه نیاز عینی به آن وجود داشته باشد. در این صورت، ویروس فرصت آسیب زیادی را نخواهد داشت. شانس بیشتری برای مقاومت در برابر او خواهید داشت.

اما حتی اگر همیشه به درخواست‌های باج‌افزار پاسخ منفی داده باشید، همه داده‌های شما قبلاً رمزگذاری شده‌اند. پس از اتمام فرآیند رمزگذاری، تصویری را روی دسکتاپ خود خواهید دید.

در عین حال، تعداد زیادی نیز وجود خواهد داشت فایل های متنیبا همین محتوا

فایل های شما رمزگذاری شده اند. برای رمزگشایی ux، باید کد: 329D54752553ED978F94|0 را به آدرس ایمیل ارسال کنید. [ایمیل محافظت شده]. در مرحله بعد تمام دستورالعمل های لازم را دریافت خواهید کرد. تلاش برای رمزگشایی به تنهایی منجر به چیزی جز تعداد غیرقابل برگشت اطلاعات نخواهد شد. اگر همچنان می خواهید امتحان کنید، ابتدا از فایل ها نسخه پشتیبان تهیه کنید، در غیر این صورت در صورت تغییر، رمزگشایی تحت هر شرایطی غیرممکن خواهد شد. اگر ظرف مدت 48 ساعت (فقط در این مورد!) به آدرس فوق اطلاع رسانی دریافت نکردید، از فرم تماس استفاده کنید. این کار به دو صورت انجام می شود: 1) مرورگر Tor را با استفاده از لینک: https://www.torproject.org/download/download-easy.html.en در فضای آدرس دانلود و نصب کنید. مرورگر Torآدرس: http://cryptsen7fo43rr6.onion/ را وارد کرده و Enter را فشار دهید. صفحه با فرم تماس بارگیری می شود. 2) در هر مرورگری به یکی از آدرس ها بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ تمام فایل های مهم رایانه شما رمزگذاری شده است. برای رمزگشایی فایل ها باید کد زیر را ارسال کنید: 329D54752553ED978F94|0 به آدرس ایمیل [ایمیل محافظت شده]. سپس تمام دستورالعمل های لازم را دریافت خواهید کرد. تمام تلاش‌های رمزگشایی توسط خودتان تنها منجر به از دست دادن غیرقابل برگشت داده‌های شما می‌شود. اگر هنوز می خواهید سعی کنید آنها را توسط خودتان رمزگشایی کنید، لطفاً ابتدا یک نسخه پشتیبان تهیه کنید زیرا در صورت هر گونه تغییر در فایل ها رمزگشایی غیرممکن می شود. اگر بیش از 48 ساعت (و فقط در این مورد!) پاسخ را از ایمیل اعلام شده دریافت نکردید، از فرم بازخورد استفاده کنید. شما می توانید این کار را به دو روش انجام دهید: 1) مرورگر Tor را از اینجا دانلود کنید: https://www.torproject.org/download/download-easy.html.en آن را نصب کنید و آدرس زیر را در نوار آدرس تایپ کنید: http:/ /cryptsen7fo43rr6.onion/ Enter را فشار دهید و سپس صفحه با فرم بازخورد بارگیری می شود. 2) در هر مرورگر به یکی از آدرس های زیر بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

آدرس پستیممکن است تغییر کند. به آدرس های زیر هم برخورد کردم:

آدرس ها به طور مداوم به روز می شوند، بنابراین می توانند کاملاً متفاوت باشند.

به محض اینکه متوجه شدید که فایل های شما رمزگذاری شده اند، بلافاصله رایانه خود را خاموش کنید. این باید انجام شود تا روند رمزگذاری مانند قبل قطع شود کامپیوتر محلیو در درایوهای شبکه. یک ویروس رمزگذاری می‌تواند تمام اطلاعاتی را که می‌تواند به آن دست یابد، از جمله درایوهای شبکه، رمزگذاری کند. اما اگر مقدار زیادی اطلاعات در آنجا وجود داشته باشد، زمان قابل توجهی از او خواهد گرفت. گاهی اوقات، حتی در چند ساعت، باج افزار زمان رمزگذاری همه چیز را در یک درایو شبکه با ظرفیت تقریباً 100 گیگابایت نداشت.

در مرحله بعد باید به دقت در مورد نحوه عمل کردن فکر کنید. اگر به هر قیمتی به اطلاعاتی در رایانه خود نیاز دارید و نسخه پشتیبان ندارید، در این لحظه بهتر است به متخصصان مراجعه کنید. در برخی شرکت ها لزوما برای پول نیست. شما فقط به کسی نیاز دارید که در آن مهارت داشته باشد سیستم های اطلاعاتی. ارزیابی مقیاس فاجعه، حذف ویروس و جمع آوری تمام اطلاعات موجود در مورد وضعیت به منظور درک چگونگی ادامه ضروری است.

اقدامات نادرست در این مرحله می تواند به طور قابل توجهی روند رمزگشایی یا بازیابی فایل ها را پیچیده کند. در بدترین حالت، آنها می توانند آن را غیرممکن کنند. بنابراین وقت خود را صرف کنید، مراقب باشید و ثابت قدم باشید.

چگونه ویروس باج افزار CRYPTED000007 فایل ها را رمزگذاری می کند

پس از راه اندازی ویروس و پایان فعالیت خود، همه فایل های مفید رمزگذاری می شوند و نام آن تغییر می کند extension.crypted000007. علاوه بر این، نه تنها پسوند فایل، بلکه نام فایل نیز جایگزین می‌شود، بنابراین اگر به خاطر نیاورید، دقیقاً نمی‌دانید چه نوع فایل‌هایی دارید. چیزی شبیه این خواهد بود.

در چنین شرایطی، ارزیابی مقیاس فاجعه دشوار خواهد بود، زیرا نمی توانید آنچه را که در زندگی خود داشته اید به طور کامل به خاطر بسپارید. پوشه های مختلف. این به طور خاص برای گیج کردن مردم و تشویق آنها به پرداخت هزینه برای رمزگشایی فایل انجام شد.

و اگر رمز کرده بودید و پوشه های شبکهو هیچ نسخه پشتیبان کاملی وجود ندارد، این می تواند به طور کامل کار کل سازمان را متوقف کند. مدتی طول می کشد تا بفهمید در نهایت چه چیزی از دست رفته است تا شروع به بازسازی کنید.

چگونه با رایانه خود رفتار کنید و باج افزار CRYPTED000007 را حذف کنید

ویروس CRYPTED000007 از قبل روی رایانه شما وجود دارد. اولین و مهمترین سوال این است که چگونه یک کامپیوتر را ضدعفونی کنیم و چگونه ویروس را از آن پاک کنیم تا در صورتی که هنوز کامل نشده است از رمزگذاری بیشتر جلوگیری شود. من می خواهم بلافاصله توجه شما را به این واقعیت جلب کنم که پس از اینکه خودتان شروع به انجام برخی اقدامات با رایانه خود کردید، شانس رمزگشایی داده ها کاهش می یابد. اگر نیاز به بازیابی فایل‌ها به هر قیمتی دارید، به رایانه خود دست نزنید، بلکه بلافاصله با متخصصان تماس بگیرید. در زیر در مورد آنها صحبت می کنم و پیوندی به سایت ارائه می دهم و نحوه کار آنها را شرح می دهم.

در عین حال، ما به طور مستقل به درمان رایانه و حذف ویروس ادامه خواهیم داد. به طور سنتی، باج افزار به راحتی از رایانه حذف می شود، زیرا ویروس وظیفه ندارد به هر قیمتی در رایانه باقی بماند. بعد از رمزگذاری کاملحتی برای او سود بیشتری دارد که خودش را پاک کند و ناپدید شود، به طوری که بررسی حادثه و رمزگشایی پرونده ها دشوارتر است.

توصیف حذف دستی یک ویروس دشوار است ، اگرچه قبلاً سعی کردم این کار را انجام دهم ، اما می بینم که اغلب بی معنی است. نام فایل ها و مسیرهای قرارگیری ویروس دائما در حال تغییر هستند. چیزی که من دیدم در عرض یکی دو هفته دیگر ربطی ندارد. به طور معمول، ویروس ها از طریق پست به صورت امواج ارسال می شوند، و هر بار یک اصلاح جدید وجود دارد که هنوز توسط آنتی ویروس ها شناسایی نشده است. ابزارهای جهانی که راه اندازی را بررسی می کنند و فعالیت مشکوک را در پوشه های سیستم تشخیص می دهند، کمک می کنند.

برای حذف ویروس CRYPTED000007 می توانید از برنامه های زیر استفاده کنید:

  1. ابزار حذف ویروس Kaspersky - ابزاری از Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - یک محصول مشابه از وب دیگر http://free.drweb.ru/cureit.
  3. اگر دو ابزار اول کمک نکردند، MALWAREBYTES 3.0 - https://ru.malwarebytes.com را امتحان کنید.

به احتمال زیاد یکی از این محصولات کامپیوتر شما را از باج افزار CRYPTED000007 پاک می کند. اگر به طور ناگهانی اتفاق افتاد که آنها کمکی نکردند، سعی کنید ویروس را به صورت دستی حذف کنید. من یک مثال از روش حذف زدم و می توانید آن را در آنجا ببینید. به طور خلاصه، گام به گام، باید به این صورت عمل کنید:

  1. پس از افزودن چندین ستون اضافی به مدیر وظیفه، به لیست فرآیندها نگاه می کنیم.
  2. ما فرآیند ویروس را پیدا می کنیم، پوشه ای که در آن قرار دارد را باز می کنیم و آن را حذف می کنیم.
  3. ما ذکر فرآیند ویروس را با نام فایل در رجیستری پاک می کنیم.
  4. ما راه اندازی مجدد می کنیم و مطمئن می شویم که ویروس CRYPTED000007 در لیست فرآیندهای در حال اجرا نیست.

رمزگشا CRYPTED000007 را از کجا دانلود کنیم

وقتی صحبت از ویروس باج افزار به میان می آید، سوال رمزگشای ساده و قابل اعتماد در ابتدا مطرح می شود. اولین چیزی که توصیه می کنم استفاده از سرویس https://www.nomoreransom.org است. اگر خوش شانس باشید و آنها یک رمزگشا برای نسخه رمزگذار CRYPTED000007 شما داشته باشند چه می شود. من فوراً می گویم که شما شانس زیادی ندارید، اما تلاش کردن شکنجه نیست. بر صفحه نخستروی بله کلیک کنید:

سپس چند فایل رمزگذاری شده را دانلود کنید و روی Go کلیک کنید! دریابید:

در زمان نگارش این مقاله هیچ رمزگشا در سایت وجود نداشت.

شاید شانس بیشتری داشته باشید. همچنین می توانید لیست رمزگشاها را برای دانلود در صفحه جداگانه ای مشاهده کنید - https://www.nomoreransom.org/decryption-tools.html. شاید چیز مفیدی در آنجا وجود داشته باشد. وقتی ویروس کاملا تازه است، احتمال کمی برای این اتفاق وجود دارد، اما به مرور زمان ممکن است چیزی ظاهر شود. نمونه هایی وجود دارد که رمزگشاهای برخی از تغییرات رمزگذارها در اینترنت ظاهر می شوند. و این نمونه ها در صفحه مشخص شده هستند.

من نمی دانم کجا دیگری می توانید رمزگشا پیدا کنید. با در نظر گرفتن ویژگی های کار رمزگذارهای مدرن، بعید است که واقعاً وجود داشته باشد. فقط نویسندگان ویروس می توانند رمزگشای کامل داشته باشند.

نحوه رمزگشایی و بازیابی فایل ها پس از ویروس CRYPTED000007

وقتی ویروس CRYPTED000007 فایل های شما را رمزگذاری کرده است چه باید کرد؟ اجرای فنی رمزگذاری اجازه رمزگشایی فایل‌ها را بدون کلید یا رمزگشا نمی‌دهد، که فقط نویسنده رمزگذار آن را دارد. شاید راه دیگری برای دریافت آن وجود داشته باشد، اما من آن اطلاعات را ندارم. ما فقط می توانیم سعی کنیم فایل ها را با استفاده از روش های بداهه بازیابی کنیم. این شامل:

  • ابزار کپی های سایهپنجره ها.
  • برنامه های بازیابی اطلاعات حذف شده

ابتدا، اجازه دهید بررسی کنیم که آیا کپی های سایه فعال شده است یا خیر. این ابزار به طور پیش فرض در ویندوز 7 و بالاتر کار می کند، مگر اینکه به صورت دستی آن را غیرفعال کنید. برای بررسی، ویژگی های کامپیوتر را باز کنید و به قسمت حفاظت سیستم بروید.

اگر در طول عفونت، درخواست UAC را برای حذف فایل‌ها در کپی‌های سایه تأیید نکردید، برخی از داده‌ها باید در آنجا باقی بمانند. من در ابتدای داستان، زمانی که در مورد کار ویروس صحبت کردم، در مورد این درخواست با جزئیات بیشتری صحبت کردم.

برای بازیابی آسان فایل ها از کپی های سایه، پیشنهاد می کنم استفاده کنید برنامه رایگانبرای این منظور - ShadowExplorer. آرشیو را دانلود کنید، برنامه را از بسته بندی خارج کرده و اجرا کنید.

آخرین کپی از فایل ها و ریشه درایو C باز می شود در گوشه سمت چپ بالا می توانید انتخاب کنید نسخه پشتیبان، اگر چندین مورد از آنها را دارید. نسخه های مختلف را برای در دسترس بودن بررسی کنید فایل های لازم. برای آخرین نسخه بر اساس تاریخ مقایسه کنید. در مثال زیر، 2 فایل را در دسکتاپ خود پیدا کردم که مربوط به سه ماه پیش بود که آخرین ویرایش آنها انجام شد.

من توانستم این فایل ها را بازیابی کنم. برای انجام این کار، آنها را انتخاب کردم، راست کلیک کردم، Export را انتخاب کردم و پوشه ای را که باید آنها را بازیابی کرد، مشخص کردم.

با استفاده از همین اصل می توانید بلافاصله پوشه ها را بازیابی کنید. اگر نسخه‌های سایه کار می‌کردند و آنها را حذف نکردید، شانس خوبی برای بازیابی همه یا تقریباً همه فایل‌های رمزگذاری شده توسط ویروس دارید. شاید برخی از آنها بیشتر باشد نسخه قدیمی، از چیزی که دوست داریم، اما با این وجود، بهتر از هیچ است.

اگر به دلایلی کپی سایه ای از فایل های خود ندارید، تنها شانس شما برای دریافت حداقل چیزی از فایل های رمزگذاری شده بازیابی آنها با استفاده از ابزارهای بازیابی است. فایل های حذف شده. برای این کار پیشنهاد می کنم از برنامه رایگان Photorec استفاده کنید.

برنامه را اجرا کنید و دیسکی را که فایل ها را روی آن بازیابی خواهید کرد انتخاب کنید. با راه اندازی نسخه گرافیکی برنامه، فایل اجرا می شود qphotorec_win.exe. شما باید پوشه ای را انتخاب کنید که فایل های پیدا شده در آن قرار می گیرند. بهتر است این پوشه در همان درایوی که در آن جستجو می کنیم قرار نگیرد. فلش مموری یا خارجی را وصل کنید HDDبرای این.

فرآیند جستجو زمان زیادی را به طول خواهد انجامید. در پایان آماری را مشاهده خواهید کرد. حالا می توانید به پوشه ای که قبلا مشخص شده است بروید و ببینید چه چیزی در آنجا یافت می شود. به احتمال زیاد فایل های زیادی وجود خواهد داشت و اکثر آنها یا خراب می شوند یا به نوعی فایل های سیستمی و بی مصرف خواهند بود. اما با این وجود، برخی از فایل های مفید را می توان در این لیست یافت. هیچ تضمینی در اینجا وجود ندارد، آنچه پیدا می کنید همان چیزی است که خواهید یافت. تصاویر معمولا به بهترین شکل بازیابی می شوند.

اگر نتیجه شما را راضی نکرد، برنامه هایی برای بازیابی فایل های پاک شده نیز وجود دارد. در زیر لیستی از برنامه هایی وجود دارد که معمولاً برای بازیابی حداکثر تعداد فایل ها از آنها استفاده می کنم:

  • R.saver
  • بازیابی فایل Starus
  • JPEG Recovery Pro
  • اکتیو فایل های بازیابی حرفه ای

این برنامه ها رایگان نیستند، بنابراین من لینک ارائه نمی کنم. اگر واقعاً می خواهید، می توانید آنها را خودتان در اینترنت پیدا کنید.

کل فرآیند بازیابی فایل به طور مفصل در ویدیوی انتهای مقاله نشان داده شده است.

Kaspersky، eset nod32 و دیگران در مبارزه با رمزگذار Filecoder.ED

آنتی ویروس های محبوب باج افزار CRYPTED000007 را به عنوان شناسایی می کنند Filecoder.EDو سپس ممکن است نام دیگری وجود داشته باشد. من از طریق انجمن های آنتی ویروس اصلی نگاه کردم و چیز مفیدی در آنجا ندیدم. متأسفانه، طبق معمول، نرم افزار آنتی ویروس برای تهاجم موج جدیدی از باج افزارها آماده نبود. در اینجا یک پست از انجمن Kaspersky است.

آنتی ویروس ها به طور سنتی تغییرات جدید تروجان های باج افزار را از دست می دهند. با این حال، استفاده از آنها را توصیه می کنم. اگر خوش شانس باشید و ایمیل باج افزاری را نه در اولین موج آلودگی، بلکه کمی دیرتر دریافت کنید، این احتمال وجود دارد که آنتی ویروس به شما کمک کند. همه آنها یک قدم عقب تر از مهاجمان کار می کنند. معلوم می شود یک نسخه جدیدباج افزارها، آنتی ویروس ها به آن پاسخ نمی دهند. به محض اینکه مقدار مشخصی از مواد برای تحقیق در مورد یک ویروس جدید جمع می شود، نرم افزار آنتی ویروس یک به روز رسانی را منتشر می کند و شروع به پاسخ دادن به آن می کند.

من نمی دانم چه چیزی مانع از پاسخ سریع آنتی ویروس ها به هر فرآیند رمزگذاری در سیستم می شود. شاید برخی نکات ظریف فنی در این موضوع وجود داشته باشد که به ما اجازه نمی دهد به اندازه کافی پاسخ دهیم و از رمزگذاری فایل های کاربر جلوگیری کنیم. به نظر من می توان حداقل یک هشدار در مورد این واقعیت که شخصی فایل های شما را رمزگذاری می کند نشان داد و پیشنهاد توقف این روند را داد.

برای رمزگشایی تضمینی به کجا مراجعه کنید

من این فرصت را داشتم که با یک شرکت آشنا شوم که در واقع پس از کار ویروس های رمزگذاری مختلف، از جمله CRYPTED000007، داده ها را رمزگشایی می کند. آدرس آنها http://www.dr-shifro.ru است. پرداخت فقط پس از رمزگشایی کامل و تأیید شما. در اینجا یک طرح تقریبی کار آمده است:

  1. یک متخصص شرکت به دفتر یا منزل شما می آید و با شما قراردادی امضا می کند که هزینه کار را مشخص می کند.
  2. رمزگشا را راه اندازی می کند و همه فایل ها را رمزگشایی می کند.
  3. اطمینان حاصل کنید که همه پرونده ها باز شده اند و گواهی تحویل / پذیرش کار انجام شده را امضا کنید.
  4. پرداخت تنها بر اساس نتایج رمزگشایی موفق انجام می شود.

صادقانه می گویم، نمی دانم چگونه این کار را می کنند، اما شما هیچ چیز را به خطر نمی اندازید. پرداخت فقط پس از نمایش عملکرد رسیور. لطفا نظر خود را در مورد تجربه خود در این شرکت بنویسید.

روش های محافظت در برابر ویروس CRYPTED000007

چگونه از خود در برابر باج افزار محافظت کنیم و از آسیب های مادی و معنوی جلوگیری کنیم؟ چند نکته ساده و موثر وجود دارد:

  1. پشتیبان گیری! پشتیبان گیری از تمام داده های مهم و نه فقط یک نسخه پشتیبان، بلکه یک نسخه پشتیبان که دسترسی دائمی به آن وجود ندارد. در غیر این صورت، ویروس می تواند اسناد و نسخه های پشتیبان شما را آلوده کند.
  2. آنتی ویروس دارای مجوز اگرچه آنها ضمانت 100٪ ارائه نمی دهند، اما شانس اجتناب از رمزگذاری را افزایش می دهند. آنها اغلب برای نسخه های جدید رمزگذار آماده نیستند، اما پس از 3-4 روز شروع به پاسخ دادن می کنند. این شانس شما را برای جلوگیری از عفونت افزایش می دهد، اگر در اولین موج پستی شرکت نکرده باشید اصلاح جدیدرمز نگار
  3. پیوست های مشکوک را در نامه باز نکنید. اینجا چیزی برای اظهار نظر وجود ندارد. همه باج افزارهای شناخته شده من از طریق ایمیل به کاربران رسیدند. علاوه بر این، هر بار ترفندهای جدیدی برای فریب قربانی اختراع می شود.
  4. لینک هایی که از طریق دوستانتان برای شما ارسال می شود را بدون فکر باز نکنید رسانه های اجتماعییا پیام رسان ها گاهی اوقات ویروس ها نیز به این ترتیب پخش می شوند.
  5. روشن کن نمایش ویندوزپسوند فایل نحوه انجام این کار به راحتی در اینترنت پیدا می شود. این به شما امکان می دهد پسوند فایل روی ویروس را مشاهده کنید. بیشتر اوقات چنین خواهد شد exe, vbs, .src. در کار روزمره خود با اسناد، بعید است که با چنین پسوند فایلی روبرو شوید.

من سعی کردم آنچه را قبلاً در هر مقاله در مورد ویروس باج افزار نوشته ام تکمیل کنم. در همین حین خداحافظی می کنم. خوشحال می شوم نظرات مفیدی را در مورد مقاله و به طور کلی ویروس باج افزار CRYPTED000007 دریافت کنم.

ویدیو در مورد رمزگشایی و بازیابی فایل

در اینجا نمونه ای از اصلاحات قبلی این ویروس است، اما ویدیو کاملاً مربوط به CRYPTED000007 است.

Kaspersky WildfireDecryptorابزاری ساده برای بازیابی فایل هایی است که توسط تروجان باج افزار WildFire Locker رمزگذاری شده اند.

در صورتی که یک عفونت باج افزار قبلاً رخ داده باشد، WildfireDecryptor به مقابله با عواقب آن و رمزگشایی فایل ها با پسوند .wflx کمک می کند.

علائم عفونت WildFire Locker

WildFire Locker باج‌افزاری است که از طریق پیام‌های ایمیلی منتشر می‌شود که هدر آنها برای جعل هویت یک شرکت مورد اعتماد به عنوان فرستنده تغییر یافته است. اطلاعاتی به قربانی داده می شود که باعث می شود کاربران ناآگاه فایل پیوست شده به ایمیل را دانلود و اجرا کنند.

بلافاصله پس از باز کردن یک فایل مخرب، Wildfire به سیستم نفوذ کرده و اسناد اداری را انتخاب می کند و فایل های PDF، که با استفاده از الگوریتم های RSA یا AES-256 رمزگذاری می شوند. پسوند فایل به WFLX تغییر کرده و از این رو کاربران دیگر نمی توانند آنها را باز کنند. این بدافزار همچنین پیام‌هایی در مورد نحوه باز کردن قفل فایل‌ها در هر پوشه مورد حمله و روی دسک‌تاپ ارسال می‌کند.

توجه به این نکته مهم است که باج‌افزار تمام کپی‌های حجم‌های سایه روی رایانه را حذف می‌کند. بر این اساس، بازگردانی فایل ها با استفاده از نقاط بازیابی سیستم قبلی هیچ فایده ای ندارد.

به شما امکان بازیابی فایل های آلوده را می دهد

هدف اصلی این ابزار کمک به یافتن کلید رمزگذاری برای فایل‌های آلوده به WildFire Locker است. توصیه می شود که مسیر یکی از فایل های در معرض خطر را ارائه دهید و مطمئن شوید که قبل از انجام بازیابی از همه اسناد پشتیبان تهیه کرده اید.

این ابزار به شما امکان می دهد اشیاء اسکن شده را شناسایی کنید دیسکهای سخت، درایوهای قابل جابجایی و پارتیشن های شبکه در صورتی که عفونت به خارج از رایانه گسترش یافته باشد. کاربر می تواند پس از رمزگشایی و بازیابی موفق فایل ها، حذف فایل های آلوده را پیکربندی کند.

همچنین، حتماً فایل اجرایی WildFire Locker را حذف کنید تا مجبور به انجام مجدد عملیات بازیابی نباشید. فایل اجراییدر پوشه %LocalAppData% قرار دارد.

یک برنامه مخرب است که با فعال شدن، تمام فایل های شخصی مانند اسناد، عکس ها و غیره را رمزگذاری می کند. تعداد این گونه برنامه ها بسیار زیاد است و هر روز بر آن افزوده می شود. تنها در اخیراما با ده ها نوع باج افزار مواجه شدیم: CryptoLocker، Crypt0l0cker، Alpha Crypt، TeslaCrypt، CoinVault، Bit Crypt، CTB-Locker، TorrentLocker، HydraCrypt، better_call_saul، crittt، .da_vinci_fcode، و غیره. هدف از چنین ویروس های رمزگذاری این است که کاربران را مجبور به خرید برنامه و کلید لازم برای رمزگشایی فایل های خود، اغلب با مبلغ زیادی پول کنند.

البته، شما می توانید فایل های رمزگذاری شده را به سادگی با پیروی از دستورالعمل هایی که سازندگان ویروس بر روی رایانه آلوده گذاشته اند، بازیابی کنید. اما اغلب، هزینه رمزگشایی بسیار قابل توجه است، و همچنین باید بدانید که برخی از ویروس‌های باج‌افزار، فایل‌ها را به گونه‌ای رمزگذاری می‌کنند که رمزگشایی آنها بعداً غیرممکن است. و البته، پرداخت هزینه برای بازگردانی فایل های خود فقط آزاردهنده است.

در زیر با جزئیات بیشتری در مورد ویروس های رمزگذاری، نحوه نفوذ آنها به رایانه قربانی و همچنین نحوه حذف ویروس رمزگذاری و بازیابی فایل های رمزگذاری شده توسط آن صحبت خواهیم کرد.

چگونه یک ویروس باج افزار به کامپیوتر نفوذ می کند؟

یک ویروس باج افزار معمولاً از طریق ایمیل منتشر می شود. نامه حاوی اسناد آلوده است. چنین نامه هایی به پایگاه داده عظیمی از آدرس های ایمیل ارسال می شود. نویسندگان این ویروس از سرصفحه ها و محتویات نامه های گمراه کننده استفاده می کنند و سعی می کنند کاربر را فریب دهند تا یک سند پیوست شده به نامه را باز کند. برخی از نامه ها در مورد نیاز به پرداخت صورتحساب اطلاع می دهند، برخی دیگر پیشنهاد می کنند آخرین لیست قیمت را مشاهده کنید، برخی دیگر پیشنهاد باز کردن یک عکس خنده دار و غیره را می دهند. در هر صورت باز کردن فایل ضمیمه شده باعث آلوده شدن کامپیوتر شما به ویروس رمزگذاری می شود.

ویروس باج افزار چیست؟

ویروس باج افزار یک برنامه مخرب است که آلوده می کند نسخه های مدرنسیستم های عامل خانواده ویندوزمانند ویندوز XP، ویندوز ویستا, Windows 7, Windows 8, Windows 10. این ویروس ها سعی می کنند از قوی ترین حالت های رمزگذاری ممکن استفاده کنند مثلا RSA-2048 با طول کلید 2048 بیت که عملا امکان انتخاب کلید برای رمزگشایی خودفایل ها.

هنگام آلوده کردن رایانه، ویروس باج‌افزار از دایرکتوری سیستم %APPDATA% برای ذخیره فایل‌های خود استفاده می‌کند. باج‌افزار برای راه‌اندازی خودکار زمانی که رایانه را روشن می‌کنید، یک ورودی در رجیستری ویندوز ایجاد می‌کند: بخش‌های HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

بلافاصله پس از راه اندازی، ویروس تمام درایوهای موجود، از جمله شبکه و فضای ذخیره ابری، برای تعیین اینکه کدام فایل ها رمزگذاری خواهند شد. یک ویروس باج افزار از پسوند نام فایل به عنوان راهی برای شناسایی گروهی از فایل هایی که رمزگذاری می شوند استفاده می کند. تقریباً همه انواع فایل ها رمزگذاری شده اند، از جمله موارد رایج مانند:

0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mdda , .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، . mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa، . apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، کیف پول، .wotreplay، .xxx، .desc، .py، .m3u، .flv، . js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، pfx.، .pem، .crt، .cer، .der، .x3f، .srw، .pef، ptx، .r3d، .rw2، .rwl، خام، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 , .srf، .arw، .3fr، .dng، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، . rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm، .odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf ، .wdb، .wdp، .webdoc، .webp، .wgz، .wire، .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5،. wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb، .xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .x ، .xwp، .xx، .xy3، .xyp، .xyw، .y، .yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، . zif، .zip، .zw

بلافاصله پس از رمزگذاری فایل، پسوند جدیدی دریافت می‌کند که اغلب می‌توان از آن برای شناسایی نام یا نوع باج‌افزار استفاده کرد. برخی از انواع این بدافزارها می توانند نام فایل های رمزگذاری شده را نیز تغییر دهند. سپس ویروس ایجاد می کند سند متنیبا نام هایی مانند HELP_YOUR_FILES، README، که حاوی دستورالعمل هایی برای رمزگشایی فایل های رمزگذاری شده است.

ویروس رمزگذاری در طول عملیات خود سعی می کند توانایی بازیابی فایل ها را با استفاده از سیستم SVC (کپی سایه فایل ها) مسدود کند. برای این منظور ویروس حالت فرمانابزاری را برای مدیریت کپی های سایه ای از فایل ها با کلیدی فراخوانی می کند که روند حذف کامل آنها را شروع می کند. بنابراین، بازیابی فایل‌ها با استفاده از کپی‌های سایه‌ای تقریباً همیشه غیرممکن است.

ویروس باج‌افزار به طور فعال از تاکتیک‌های ارعاب استفاده می‌کند و به قربانی پیوندی به توضیحات الگوریتم رمزگذاری می‌دهد و پیامی تهدیدآمیز را روی دسک‌تاپ نمایش می‌دهد. به این ترتیب، او سعی می‌کند کاربر رایانه آلوده را مجبور کند، بدون معطلی، شناسه رایانه را به آدرس ایمیل نویسنده ویروس ارسال کند تا بتواند فایل‌هایش را پس بگیرد. پاسخ به چنین پیامی اغلب مبلغ باج و آدرس کیف پول الکترونیکی است.

آیا کامپیوتر من به ویروس باج افزار آلوده شده است؟

تشخیص اینکه آیا کامپیوتر به ویروس رمزگذاری آلوده شده است یا خیر، بسیار آسان است. به پسوند فایل های شخصی خود مانند اسناد، عکس، موسیقی و غیره توجه کنید. اگر پسوند تغییر کرده باشد یا فایل های شخصی شما ناپدید شده باشد و فایل های زیادی با نام های ناشناخته باقی بماند، کامپیوتر شما آلوده شده است. علاوه بر این، نشانه عفونت وجود فایلی به نام HELP_YOUR_FILES یا README در فهرست های شما است. این فایل حاوی دستورالعمل هایی برای رمزگشایی فایل ها است.

اگر مشکوک هستید که ایمیل آلوده به ویروس باج‌افزار را باز کرده‌اید، اما هنوز علائم عفونت مشاهده نشده است، کامپیوتر خود را خاموش یا راه‌اندازی مجدد نکنید. مراحل توضیح داده شده در این بخش راهنما را دنبال کنید. یک بار دیگر تکرار می کنم، خاموش نکردن کامپیوتر در برخی از انواع باج افزارها بسیار مهم است، فرآیند رمزگذاری فایل در اولین باری که کامپیوتر را روشن می کنید پس از آلوده شدن فعال می شود!

چگونه فایل های رمزگذاری شده با ویروس باج افزار را رمزگشایی کنیم؟

اگر این فاجعه اتفاق بیفتد، پس نیازی به وحشت نیست! اما باید بدانید که در بیشتر موارد رمزگشای رایگان وجود ندارد. این به دلیل الگوریتم های رمزگذاری قوی مورد استفاده توسط چنین است بد افزار. این بدان معنی است که بدون کلید خصوصی، رمزگشایی فایل ها تقریبا غیرممکن است. استفاده از روش انتخاب کلید نیز به دلیل طول زیاد کلید، گزینه ای نیست. بنابراین، متأسفانه تنها پرداخت کل مبلغ درخواستی به نویسندگان ویروس است تنها راهسعی کنید کلید رمزگشایی را دریافت کنید.

البته، هیچ تضمینی وجود ندارد که پس از پرداخت، نویسندگان ویروس با شما تماس بگیرند و کلید لازم برای رمزگشایی فایل های شما را ارائه دهند. علاوه بر این، باید درک کنید که با پرداخت پول به توسعه دهندگان ویروس، خود آنها را تشویق به ایجاد ویروس های جدید می کنید.

چگونه یک ویروس باج افزار را حذف کنیم؟

قبل از شروع، باید بدانید که با شروع به حذف ویروس و تلاش برای بازیابی فایل‌ها، امکان رمزگشایی فایل‌ها را با پرداخت مبلغ درخواستی نویسندگان ویروس مسدود می‌کنید.

ابزار حذف ویروس Kaspersky و Malwarebytes Anti-Malware می توانند شناسایی کنند انواع متفاوتویروس های باج افزار فعال هستند و به راحتی آنها را از رایانه شما حذف می کنند، اما آنها نمی توانند فایل های رمزگذاری شده را بازیابی کنند.

5.1. باج افزار را با استفاده از ابزار حذف ویروس کسپرسکی حذف کنید

به طور پیش فرض، برنامه به گونه ای پیکربندی شده است که انواع فایل ها را بازیابی کند، اما برای سرعت بخشیدن به کار، توصیه می شود فقط انواع فایل هایی را که باید بازیابی کنید، باقی بگذارید. وقتی انتخاب خود را کامل کردید، روی OK کلیک کنید.

در پایین پنجره برنامه QPhotoRec، دکمه Browse را پیدا کرده و روی آن کلیک کنید. باید دایرکتوری را انتخاب کنید که فایل های بازیابی شده در آن ذخیره می شوند. توصیه می شود از دیسکی استفاده کنید که حاوی فایل های رمزگذاری شده ای نباشد که نیاز به بازیابی دارند (می توانید از درایو فلش یا درایو خارجی استفاده کنید).

برای شروع روند جستجو و بازیابی نسخه های اصلی فایل های رمزگذاری شده، روی دکمه جستجو کلیک کنید. این پروسه زمان زیادی می برد، پس صبور باشید.

پس از اتمام جستجو، روی دکمه Quit کلیک کنید. حالا پوشه ای را که برای ذخیره فایل های بازیابی انتخاب کرده اید باز کنید.

پوشه حاوی دایرکتوری هایی با نام های recup_dir.1، recup_dir.2، recup_dir.3 و غیره خواهد بود. هرچه برنامه فایل های بیشتری پیدا کند، دایرکتوری های بیشتری وجود خواهد داشت. برای یافتن فایل های مورد نیاز خود، همه دایرکتوری ها را یکی یکی بررسی کنید. برای سهولت یافتن فایل مورد نیاز در بین تعداد زیادی فایل بازیابی شده، از سیستم داخلی استفاده کنید جستجوی ویندوز(بر اساس محتوای فایل)، و همچنین عملکرد مرتب سازی فایل ها در فهرست ها را فراموش نکنید. شما می توانید تاریخ تغییر فایل را به عنوان گزینه مرتب سازی انتخاب کنید، زیرا QPhotoRec سعی می کند این ویژگی را هنگام بازیابی یک فایل بازیابی کند.

چگونه از آلوده شدن یک ویروس باج افزار به کامپیوتر خود جلوگیری کنیم؟

اکثر برنامه های ضد ویروس مدرن در حال حاضر دارای یک سیستم حفاظتی داخلی در برابر نفوذ و فعال سازی ویروس های رمزگذاری هستند. بنابراین، اگر کامپیوتر شما ندارد برنامه آنتی ویروس، سپس حتما آن را نصب کنید. با خواندن این مطلب می توانید نحوه انتخاب آن را پیدا کنید.

علاوه بر این، برنامه های حفاظتی تخصصی وجود دارد. به عنوان مثال، این CryptoPrevent است، جزئیات بیشتر.

چند کلمه پایانی

با پیروی از این دستورالعمل ها، رایانه شما از ویروس باج افزار پاک می شود. اگر سوالی دارید یا نیاز به کمک دارید، لطفا با ما تماس بگیرید.

امروزه کاربران کامپیوتر و لپ تاپ به طور فزاینده ای با بدافزارهایی مواجه می شوند که فایل ها را با نسخه های رمزگذاری شده جایگزین می کند. در اصل، اینها ویروس هستند. باج افزار XTBL یکی از خطرناک ترین های این سری محسوب می شود. این آفت چیست، چگونه وارد رایانه کاربر می شود و آیا امکان بازیابی اطلاعات آسیب دیده وجود دارد؟

باج افزار XTBL چیست و چگونه وارد کامپیوتر می شود؟

اگر در رایانه یا لپ‌تاپ خود فایل‌هایی با نام طولانی و پسوند xtbl. پیدا کردید، می‌توانید با اطمینان بگویید که سیستم ویروس خطرناک- رمزگذار XTBL همه نسخه های سیستم عامل ویندوز را تحت تأثیر قرار می دهد. رمزگشایی چنین فایل هایی به تنهایی تقریبا غیرممکن است، زیرا این برنامه از یک حالت ترکیبی استفاده می کند که در آن انتخاب یک کلید به سادگی غیرممکن است.

دایرکتوری های سیستم با فایل های آلوده پر شده است. سوابق اضافه می شود رجیستری ویندوز، که هر بار که سیستم عامل شروع می شود به طور خودکار ویروس را راه اندازی می کند.

تقریباً همه انواع فایل ها رمزگذاری شده اند - گرافیکی، متنی، آرشیو، ایمیل، ویدیو، موسیقی و غیره. کار در ویندوز غیرممکن می شود.

چگونه کار می کند؟ باج افزار XTBL که روی ویندوز اجرا می شود ابتدا همه چیز را اسکن می کند درایوهای منطقی. این شامل ابر و ذخیره سازی شبکهبر روی کامپیوتر قرار دارد. در نتیجه، فایل ها بر اساس پسوند گروه بندی می شوند و سپس رمزگذاری می شوند. بنابراین، تمام اطلاعات ارزشمند موجود در پوشه های کاربر غیر قابل دسترس می شود.


این تصویری است که کاربر به جای نمادهایی با نام فایل های آشنا می بیند

تحت تأثیر باج افزار XTBL، پسوند فایل تغییر می کند. اکنون کاربر به جای تصویر یا متن در Word، یک آیکون صفحه خالی و یک عنوان طولانی را می بیند که به xtbl. ختم می شود. علاوه بر این، یک پیام بر روی دسکتاپ ظاهر می شود، نوعی دستورالعمل برای بازیابی اطلاعات رمزگذاری شده، که از شما می خواهد برای باز کردن قفل هزینه پرداخت کنید. این چیزی نیست جز باج خواهی.


این پیام در پنجره دسکتاپ رایانه شما ظاهر می شود.

باج افزار XTBL معمولاً از طریق ایمیل توزیع می شود. ایمیل حاوی فایل‌های پیوست شده یا اسناد آلوده به ویروس است. کلاهبردار با تیتر رنگارنگ کاربر را جذب می کند. همه چیز انجام می شود تا پیامی که مثلاً می گوید شما یک میلیون برنده شده اید باز باشد. به چنین پیام هایی پاسخ ندهید، در غیر این صورت خطر زیادی وجود دارد که ویروس در سیستم عامل شما قرار گیرد.

آیا امکان بازیابی اطلاعات وجود دارد؟

می توانید سعی کنید اطلاعات را با استفاده از ابزارهای ویژه رمزگشایی کنید.با این حال، هیچ تضمینی وجود ندارد که بتوانید از شر ویروس خلاص شوید و فایل های آسیب دیده را بازیابی کنید.

در حال حاضر، باج‌افزار XTBL تهدیدی غیرقابل انکار برای تمامی رایانه‌های دارای ویندوز است. حتی رهبران شناخته شده در مبارزه با ویروس ها - Dr.Web و Kaspersky Lab - راه حل 100٪ برای این موضوع ندارند.

حذف ویروس و بازیابی فایل های رمزگذاری شده

روش ها و برنامه های مختلفی وجود دارد که به شما امکان می دهد با رمزگذاری XTBL کار کنید.برخی خود ویروس را حذف می کنند، برخی دیگر سعی می کنند فایل های قفل شده را رمزگشایی کنند یا نسخه های قبلی آنها را بازیابی کنند.

جلوگیری از عفونت کامپیوتر

اگر به اندازه کافی خوش شانس باشید که متوجه شوید فایل هایی با پسوند xtbl در رایانه شما ظاهر می شوند، در این صورت ممکن است روند آلودگی بیشتر قطع شود.

ابزار حذف ویروس کسپرسکی برای حذف باج افزار XTBL

همه این برنامه ها باید در سیستم عاملی باز شوند که قبلاً در حالت ایمن با گزینه بارگیری درایورهای شبکه راه اندازی شده است. در این مورد، حذف ویروس بسیار ساده تر است، زیرا حداقل تعداد فرآیندهای سیستم مورد نیاز برای راه اندازی ویندوز متصل است.

برای بارگیری حالت امندر ویندوز XP، 7، در هنگام راه اندازی سیستم، به طور مداوم کلید F8 را فشار دهید و پس از ظاهر شدن پنجره منو، مورد مناسب را انتخاب کنید. در با استفاده از ویندوز 8، 10 باید با نگه داشتن کلید Shift، سیستم عامل را مجددا راه اندازی کنید. در طول فرآیند راه اندازی، پنجره ای باز می شود که در آن می توانید گزینه ایمن بوت مورد نیاز را انتخاب کنید.


انتخاب حالت ایمن با بارگیری درایورهای شبکه

برنامه Kaspersky Virus Removal Tool به خوبی باج افزار XTBL را می شناسد و این نوع ویروس را حذف می کند. پس از دانلود ابزار، با کلیک بر روی دکمه مناسب، اسکن کامپیوتر را اجرا کنید. پس از اتمام اسکن، فایل های مخرب یافت شده را حذف کنید.


اجرای اسکن کامپیوتر برای وجود باج افزار XTBL در سیستم عامل ویندوز و سپس حذف ویروس

Dr.Web CureIt!

الگوریتم بررسی و حذف ویروس عملاً هیچ تفاوتی با نسخه قبلی ندارد.از ابزار برای اسکن تمام درایوهای منطقی استفاده کنید. برای این کار کافیست پس از راه اندازی برنامه، دستورات آن را دنبال کنید. در پایان فرآیند، با کلیک بر روی دکمه "Decontaminate" از شر فایل های آلوده خلاص شوید.


پس از اسکن ویندوز، فایل های مخرب را خنثی کنید

ضد بدافزار Malwarebytes

این برنامه یک بررسی گام به گام کامپیوتر شما را برای کدهای مخرب انجام می دهد و آنها را از بین می برد.

  1. ابزار Anti-malware را نصب و اجرا کنید.
  2. در پایین پنجره باز شده گزینه Run scan را انتخاب کنید.
  3. منتظر بمانید تا فرآیند تکمیل شود و چک باکس های فایل های آلوده را بررسی کنید.
  4. انتخاب را حذف کنید.


حذف فایل های باج افزار مخرب XTBL که در حین اسکن شناسایی شده اند

اسکریپت رمزگشای آنلاین از Dr.Web

در وب سایت رسمی Dr.Web در بخش پشتیبانی یک برگه با یک اسکریپت برای رمزگشایی فایل آنلاین وجود دارد. لطفاً توجه داشته باشید که فقط آن دسته از کاربرانی که آنتی ویروس این برنامه‌نویس را روی رایانه‌های خود نصب کرده‌اند، می‌توانند به صورت آنلاین از رمزگشا استفاده کنند.


دستورالعمل ها را بخوانید، همه موارد مورد نیاز را پر کنید و روی دکمه "ارسال" کلیک کنید

ابزار رمزگشایی RectorDecryptor از Kaspersky Lab

آزمایشگاه کسپرسکی همچنین فایل‌ها را رمزگشایی می‌کند.در وب سایت رسمی می توانید ابزار RectorDecryptor.exe را برای نسخه های Windows Vista، 7، 8 با دنبال کردن پیوندهای منو "پشتیبانی - ضد عفونی و رمزگشایی فایل - RectorDecryptor - نحوه رمزگشایی فایل ها" دانلود کنید. برنامه را اجرا کنید، یک اسکن انجام دهید و سپس با انتخاب گزینه مناسب فایل های رمزگذاری شده را حذف کنید.


اسکن و رمزگشایی فایل های آلوده به باج افزار XTBL

بازیابی فایل های رمزگذاری شده از یک نسخه پشتیبان

شروع با نسخه های ویندوز 7، می توانید سعی کنید فایل ها را از پشتیبان گیری بازیابی کنید.


ShadowExplorer برای بازیابی فایل های رمزگذاری شده

این برنامه یک نسخه قابل حمل است، می توان آن را از هر رسانه ای دانلود کرد.


QPhotoRec

این برنامه به طور ویژه برای بازیابی فایل های آسیب دیده و حذف شده ایجاد شده است.با استفاده از الگوریتم های داخلی، ابزار تمام اطلاعات از دست رفته را پیدا کرده و به حالت اولیه باز می گرداند.

QPhotoRec رایگان است.

متأسفانه، فقط یک نسخه انگلیسی QPhotoRec وجود دارد، اما درک تنظیمات به هیچ وجه دشوار نیست، رابط بصری است.

  1. برنامه را راه اندازی کنید.
  2. درایوهای منطقی را با اطلاعات رمزگذاری شده علامت گذاری کنید.
  3. روی File Formats و OK کلیک کنید.
  4. با استفاده از دکمه Browse واقع در پایین انتخاب کنید پنجره باز، مکان ذخیره فایل ها و شروع روند بازیابی با کلیک بر روی جستجو.


QPhotoRec فایل های حذف شده توسط باج افزار XTBL را بازیابی می کند و با کپی های خود جایگزین می شود.

نحوه رمزگشایی فایل ها - ویدئو

کاری که نباید انجام داد

  1. هرگز اقداماتی را انجام ندهید که کاملاً از آن مطمئن نیستید.بهتر است از یک متخصص دعوت کنید مرکز خدماتیا خودتان کامپیوتر را به آنجا ببرید.
  2. پیام های ایمیل فرستنده ناشناس را باز نکنید.
  3. تحت هیچ شرایطی از باج گیران پیروی نکنید و با انتقال پول به آنها موافقت کنید. این به احتمال زیاد هیچ نتیجه ای نخواهد داشت.
  4. پسوند فایل های رمزگذاری شده را به صورت دستی تغییر نام ندهید و برای نصب مجدد ویندوز عجله نکنید. شاید بتوان راه حلی پیدا کرد که وضعیت را اصلاح کند.

جلوگیری

سعی کنید محافظت مطمئن در برابر نفوذ باج افزار XTBL و ویروس های باج افزار مشابه را روی رایانه خود نصب کنید. چنین برنامه هایی عبارتند از:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

با وجود این واقعیت که همه آنها انگلیسی زبان هستند، کار با چنین ابزارهای کمکی بسیار ساده است. برنامه را اجرا کنید و سطح حفاظت را در تنظیمات انتخاب کنید.


راه اندازی برنامه و انتخاب سطح حفاظت

اگر با یک ویروس باج‌افزاری مواجه شده‌اید که فایل‌ها را روی رایانه‌تان رمزگذاری می‌کند، مطمئناً نباید فوراً ناامید شوید. سعی کنید از روش های پیشنهادی برای بازیابی اطلاعات آسیب دیده استفاده کنید. اغلب این یک نتیجه مثبت می دهد. از برنامه های تایید نشده توسعه دهندگان ناشناس برای حذف باج افزار XTBL استفاده نکنید. پس از همه، این فقط می تواند وضعیت را بدتر کند. در صورت امکان، یکی از برنامه هایی را که از کارکرد ویروس جلوگیری می کند، روی رایانه شخصی خود نصب کنید و برنامه های منظم را اجرا کنید اسکن ویندوزبرای حضور فرآیندهای مخرب

هکرهای باج افزار بسیار شبیه باجگیران معمولی هستند. هم در دنیای واقعی و هم در محیط سایبری، یک هدف منفرد یا گروهی برای حمله وجود دارد. یا دزدیده شده یا غیرقابل دسترسی است. در مرحله بعد، مجرمان از وسایل ارتباطی خاصی با قربانیان برای انتقال خواسته های خود استفاده می کنند. کلاهبرداران رایانه ای معمولاً فقط چند قالب را برای باج نامه انتخاب می کنند، اما کپی ها را می توان تقریباً در هر مکان حافظه در یک سیستم آلوده یافت. در مورد خانواده نرم افزارهای جاسوسی معروف به ترولدش یا شید، کلاهبرداران هنگام تماس با قربانی رویکرد خاصی را در پیش می گیرند.

بیایید نگاهی دقیق‌تر به این نوع ویروس باج‌افزار بیندازیم که مخاطبان روسی زبان را هدف قرار داده است. اکثر عفونت های مشابه طرح بندی صفحه کلید را در رایانه شخصی مورد حمله شناسایی می کنند و اگر یکی از زبان ها روسی باشد، نفوذ متوقف می شود. با این حال، ویروس باج افزار XTBLغیرقابل کشف: متأسفانه برای کاربران، حمله بدون توجه به موقعیت جغرافیایی و ترجیحات زبانی آنها آشکار می شود. تجسم واضح این تطبیق پذیری هشداری است که در پس زمینه دسکتاپ ظاهر می شود و همچنین یک فایل TXT با دستورالعمل های پرداخت باج است.

ویروس XTBL معمولاً از طریق اسپم منتشر می شود. پیام‌ها شبیه نامه‌های برندهای معروف هستند یا به سادگی چشم نواز هستند زیرا در خط موضوع از عباراتی مانند "فوری!" یا «اسناد مالی مهم». ترفند فیشینگ زمانی کار خواهد کرد که گیرنده چنین ایمیلی باشد. پیام ها یک فایل ZIP حاوی کد جاوا اسکریپت یا یک شی Docm حاوی یک ماکرو بالقوه آسیب پذیر را دانلود می کنند.

تروجان باج افزار پس از تکمیل الگوریتم اولیه روی رایانه شخصی آسیب دیده، به جستجوی داده هایی می پردازد که ممکن است برای کاربر ارزشمند باشند. برای این منظور، ویروس محلی و حافظه خارجی، به طور همزمان هر فایل را با مجموعه ای از فرمت های انتخاب شده بر اساس پسوند شی مطابقت می دهد. همه فایل‌های jpg، .wav، .doc، .xls، و همچنین بسیاری از اشیاء دیگر با استفاده از الگوریتم رمزنگاری بلوک متقارن AES-256 رمزگذاری می‌شوند.

این تاثیر مضر دو جنبه دارد. اول از همه، کاربر دسترسی به داده های مهم را از دست می دهد. علاوه بر این، نام فایل‌ها عمیقاً رمزگذاری شده‌اند و در نتیجه یک رشته بی‌معنی از کاراکترهای هگزادسیمال ایجاد می‌شود. تنها چیزی که نام فایل های آسیب دیده را متحد می کند، پسوند xtbl است که به آنها اضافه شده است، یعنی. نام تهدید سایبری نام فایل های رمزگذاری شده گاهی فرمت خاصی دارند. در برخی از نسخه های ترولدش، نام اشیاء رمزگذاری شده ممکن است بدون تغییر باقی بماند، و یک کد منحصر به فرد در پایان اضافه می شود: [ایمیل محافظت شده], [ایمیل محافظت شده]، یا [ایمیل محافظت شده].

بدیهی است که مهاجمان با معرفی آدرس ایمیل. مستقیماً به نام پرونده ها پست کنید و روش ارتباط را به قربانیان نشان دهید. پست الکترونیکهمچنین در جای دیگر نشان داده شده است، یعنی در نامه درخواست باج موجود در فایل "Readme.txt". چنین اسناد دفترچه یادداشت بر روی دسکتاپ و همچنین در تمام پوشه های دارای داده های رمزگذاری شده ظاهر می شوند. پیام کلیدی این است:

«همه فایل‌ها رمزگذاری شده بودند. برای رمزگشایی آنها، باید کد: [رمز منحصر به فرد شما] را ارسال کنید آدرس ایمیل [ایمیل محافظت شده]یا [ایمیل محافظت شده]. بعد شما همه چیز را دریافت خواهید کرد دستورالعمل های لازم. تلاش برای رمزگشایی به تنهایی منجر به چیزی جز از دست دادن غیرقابل برگشت اطلاعات نخواهد شد.»

آدرس ایمیل ممکن است بسته به گروه باج‌گیری که ویروس را منتشر می‌کند تغییر کند.

در مورد پیشرفت‌های بعدی: به طور کلی، کلاهبرداران با توصیه به انتقال باج پاسخ می‌دهند که می‌تواند 3 بیت کوین یا مقدار دیگری در این محدوده باشد. لطفا توجه داشته باشید که هیچ کس نمی تواند تضمین کند که هکرها حتی پس از دریافت پول به وعده خود عمل خواهند کرد. برای بازگرداندن دسترسی به فایل‌های xtbl.، به کاربران آسیب‌دیده توصیه می‌شود ابتدا همه روش‌های جایگزین موجود را امتحان کنند. در برخی موارد، می‌توان با استفاده از سرویس Volume Shadow Copy که مستقیماً در سیستم عامل ویندوز ارائه می‌شود، و همچنین برنامه‌های رمزگشایی و بازیابی اطلاعات از توسعه‌دهندگان نرم‌افزار مستقل، داده‌ها را مرتب کرد.

باج افزار XTBL را با استفاده از پاک کننده خودکار حذف کنید

به طور انحصاری روش موثرکار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی، آنها را تضمین می کند حذف کاملبا یک کلیک لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.

  1. . پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع کنید اسکن کامپیوتر (شروع به اسکن کنید).
  2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف تمام تهدیدات شناسایی شده، گزینه را انتخاب کنید رفع تهدیدها(از بین بردن تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده با پسوند xtbl

همانطور که اشاره شد، باج‌افزار XTBL فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند، به طوری که داده‌های رمزگذاری شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد - به جز پرداخت مبلغ ناشناخته باج. اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کنند. در زیر می توانید با آنها آشنا شوید.

رمزگشا – برنامه بازیابی خودکار فایل

یک شرایط بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصت را برای چنین فراهم می کند نرم افزارنحوه بازیابی اشیاء پاک شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. اکیداً توصیه می شود به روش بازیابی پرونده متوسل شوید که اثربخشی آن بیش از یک بار تأیید شده است.

کپی سایه از مجلدات

این رویکرد مبتنی بر رویه ویندوز است کپی رزرو کنیدفایل ها، که در هر نقطه بازیابی تکرار می شود. شرایط کاری مهم این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

وجود احتمالی اجزای باقی مانده از ویروس باج افزار XTBL را بررسی کنید

تمیز کردن در حالت دستیمملو از حذف تکه‌های باج‌افزاری است که می‌توانند از حذف به‌عنوان اشیاء پنهان جلوگیری کنند سیستم عاملیا اقلام رجیستری برای از بین بردن خطر حفظ جزئی عناصر مخرب منفرد، رایانه خود را با استفاده از مجموعه آنتی ویروس جهانی قابل اعتماد اسکن کنید.