Apmēram pirms nedēļas vai divām internetā parādījās kārtējais mūsdienu vīrusu veidotāju uzlauzums, kas šifrē visus lietotāja failus. Vēlreiz apskatīšu jautājumu par to, kā izārstēt datoru pēc izspiedējvīrusa šifrēts000007 un atgūt šifrētos failus. Šajā gadījumā nekas jauns vai unikāls nav parādījies, tikai iepriekšējās versijas modifikācija.

Garantēta failu atšifrēšana pēc izspiedējvīrusa - dr-shifro.ru. Sīkāka informācija par darbu un mijiedarbības ar klientu shēmu ir manā rakstā vai tīmekļa vietnes sadaļā “Darba procedūra”.

CRYPTED000007 izspiedējvīrusa apraksts

Šifrētājs CRYPTED000007 būtiski neatšķiras no tā priekšgājējiem. Tas darbojas gandrīz tieši tāpat. Bet tomēr ir vairākas nianses, kas to atšķir. Es jums pastāstīšu par visu kārtībā.

Tas, tāpat kā tā analogi, tiek piegādāts pa pastu. Sociālās inženierijas metodes tiek izmantotas, lai nodrošinātu, ka lietotājs sāk interesēties par vēstuli un to atver. Manā gadījumā vēstulē bija runa par kaut kādu tiesu un svarīga informācija par lietu pielikumā. Pēc pielikuma palaišanas lietotājs atver Word dokumentu ar izrakstu no Maskavas šķīrējtiesas.

Paralēli dokumenta atvēršanai sākas failu šifrēšana. Sāk pastāvīgi uznirst informācijas ziņojums no Windows lietotāja konta kontroles sistēmas.

Ja piekrītat priekšlikumam, dublējiet failus ēnā Windows kopijas tiks dzēsti un informācijas atgūšana būs ļoti sarežģīta. Ir skaidrs, ka jūs nekādā gadījumā nevarat piekrist priekšlikumam. Šajā šifrētājā šie pieprasījumi parādās pastāvīgi, viens pēc otra un neapstājas, liekot lietotājam piekrist un dzēst rezerves kopijas. Šī ir galvenā atšķirība no iepriekšējām šifrētāju modifikācijām. Es nekad neesmu saskāries ar lūgumiem bez apstāšanās dzēst ēnu kopijas. Parasti pēc 5-10 piedāvājumiem viņi apstājās.

Nekavējoties sniegšu ieteikumu nākotnei. Ļoti bieži cilvēki atspējo lietotāja konta kontroles brīdinājumus. Tas nav jādara. Šis mehānisms patiešām var palīdzēt pretoties vīrusiem. Otrs acīmredzamais padoms ir nepārtraukti nedarboties konts datora administrators, ja vien pēc tā nav objektīvas nepieciešamības. Šajā gadījumā vīrusam nebūs iespējas nodarīt lielu ļaunumu. Jums būs lielākas iespējas viņam pretoties.

Bet pat tad, ja jūs vienmēr esat atbildējis negatīvi uz izspiedējvīrusa pieprasījumiem, visi jūsu dati jau ir šifrēti. Kad šifrēšanas process būs pabeigts, darbvirsmā redzēsit attēlu.

Tajā pašā laikā to būs daudz teksta faili ar tādu pašu saturu.

Jūsu faili ir šifrēti. Lai atšifrētu ux, jums ir jānosūta kods: 329D54752553ED978F94|0 uz e-pasta adresi [aizsargāts ar e-pastu]. Tālāk jūs saņemsit visus nepieciešamos norādījumus. Mēģinājumi pašiem atšifrēt neko citu kā vien neatsaucamu informācijas daudzumu nenovedīs. Ja joprojām vēlaties mēģināt, vispirms izveidojiet failu dublējumkopijas, pretējā gadījumā izmaiņu gadījumā atšifrēšana nekādā gadījumā kļūs neiespējama. Ja 48 stundu laikā neesat saņēmis paziņojumu uz augstāk norādīto adresi (tikai šajā gadījumā!), izmantojiet saziņas formu. To var izdarīt divos veidos: 1) Lejupielādēt un instalēt Tor pārlūks izmantojot saiti: https://www.torproject.org/download/download-easy.html.en Tor pārlūkprogrammas adreses lodziņā ievadiet adresi: http://cryptsen7fo43rr6.onion/ un nospiediet taustiņu Enter. Tiks ielādēta lapa ar saziņas veidlapu. 2) Jebkurā pārlūkprogrammā dodieties uz vienu no adresēm: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Visi svarīgie faili jūsu dators tika šifrēti. Lai atšifrētu failus, uz e-pasta adresi jānosūta šāds kods: 329D54752553ED978F94|0 [aizsargāts ar e-pastu]. Pēc tam jūs saņemsit visus nepieciešamos norādījumus. Visi mēģinājumi pašam veikt atšifrēšanu radīs tikai neatgriezenisku datu zudumu. Ja joprojām vēlaties mēģināt tos atšifrēt pats, lūdzu, vispirms izveidojiet dublējumu, jo atšifrēšana kļūs neiespējama, ja failos tiks veiktas izmaiņas. Ja atbildi no iepriekš minētā e-pasta nesaņēmāt ilgāk par 48 stundām (un tikai šajā gadījumā!), izmantojiet atsauksmju veidlapu. To var izdarīt divos veidos: 1) Lejupielādējiet Tor pārlūkprogrammu no šejienes: https://www.torproject.org/download/download-easy.html.en Instalējiet to un ierakstiet adreses joslā šādu adresi: http:/ /cryptsen7fo43rr6.onion/ Nospiediet Enter, un pēc tam tiks ielādēta lapa ar atsauksmju veidlapu. 2) Jebkurā pārlūkprogrammā dodieties uz vienu no šīm adresēm: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Pasta adrese var mainīties. Uzgāju arī šādas adreses:

• [aizsargāts ar e-pastu]
• [aizsargāts ar e-pastu]

Adreses tiek pastāvīgi atjauninātas, tāpēc tās var būt pilnīgi atšķirīgas.

Tiklīdz atklājat, ka jūsu faili ir šifrēti, nekavējoties izslēdziet datoru. Tas jādara, lai pārtrauktu šifrēšanas procesu, kā norādīts lokālais dators, un tīkla diskos. Šifrēšanas vīruss var šifrēt visu informāciju, ko tas var sasniegt, tostarp tīkla diskos. Bet, ja tur ir liels informācijas apjoms, tad tas viņam prasīs ievērojamu laiku. Dažreiz pat pāris stundu laikā kriptogrāfam nebija laika visu šifrēt tīkla disks aptuveni 100 gigabaiti.

Tālāk jums rūpīgi jāpārdomā, kā rīkoties. Ja jums par katru cenu nepieciešama informācija datorā un jums nav rezerves kopiju, tad šajā brīdī labāk vērsties pie speciālistiem. Ne vienmēr par naudu dažiem uzņēmumiem. Jums vienkārši vajag kādu, kas ir labs Informācijas sistēmas. Nepieciešams novērtēt katastrofas apmērus, likvidēt vīrusu un apkopot visu pieejamo informāciju par situāciju, lai saprastu, kā rīkoties.

Nepareizas darbības šajā posmā var ievērojami sarežģīt failu atšifrēšanas vai atjaunošanas procesu. Sliktākajā gadījumā viņi to var padarīt neiespējamu. Tāpēc veltiet laiku, esiet uzmanīgi un konsekventi.

Kā CRYPTED000007 izspiedējvīruss šifrē failus

Pēc vīrusa palaišanas un darbības pabeigšanas visi noderīgie faili tiks šifrēti, pārdēvēti no paplašinājums.crypted000007. Turklāt tiks aizstāts ne tikai faila paplašinājums, bet arī faila nosaukums, tāpēc jūs precīzi nezināt, kādi faili jums bija, ja neatceraties. Tas izskatīsies apmēram šādi.

Šādā situācijā būs grūti novērtēt traģēdijas mērogu, jo jūs nevarēsit pilnībā atcerēties to, kas jums bija jūsu dzīvē. dažādas mapes. Tas tika darīts īpaši, lai mulsinātu cilvēkus un mudinātu viņus maksāt par failu atšifrēšanu.

Un, ja jūsu tīkla mapes tika šifrētas un nav pilnu dublējumu, tas var pilnībā apturēt visas organizācijas darbu. Jums būs vajadzīgs laiks, lai noskaidrotu, kas galu galā tika zaudēts, lai sāktu restaurāciju.

Kā apstrādāt datoru un noņemt CRYPTED000007 izspiedējvīrusu

CRYPTED000007 vīruss jau ir jūsu datorā. Pirmais un svarīgākais jautājums ir, kā dezinficēt datoru un kā no tā noņemt vīrusu, lai novērstu turpmāku šifrēšanu, ja tā vēl nav pabeigta. Es nekavējoties vēlos vērst jūsu uzmanību uz to, ka pēc tam, kad jūs pats sākat veikt dažas darbības ar datoru, datu atšifrēšanas iespējas samazinās. Ja par katru cenu nepieciešams atgūt failus, nepieskarieties datoram, bet nekavējoties sazinieties ar speciālistiem. Tālāk es runāšu par tiem un sniegšu saiti uz vietni un aprakstīšu, kā tie darbojas.

Tikmēr mēs turpināsim patstāvīgi apstrādāt datoru un noņemt vīrusu. Tradicionāli izspiedējvīrusu var viegli noņemt no datora, jo vīrusam nav uzdevums palikt datorā par katru cenu. Pēc pilnīga šifrēšana failus, viņam vēl izdevīgāk ir izdzēst sevi un pazust, lai būtu grūtāk izmeklēt incidentu un atšifrēt failus.

Grūti aprakstīt, kā manuāli noņemt vīrusu, lai gan esmu mēģinājis to darīt arī iepriekš, bet redzu, ka visbiežāk tas ir bezjēdzīgi. Failu nosaukumi un vīrusu izvietošanas ceļi pastāvīgi mainās. Redzētais pēc nedēļas vai divām vairs nav aktuāls. Parasti vīrusi pa pastu tiek sūtīti viļņveidīgi, un katru reizi ir kāda jauna modifikācija, kuru antivīrusi vēl neatklāj. Palīdz universāli rīki, kas pārbauda startēšanu un atklāj aizdomīgas darbības sistēmas mapēs.

Lai noņemtu CRYPTED000007 vīrusu, varat izmantot šādas programmas:

1. Kaspersky Virus Removal Tool — Kaspersky utilīta http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - līdzīgs produkts no cita tīmekļa http://free.drweb.ru/cureit.
3. Ja pirmās divas utilītas nepalīdz, izmēģiniet MALWAREBYTES 3.0 — https://ru.malwarebytes.com.

Visticamāk, kāds no šiem produktiem atbrīvos jūsu datoru no CRYPTED000007 izspiedējvīrusa. Ja pēkšņi tie nepalīdz, mēģiniet manuāli noņemt vīrusu. Es sniedzu noņemšanas metodes piemēru, un jūs to varat redzēt tur. Īsumā, soli pa solim, jums jārīkojas šādi:

1. Mēs skatāmies uz procesu sarakstu pēc vairāku papildu kolonnu pievienošanas uzdevumu pārvaldniekam.
2. Mēs atrodam vīrusa procesu, atveram mapi, kurā tas atrodas, un izdzēšam to.
3. Mēs notīrām vīrusa procesa pieminēšanu pēc faila nosaukuma reģistrā.
4. Mēs pārstartējam un pārliecināmies, ka CRYPTED000007 vīruss nav darbojošos procesu sarakstā.

Kur lejupielādēt atšifrētāju CRYPTED000007

Jautājums par vienkāršu un uzticamu atšifrētāju ir pirmais, kad runa ir par izspiedējvīrusu. Pirmā lieta, ko iesaku, ir izmantot pakalpojumu https://www.nomoreransom.org. Ko darīt, ja jums ir paveicies un viņiem ir atšifrētājs jūsu CRYPTED000007 šifrētāja versijai. Es uzreiz teikšu, ka jums nav daudz iespēju, bet mēģinājums nav spīdzināšana. Ieslēgts mājas lapa noklikšķiniet uz Jā:

Pēc tam lejupielādējiet dažus šifrētus failus un noklikšķiniet uz Go! Noskaidrot:

Rakstīšanas laikā vietnē nebija atšifrētāja.

Varbūt jums veiksies labāk. Varat arī skatīt lejupielādes atšifrētāju sarakstu atsevišķā lapā - https://www.nomoreransom.org/decryption-tools.html. Varbūt tur ir kaut kas noderīgs. Kad vīruss ir pilnīgi svaigs, ir maza iespēja, ka tas notiks, taču laika gaitā kaut kas var parādīties. Ir piemēri, kad tīklā parādījās dažu šifrētāju modifikāciju atšifrētāji. Un šie piemēri ir norādītajā lapā.

Es nezinu, kur vēl jūs varat atrast dekodētāju. Maz ticams, ka tas patiešām pastāvēs, ņemot vērā mūsdienu šifrētāju darba īpatnības. Pilnvērtīgs atšifrētājs var būt tikai vīrusa autoriem.

Kā atšifrēt un atgūt failus pēc CRYPTED000007 vīrusa

Ko darīt, ja vīruss CRYPTED000007 ir šifrējis jūsu failus? Šifrēšanas tehniskā realizācija neļauj atšifrēt failus bez atslēgas vai atšifrētāja, kas ir tikai šifrētāja autoram. Varbūt ir kāds cits veids, kā to iegūt, bet man nav tādas informācijas. Mēs varam tikai mēģināt atgūt failus, izmantojot improvizētas metodes. Tie ietver:

• Rīks ēnu kopijas logi.
• Izdzēstas datu atkopšanas programmas

Vispirms pārbaudīsim, vai mums ir iespējotas ēnu kopijas. Šis rīks darbojas pēc noklusējuma operētājsistēmā Windows 7 un jaunākās versijās, ja vien to manuāli neatspējojat. Lai pārbaudītu, atveriet datora rekvizītus un dodieties uz sistēmas aizsardzības sadaļu.

Ja inficēšanās laikā neapstiprinājāt UAC pieprasījumu dzēst failus ēnu kopijās, daļai datu tur vajadzētu palikt. Sīkāk par šo lūgumu runāju stāsta sākumā, kad stāstīju par vīrusa darbību.

Lai viegli atjaunotu failus no ēnu kopijām, iesaku izmantot bezmaksas programmašim nolūkam - ShadowExplorer. Lejupielādējiet arhīvu, izpakojiet programmu un palaidiet to.

Tiks atvērta jaunākā failu kopija un diska C sakne. Augšējā kreisajā stūrī varat atlasīt rezerves kopija, ja jums ir vairāki no tiem. Pārbaudiet dažādu kopiju pieejamību nepieciešamie faili. Salīdziniet jaunāko versiju pēc datuma. Tālāk esošajā piemērā es savā darbvirsmā atradu 2 failus no pirms trim mēnešiem, kad tie tika pēdējoreiz rediģēti.

Man izdevās atgūt šos failus. Lai to izdarītu, es tos atlasīju, ar peles labo pogu noklikšķināju, atlasīju Eksportēt un norādīju mapi, kur tās atjaunot.

Jūs varat nekavējoties atjaunot mapes, izmantojot to pašu principu. Ja darbojās ēnu kopijas un tās neizdzēsāt, jums ir labas izredzes atgūt visus vai gandrīz visus vīrusa šifrētos failus. Varbūt daži no tiem būs vairāk vecā versija, nekā mēs vēlētos, bet tomēr tas ir labāk nekā nekas.

Ja kāda iemesla dēļ jums nav failu ēnu kopiju, jūsu vienīgā iespēja iegūt vismaz kaut ko no šifrētajiem failiem ir tos atjaunot, izmantojot atkopšanas rīkus. izdzēstos failus. Lai to izdarītu, iesaku izmantot bezmaksas programmu Photorec.

Palaidiet programmu un atlasiet disku, kurā atjaunosiet failus. Palaižot programmas grafisko versiju, tiek izpildīts fails qphotorec_win.exe. Jāizvēlas mape, kurā tiks ievietoti atrastie faili. Labāk, ja šī mape neatrodas tajā pašā diskā, kurā mēs meklējam. Pievienojiet zibatmiņas disku vai ārējo HDD priekš šī.

Meklēšanas process prasīs ilgu laiku. Beigās jūs redzēsit statistiku. Tagad varat doties uz iepriekš norādīto mapi un redzēt, kas tur ir atrasts. Visticamāk, failu būs daudz, un lielākā daļa no tiem būs vai nu bojāti, vai arī tie būs kaut kāda sistēma un nederīgi faili. Tomēr šajā sarakstā var atrast dažus noderīgus failus. Šeit nav nekādu garantiju; tas, ko jūs atradīsiet, ir tas, ko jūs atradīsit. Attēli parasti tiek atjaunoti vislabāk.

Ja rezultāts jūs neapmierina, tad ir arī programmas izdzēsto failu atkopšanai. Tālāk ir sniegts to programmu saraksts, kuras es parasti izmantoju, kad jāatkopj maksimālais failu skaits:

• R.saver
• Starus failu atkopšana
• JPEG Recovery Pro
• Aktīvās failu atkopšanas profesionālis

Šīs programmas nav bezmaksas, tāpēc saites nesniegšu. Ja ļoti vēlaties, varat tos atrast pats internetā.

Viss faila atkopšanas process ir detalizēti parādīts videoklipā raksta beigās.

Kaspersky, eset nod32 un citi cīņā pret Filecoder.ED šifrētāju

Populāri antivīrusi atklāj izspiedējvīrusu CRYPTED000007 kā Filecoder.ED un tad var būt kāds cits apzīmējums. Pārskatīju lielākos antivīrusu forumus un neko noderīgu tur neredzēju. Diemžēl, kā parasti, pretvīrusu programmatūra izrādījās nesagatavota jauna izspiedējvīrusu viļņa iebrukumam. Šeit ir ziņa no Kaspersky foruma.

Antivīrusi tradicionāli palaiž garām jaunas izspiedējvīrusu Trojas zirgu modifikācijas. Tomēr es iesaku tos izmantot. Ja jums paveicas un saņemat ransomware e-pastu nevis pirmajā infekciju vilnī, bet nedaudz vēlāk, pastāv iespēja, ka antivīruss jums palīdzēs. Viņi visi strādā vienu soli aiz uzbrucējiem. Izrādās jauna versija ransomware, antivīrusi uz to nereaģē. Tiklīdz tiek uzkrāts zināms daudzums materiāla izpētei par jaunu vīrusu, pretvīrusu programmatūra izlaiž atjauninājumu un sāk uz to reaģēt.

Es nesaprotu, kas neļauj antivīrusiem nekavējoties reaģēt uz jebkuru sistēmas šifrēšanas procesu. Iespējams, šajā tēmā ir kāda tehniska nianse, kas neļauj mums adekvāti reaģēt un novērst lietotāju failu šifrēšanu. Man šķiet, ka varētu vismaz parādīt brīdinājumu par to, ka kāds šifrē jūsu failus, un piedāvāt procesu apturēt.

Kur meklēt garantētu atšifrēšanu

Man gadījās satikt vienu uzņēmumu, kas faktiski atšifrē datus pēc dažādu šifrēšanas vīrusu, tostarp CRYPTED000007, darba. Viņu adrese ir http://www.dr-shifro.ru. Maksājums tikai pēc pilnīgas atšifrēšanas un jūsu verifikācijas. Šeit ir aptuvenā darba shēma:

1. Uzņēmuma speciālists ierodas jūsu birojā vai mājās un paraksta ar jums līgumu, kurā ir noteiktas darba izmaksas.
2. Palaiž atšifrētāju un atšifrē visus failus.
3. Pārliecinies, ka visi faili ir atvērti, un paraksti izpildīto darbu nodošanas/pieņemšanas aktu.
4. Maksājums tiek veikts tikai pēc veiksmīgiem atšifrēšanas rezultātiem.

Teikšu godīgi, es nezinu, kā viņi to dara, bet tu ne ar ko neriskē. Samaksa tikai pēc dekodera darbības demonstrēšanas. Lūdzu, uzrakstiet atsauksmi par savu pieredzi ar šo uzņēmumu.

Aizsardzības metodes pret CRYPTED000007 vīrusu

Kā pasargāt sevi no izspiedējvīrusa un izvairīties no materiāla un morāla kaitējuma? Ir daži vienkārši un efektīvi padomi:

1. Dublējums! Visu svarīgo datu dublējums. Un ne tikai dublējums, bet dublējums, kuram nav pastāvīgas piekļuves. Pretējā gadījumā vīruss var inficēt gan jūsu dokumentus, gan rezerves kopijas.
2. Licencēts antivīruss. Lai gan tie nesniedz 100% garantiju, tie palielina iespēju izvairīties no šifrēšanas. Viņi visbiežāk nav gatavi jaunām šifrētāja versijām, bet pēc 3-4 dienām sāk reaģēt. Tas palielina jūsu izredzes izvairīties no inficēšanās, ja neesat iekļauts izpirkuma programmatūras jaunās modifikācijas pirmajā izplatīšanas vilnī.
3. Neatveriet aizdomīgus pasta pielikumus. Šeit nav ko komentēt. Visas man zināmās izpirkuma programmas sasniedza lietotājus pa e-pastu. Turklāt katru reizi tiek izdomāti jauni triki upura maldināšanai.
4. Neapdomīgi neatveriet saites, kuras jums nosūtījuši jūsu draugi, izmantojot sociālie mēdiji vai ziņneši. Tā dažreiz izplatās arī vīrusi.
5. Ieslēdz logu displejs failu paplašinājumi. Kā to izdarīt, ir viegli atrast internetā. Tas ļaus jums pamanīt vīrusa faila paplašinājumu. Visbiežāk tā būs .exe, .vbs, .src. Ikdienas darbā ar dokumentiem diez vai nāksies saskarties ar šādiem failu paplašinājumiem.

Es mēģināju papildināt to, ko jau iepriekš rakstīju katrā rakstā par izspiedējvīrusu. Pa to laiku es atvados. Priecāšos saņemt noderīgus komentārus par rakstu un CRYPTED000007 ransomware vīrusu kopumā.

Video par failu atšifrēšanu un atkopšanu

Šeit ir piemērs iepriekšējai vīrusa modifikācijai, bet video ir pilnībā atbilstošs CRYPTED000007.

Kaspersky WildfireDecryptor ir vienkāršs rīks failu atkopšanai, kurus šifrēja WildFire Locker izspiedējvīrusa Trojas zirgs.

Ja šifrētāja infekcija jau ir notikusi, WildfireDecryptor palīdzēs jums tikt galā ar tās sekām un atšifrēt failus ar paplašinājumu .wflx.

WildFire Locker infekcijas pazīmes

WildFire Locker ir izpirkuma programmatūra, kas izplatās ar e-pasta ziņojumiem, kuru galvenes ir modificētas, lai uzdotos par uzticamu uzņēmumu kā sūtītāju. Cietušajam tiek sniegta informācija, kas liek nenojaušajiem lietotājiem lejupielādēt un palaist e-pastam pievienoto failu.

Tūlīt pēc ļaunprātīga faila atvēršanas Wildfire iekļūst sistēmā un atlasa biroja dokumentus un PDF faili, kas tiek šifrēti, izmantojot RSA vai AES-256 algoritmus. Failu paplašinājumi tiek mainīti uz WFLX, un tāpēc lietotāji vairs nevar tos atvērt. Ļaunprātīga programmatūra arī atstāj ziņojumus par to, kā atbloķēt failus katrā uzbrukuma mapē un darbvirsmā.

Ir svarīgi atzīmēt, ka izspiedējvīrusa programmatūra dzēš visas ēnu sējumu kopijas datorā. Attiecīgi nav jēgas atjaunot failus, izmantojot iepriekšējos sistēmas atjaunošanas punktus.

Ļauj atgūt inficētos failus

Rīka galvenais mērķis ir palīdzēt atrast šifrēšanas atslēgu failiem, kas inficēti ar WildFire Locker. Pirms atkopšanas ieteicams norādīt ceļu uz kādu no apdraudētajiem failiem un pārliecināties, ka esat dublējis visus dokumentus.

Šis rīks ļauj identificēt skenētos objektus cietie diski, noņemamie diskdziņi un tīkla nodalījumi, ja infekcija ir izplatījusies ārpus datora. Lietotājs var konfigurēt inficēto failu noņemšanu pēc veiksmīgas failu atšifrēšanas un atkopšanas.

Noteikti izdzēsiet arī WildFire Locker izpildāmo failu, lai izvairītos no atkārtotas atjaunošanas darbību veikšanas. Izpildāmais fails atrodas mapē %LocalAppData%.

ir ļaunprātīga programma, kas aktivizēšanas gadījumā šifrē visus personiskos failus, piemēram, dokumentus, fotoattēlus utt. Šādu programmu skaits ir ļoti liels un ar katru dienu pieaug. Tikai iekšā Nesen Mēs sastapāmies ar desmitiem izpirkuma programmatūras variantu: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, utt., fff, utt. Šādu šifrēšanas vīrusu mērķis ir piespiest lietotājus iegādāties, bieži vien par lielu naudas summu, programmu un atslēgu, kas nepieciešama viņu failu atšifrēšanai.

Protams, šifrētos failus var atjaunot, vienkārši izpildot norādījumus, ko vīrusa radītāji atstāj inficētajā datorā. Bet visbiežāk atšifrēšanas izmaksas ir ļoti ievērojamas, un jums arī jāzina, ka daži izspiedējvīrusi šifrē failus tā, ka vēlāk tos vienkārši nav iespējams atšifrēt. Un, protams, ir vienkārši kaitinoši maksāt par savu failu atjaunošanu.

Tālāk mēs sīkāk runāsim par šifrēšanas vīrusiem, to, kā tie iekļūst upura datorā, kā arī par to, kā noņemt šifrēšanas vīrusu un atjaunot tā šifrētos failus.

Kā izspiedējvīruss iekļūst datorā?

Izspiedējvīruss parasti tiek izplatīts pa e-pastu. Vēstulē ir inficēti dokumenti. Šādas vēstules tiek nosūtītas uz milzīgu e-pasta adrešu datu bāzi. Šī vīrusa autori izmanto maldinošas vēstuļu galvenes un saturu, cenšoties pievilt lietotāju atvērt vēstulei pievienoto dokumentu. Dažas vēstules informē par nepieciešamību apmaksāt rēķinu, citas piedāvā aplūkot jaunāko cenrādi, citas piedāvā atvērt kādu smieklīgu foto utt. Jebkurā gadījumā, atverot pievienoto failu, jūsu dators tiks inficēts ar izspiedējvīrusu.

Kas ir izspiedējvīruss?

Izspiedējvīruss ir ļaunprātīga programma, kas inficē modernās versijas operētājsistēmas Windows saime, piemēram, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Šie vīrusi cenšas izmantot pēc iespējas spēcīgākus šifrēšanas režīmus, piemēram, RSA-2048 ar atslēgas garumu 2048 biti, kas praktiski izslēdz iespēju izvēlēties atslēgu pašatšifrēšana failus.

Inficējot datoru, izspiedējvīruss izmanto sistēmas direktoriju %APPDATA%, lai saglabātu savus failus. Lai automātiski palaistu sevi, ieslēdzot datoru, izspiedējprogrammatūra izveido ierakstu Windows reģistrā: sadaļas HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\. Microsoft\Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Tūlīt pēc palaišanas vīruss skenē visus pieejamos diskus, ieskaitot tīklu un mākoņglabātuve, lai noteiktu, kuri faili tiks šifrēti. Izpirkuma programmatūras vīruss izmanto faila nosaukuma paplašinājumu, lai identificētu failu grupu, kas tiks šifrēta. Gandrīz visi failu veidi ir šifrēti, tostarp tādi izplatīti kā:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .w .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xpmap, . , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Tūlīt pēc faila šifrēšanas tas saņem jaunu paplašinājumu, ko bieži var izmantot, lai identificētu izspiedējvīrusa nosaukumu vai veidu. Daži šīs ļaunprātīgās programmatūras veidi var mainīt arī šifrēto failu nosaukumus. Pēc tam vīruss rada teksta dokuments ar tādiem nosaukumiem kā HELP_YOUR_FILES, README, kas satur norādījumus par šifrētu failu atšifrēšanu.

Savas darbības laikā šifrēšanas vīruss mēģina bloķēt iespēju atjaunot failus, izmantojot SVC (failu ēnu kopijas) sistēmu. Šim nolūkam vīruss komandu režīms izsauc utilītu failu ēnu kopiju administrēšanai ar atslēgu, kas sāk to pilnīgas dzēšanas procedūru. Tādējādi gandrīz vienmēr nav iespējams atjaunot failus, izmantojot to ēnu kopijas.

Izspiedējvīruss aktīvi izmanto iebiedēšanas taktiku, upurim sniedzot saiti uz šifrēšanas algoritma aprakstu un uz Desktopa parādot draudu ziņojumu. Tādā veidā viņš cenšas piespiest inficētā datora lietotāju bez vilcināšanās nosūtīt datora ID uz vīrusa autora e-pasta adresi, lai mēģinātu atgūt savus failus. Atbilde uz šādu ziņojumu visbiežāk ir izpirkuma summa un e-maka adrese.

Vai mans dators ir inficēts ar izspiedējvīrusu?

Ir diezgan viegli noteikt, vai dators ir inficēts ar šifrēšanas vīrusu vai nē. Pievērsiet uzmanību savu personīgo failu paplašinājumiem, piemēram, dokumentiem, fotoattēliem, mūzikai utt. Ja paplašinājums ir mainījies vai jūsu personiskie faili ir pazuduši, atstājot daudzus failus ar nezināmiem nosaukumiem, jūsu dators ir inficēts. Turklāt infekcijas pazīme ir faila ar nosaukumu HELP_YOUR_FILES vai README klātbūtne jūsu direktorijos. Šajā failā būs instrukcijas failu atšifrēšanai.

Ja jums ir aizdomas, ka esat atvēris e-pastu, kas ir inficēts ar izspiedējvīrusu, bet vēl nav infekcijas simptomu, neizslēdziet un nerestartējiet datoru. Izpildiet šīs rokasgrāmatas sadaļā aprakstītās darbības. Vēlreiz atkārtoju, ir ļoti svarīgi neizslēgt datoru, dažos izspiedējvīrusu veidos failu šifrēšanas process tiek aktivizēts, pirmo reizi ieslēdzot datoru pēc inficēšanās!

Kā atšifrēt failus, kas šifrēti ar izspiedējvīrusu?

Ja šī nelaime notiek, tad panikai nav pamata! Bet jums jāzina, ka vairumā gadījumu nav bezmaksas atšifrētāja. Tas ir saistīts ar spēcīgajiem šifrēšanas algoritmiem, ko izmanto šādi ļaunprogrammatūra. Tas nozīmē, ka bez privātās atslēgas ir gandrīz neiespējami atšifrēt failus. Atslēgas izvēles metodes izmantošana arī nav iespējama atslēgas lielā garuma dēļ. Tāpēc diemžēl tikai samaksāt vīrusa autoriem visu pieprasīto summu ir vienīgais veids, kā mēģināt iegūt atšifrēšanas atslēgu.

Protams, nav nekādas garantijas, ka pēc maksājuma veikšanas vīrusa autori sazināsies ar jums un iedos atslēgu, kas nepieciešama jūsu failu atšifrēšanai. Turklāt jums ir jāsaprot, ka, maksājot naudu vīrusu izstrādātājiem, jūs pats mudināt viņus radīt jaunus vīrusus.

Kā noņemt izspiedējvīrusu?

Pirms sākat, jums jāzina, ka, sākot noņemt vīrusu un mēģināt pats atjaunot failus, jūs bloķējat iespēju atšifrēt failus, samaksājot vīrusa autoriem viņu pieprasīto summu.

Var noteikt Kaspersky Virus Removal Tool un Malwarebytes Anti-ļaundabīgo programmu dažādi veidi aktīviem ransomware vīrusiem un viegli noņems tos no datora, BET tie nevar atjaunot šifrētus failus.

5.1. Noņemiet izspiedējvīrusu programmatūru, izmantojot Kaspersky Virus Removal Tool

Pēc noklusējuma programma ir konfigurēta visu failu tipu atkopšanai, taču, lai paātrinātu darbu, ieteicams atstāt tikai tos failu tipus, kas ir jāatkopj. Kad esat pabeidzis atlasi, noklikšķiniet uz Labi.

Programmas QPhotoRec loga apakšā atrodiet pogu Pārlūkot un noklikšķiniet uz tās. Jums ir jāizvēlas direktorija, kurā tiks saglabāti atgūtie faili. Ieteicams izmantot disku, kurā nav šifrētu failu, kuriem nepieciešama atkopšana (varat izmantot zibatmiņas disku vai ārējo disku).

Lai sāktu šifrēto failu oriģinālo kopiju meklēšanas un atjaunošanas procedūru, noklikšķiniet uz pogas Meklēt. Šis process aizņem diezgan ilgu laiku, tāpēc esiet pacietīgs.

Kad meklēšana ir pabeigta, noklikšķiniet uz pogas Iziet. Tagad atveriet mapi, kuru esat izvēlējies, lai saglabātu atgūtos failus.

Mapē būs direktoriji ar nosaukumu recup_dir.1, recup_dir.2, recup_dir.3 utt. Jo vairāk failu programma atradīs, jo vairāk direktoriju būs. Lai atrastu vajadzīgos failus, pārbaudiet visus direktorijus pa vienam. Lai atvieglotu vajadzīgā faila atrašanu starp daudziem atkoptajiem failiem, izmantojiet iebūvēto sistēmu Windows meklēšana(pēc faila satura), kā arī neaizmirstiet par failu šķirošanas funkciju direktorijos. Kā kārtošanas opciju varat atlasīt datumu, kad fails tika modificēts, jo QPhotoRec mēģina atjaunot šo rekvizītu, atjaunojot failu.

Kā novērst izspiedējvīrusa inficēšanos ar datoru?

Lielākajai daļai mūsdienu pretvīrusu programmu jau ir iebūvēta aizsardzības sistēma pret šifrēšanas vīrusu iekļūšanu un aktivizēšanu. Tāpēc, ja jūsu datoram nav pretvīrusu programma, pēc tam noteikti instalējiet to. Jūs varat uzzināt, kā to izvēlēties, izlasot šo.

Turklāt ir īpašas aizsardzības programmas. Piemēram, tas ir CryptoPrevent, sīkāka informācija.

Daži nobeiguma vārdi

Izpildot šos norādījumus, jūsu dators tiks atbrīvots no izspiedējvīrusa. Ja jums ir kādi jautājumi vai nepieciešama palīdzība, lūdzu, sazinieties ar mums.

Mūsdienās datoru un klēpjdatoru lietotāji arvien biežāk saskaras ar ļaunprātīgu programmatūru, kas aizstāj failus ar šifrētām to kopijām. Būtībā tie ir vīrusi. XTBL izpirkuma programmatūra tiek uzskatīta par vienu no visbīstamākajām šajā sērijā. Kas ir šis kaitēklis, kā tas nokļūst lietotāja datorā un vai ir iespējams atjaunot bojāto informāciju?

Kas ir XTBL izpirkuma programmatūra un kā tā nokļūst datorā?

Ja savā datorā vai klēpjdatorā atrodat failus ar garu nosaukumu un paplašinājumu .xtbl, varat droši apgalvot, ka sistēma ir bijusi bīstams vīruss- XTBL šifrētājs. Tas ietekmē visas Windows OS versijas. Patstāvīgi atšifrēt šādus failus ir gandrīz neiespējami, jo programma izmanto hibrīda režīmu, kurā atslēgas izvēle ir vienkārši neiespējama.

Sistēmas direktoriji ir piepildīti ar inficētiem failiem. Ieraksti tiek pievienoti Windows reģistrs, kas automātiski palaiž vīrusu katru reizi, kad tiek startēta OS.

Gandrīz visa veida faili ir šifrēti - grafikas, teksta, arhīva, e-pasta, video, mūzikas utt. Darbs sistēmā Windows kļūst neiespējams.

Kā tas darbojas? XTBL izpirkuma programmatūra, kas darbojas operētājsistēmā Windows, vispirms skenē visus loģiskos diskus. Tas ietver mākoņa un tīkla krātuvi, kas atrodas datorā. Rezultātā faili tiek grupēti pēc paplašinājuma un pēc tam tiek šifrēti. Tādējādi visa vērtīgā informācija, kas atrodas lietotāja mapēs, kļūst nepieejama.

Šis ir attēls, ko lietotājs redzēs ikonu vietā ar pazīstamu failu nosaukumiem

XTBL izpirkuma programmatūras ietekmē mainās faila paplašinājums. Tagad lietotājs redz tukšas lapas ikonu un garu nosaukumu, kas beidzas ar .xtbl, nevis attēlu vai tekstu programmā Word. Turklāt uz darbvirsmas parādās ziņojums, sava veida instrukcija šifrētas informācijas atjaunošanai, pieprasot maksāt par atbloķēšanu. Tas nav nekas vairāk kā šantāža, pieprasot izpirkumu.

Šis ziņojums tiek parādīts datora darbvirsmas logā.

XTBL izpirkuma programmatūra parasti tiek izplatīta pa e-pastu. E-pastā ir pievienoti faili vai dokumenti, kas inficēti ar vīrusu. Krāpnieks piesaista lietotāju ar krāsainu virsrakstu. Tiek darīts viss, lai ziņa, kurā teikts, ka tu, piemēram, laimēji miljonu, būtu atvērta. Neatbildiet uz šādiem ziņojumiem, pretējā gadījumā pastāv liels risks, ka vīruss nonāks jūsu operētājsistēmā.

Vai ir iespējams atgūt informāciju?

Varat mēģināt atšifrēt informāciju, izmantojot īpašas utilītas. Taču nav garantijas, ka izdosies atbrīvoties no vīrusa un atjaunot bojātos failus.

Pašlaik XTBL izpirkuma programmatūra rada nenoliedzamus draudus visiem datoriem, kuros darbojas operētājsistēma Windows. Pat atzītajiem vīrusa apkarošanas līderiem – Dr.Web un Kaspersky Lab – šim jautājumam nav 100% risinājuma.

Vīrusa noņemšana un šifrētu failu atjaunošana

Ir dažādas metodes un programmas, kas ļauj strādāt ar XTBL šifrēšanu. Daži noņem pašu vīrusu, citi mēģina atšifrēt bloķētos failus vai atjaunot to iepriekšējās kopijas.

Datora infekcijas apturēšana

Ja jums ir paveicies pamanīt, ka jūsu datorā sāk parādīties faili ar paplašinājumu .xtbl, tad ir pilnīgi iespējams pārtraukt turpmākās inficēšanās procesu.

Kaspersky Virus Removal Tool, lai noņemtu XTBL izspiedējvīrusu programmatūru

Visas šādas programmas ir jāatver operētājsistēmā, kas iepriekš ir palaista drošajā režīmā ar iespēju ielādēt tīkla draiverus. Šajā gadījumā vīrusu ir daudz vieglāk noņemt, jo ir pievienots minimālais sistēmas procesu skaits, kas nepieciešams Windows startēšanai.

Iekraušanai drošais režīms Windows XP, 7 sistēmas startēšanas laikā pastāvīgi nospiediet taustiņu F8 un pēc izvēlnes loga parādīšanās atlasiet atbilstošo vienumu. Plkst izmantojot Windows 8, 10, jums vajadzētu restartēt OS, turot nospiestu taustiņu Shift. Startēšanas procesa laikā tiks atvērts logs, kurā varēsiet izvēlēties nepieciešamo drošās sāknēšanas opciju.

Drošā režīma izvēle ar tīkla draiveru ielādi

Programma Kaspersky Virus Removal Tool lieliski atpazīst XTBL ransomware un noņem šāda veida vīrusus. Pēc utilīta lejupielādes palaidiet datora skenēšanu, noklikšķinot uz atbilstošās pogas. Kad skenēšana ir pabeigta, izdzēsiet visus atrastos ļaunprātīgos failus.

Datora skenēšana, lai noteiktu XTBL izspiedējvīrusa klātbūtni operētājsistēmā Windows, un pēc tam vīrusa noņemšana

Dr.Web CureIt!

Vīrusa pārbaudes un noņemšanas algoritms praktiski neatšķiras no iepriekšējās versijas. Izmantojiet utilītu, lai skenētu visus loģiskos diskus. Lai to izdarītu, jums vienkārši jāievēro programmas komandas pēc tās palaišanas. Procesa beigās atbrīvojieties no inficētajiem failiem, noklikšķinot uz pogas “Dekontaminēt”.

Neitralizējiet ļaunprātīgos failus pēc Windows skenēšanas

Malwarebytes Anti-ļaundabīga programmatūra

Programma pakāpeniski pārbaudīs, vai datorā nav ļaunprātīgu kodu, un iznīcinās tos.

1. Instalējiet un palaidiet utilītu pret ļaunprātīgu programmatūru.
2. Atvērtā loga apakšā atlasiet “Palaist skenēšanu”.
3. Pagaidiet, līdz process ir pabeigts, un atzīmējiet izvēles rūtiņas ar inficētiem failiem.
4. Dzēst atlasi.

Skenēšanas laikā konstatēto ļaunprātīgo XTBL izspiedējprogrammatūras failu noņemšana

Tiešsaistes atšifrētāja skripts no Dr.Web

Oficiālās Dr.Web vietnes atbalsta sadaļā ir cilne ar skriptu tiešsaistes failu atšifrēšanai. Lūdzu, ņemiet vērā, ka atšifrētāju tiešsaistē varēs izmantot tikai tie lietotāji, kuru datorā ir instalēts šī izstrādātāja antivīruss.

Izlasiet instrukcijas, aizpildiet visu nepieciešamo un noklikšķiniet uz pogas “Iesniegt”.

RectorDecryptor atšifrēšanas utilīta no Kaspersky Lab

Kaspersky Lab arī atšifrē failus. Oficiālajā vietnē varat lejupielādēt utilītu RectorDecryptor.exe operētājsistēmas Windows Vista, 7, 8 versijām, sekojot izvēlnes saitēm “Atbalsts - Failu dezinfekcija un atšifrēšana - RectorDecryptor - Kā atšifrēt failus”. Palaidiet programmu, veiciet skenēšanu un pēc tam izdzēsiet šifrētos failus, atlasot atbilstošo opciju.

Ar XTBL ransomware inficētu failu skenēšana un atšifrēšana

Šifrētu failu atjaunošana no dublējuma

Sākot ar Windows versijas 7, varat mēģināt atjaunot failus no dublējumkopijām.

ShadowExplorer, lai atgūtu šifrētus failus

Programma ir pārnēsājama versija, to var lejupielādēt no jebkura datu nesēja.

QPhotoRec

Programma ir īpaši izveidota bojātu un izdzēstu failu atkopšanai. Izmantojot iebūvētos algoritmus, utilīta atrod un atgriež visu zaudēto informāciju sākotnējā stāvoklī.

QPhotoRec ir bezmaksas.

Diemžēl ir tikai QPhotoRec versija angļu valodā, taču izprast iestatījumus nemaz nav grūti, interfeiss ir intuitīvs.

1. Palaidiet programmu.
2. Atzīmējiet loģiskos diskus ar šifrētu informāciju.
3. Noklikšķiniet uz pogas Failu formāti un Labi.
4. Izvēlieties, izmantojot pogu Pārlūkot, kas atrodas apakšā atvērts logs, vietu, kur saglabāt failus un sākt atkopšanas procedūru, noklikšķinot uz Meklēt.

QPhotoRec atgūst XTBL izspiedējvīrusa izdzēstos failus un aizstātus ar savām kopijām

Kā atšifrēt failus - video

Ko nedrīkst darīt

1. Nekad nedariet darbības, par kurām neesat pilnībā pārliecināts. Labāk uzaiciniet speciālistu no servisa centrs vai pats aiznesiet tur datoru.
2. Neatveriet e-pasta ziņojumus no nezināmiem sūtītājiem.
3. Nekādā gadījumā nevajadzētu sekot šantažētāju piemēram, piekrītot viņiem pārskaitīt naudu. Tas, visticamāk, nedos nekādus rezultātus.
4. Nepārdēvējiet šifrēto failu paplašinājumus manuāli un nesteidzieties pārinstalēt sistēmu Windows. Iespējams, būs iespējams atrast risinājumu, kas situāciju labos.

Profilakse

Mēģiniet instalēt drošu aizsardzību pret XTBL izspiedējvīrusu un līdzīgu izspiedējvīrusu iekļūšanu datorā. Šādas programmas ietver:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• Kriptoprevent.

Neskatoties uz to, ka tie visi ir angļu valodā, darbs ar šādiem utilītiem ir diezgan vienkāršs. Palaidiet programmu un iestatījumos atlasiet aizsardzības līmeni.

Programmas palaišana un aizsardzības līmeņa izvēle

Ja esat saskāries ar izspiedējvīrusu, kas šifrē failus jūsu datorā, tad, protams, nevajadzētu uzreiz krist izmisumā. Mēģiniet izmantot ieteiktās metodes bojātas informācijas atjaunošanai. Bieži vien tas dod pozitīvu rezultātu. Neizmantojiet nepārbaudītas programmas no nezināmiem izstrādātājiem, lai noņemtu XTBL ransomware. Galu galā tas var tikai pasliktināt situāciju. Ja iespējams, datorā instalējiet kādu no programmām, kas neļauj vīrusam darboties, un regulāri veiciet sistēmas Windows ļaunprātīgu procesu skenēšanu.

Ransomware hakeri ir ļoti līdzīgi parastajiem šantažētājiem. Gan reālajā pasaulē, gan kibervidē ir viens vai grupas uzbrukuma mērķis. Tas ir vai nu nozagts, vai padarīts nepieejams. Tālāk noziedznieki izmanto noteiktus saziņas līdzekļus ar upuriem, lai izteiktu savas prasības. Datorkrāpnieki parasti izvēlas tikai dažus formātus izpirkuma vēstulēm, bet kopijas var atrast gandrīz jebkurā inficētās sistēmas atmiņas vietā. Spiegprogrammatūras saimes gadījumā, kas pazīstama kā Troldesh vai Shade, krāpnieki, sazinoties ar upuri, izmanto īpašu pieeju.

Apskatīsim tuvāk šo izspiedējvīrusa celmu, kas ir paredzēts krievvalodīgajai auditorijai. Lielākā daļa līdzīgu infekciju atklāj tastatūras izkārtojumu uzbruktajā datorā, un, ja viena no valodām ir krievu valoda, ielaušanās tiek pārtraukta. Tomēr ransomware vīruss XTBL neatšifrējams: diemžēl lietotājiem uzbrukums notiek neatkarīgi no viņu ģeogrāfiskās atrašanās vietas un valodas preferencēm. Skaidrs šīs daudzpusības iemiesojums ir brīdinājums, kas parādās darbvirsmas fonā, kā arī TXT fails ar norādījumiem par izpirkuma maksu.

XTBL vīruss parasti tiek izplatīts ar surogātpasta starpniecību. Ziņojumi atgādina slavenu zīmolu vēstules vai vienkārši piesaista uzmanību, jo tēmas rindiņā ir izmantoti tādi izteicieni kā “Steidzams!” vai “Svarīgi finanšu dokumenti”. Pikšķerēšanas triks darbosies, kad šāda e-pasta saņēmējs. ziņojumi lejupielādēs ZIP failu, kurā ir JavaScript kods, vai Docm objektu, kurā ir potenciāli ievainojams makro.

Pabeidzot pamata algoritmu kompromitētajā datorā, izspiedējvīrusa Trojas zirgs turpina meklēt datus, kas var būt noderīgi lietotājam. Šim nolūkam vīruss skenē vietējo un ārējā atmiņa, vienlaikus saskaņojot katru failu ar formātu kopu, kas atlasīta, pamatojoties uz objekta paplašinājumu. Visi .jpg, .wav, .doc, .xls faili, kā arī daudzi citi objekti tiek šifrēti, izmantojot AES-256 simetrisko bloku šifrēšanas algoritmu.

Šai kaitīgajai ietekmei ir divi aspekti. Pirmkārt, lietotājs zaudē piekļuvi svarīgiem datiem. Turklāt failu nosaukumi ir dziļi kodēti, kā rezultātā veidojas bezjēdzīga heksadecimālo rakstzīmju virkne. Viss, kas vieno ietekmēto failu nosaukumus, ir tiem pievienotais xtbl paplašinājums, t.i. kiberdraudu nosaukums. Šifrētajiem failu nosaukumiem dažreiz ir īpašs formāts. Dažās Troldesh versijās šifrēto objektu nosaukumi var palikt nemainīgi, un beigās tiek pievienots unikāls kods: [aizsargāts ar e-pastu], [aizsargāts ar e-pastu], vai [aizsargāts ar e-pastu].

Acīmredzot uzbrucēji, ieviesuši e-pasta adreses. pastu tieši failu nosaukumos, norādot cietušajiem saziņas metodi. E-pasts ir norādīts arī citur, proti, izpirkuma pieprasījuma vēstulē, kas atrodas failā “Readme.txt”. Šādi Notepad dokumenti parādīsies uz darbvirsmas, kā arī visās mapēs ar šifrētiem datiem. Galvenais vēstījums ir:

"Visi faili tika šifrēti. Lai tos atšifrētu, jums ir jānosūta kods: [Jūsu unikālais šifrs] uz epasta adrese [aizsargāts ar e-pastu] vai [aizsargāts ar e-pastu]. Tālāk jūs iegūsit visu nepieciešamās instrukcijas. Mēģinājumi pašiem atšifrēt radīs tikai neatgriezenisku informācijas zudumu.

E-pasta adrese var mainīties atkarībā no šantāžas grupas, kas izplata vīrusu.

Runājot par tālāko attīstību: vispārīgi runājot, krāpnieki atbild ar ieteikumu pārskaitīt izpirkuma maksu, kas var būt 3 bitkoini vai cita summa šajā diapazonā. Lūdzu, ņemiet vērā, ka neviens nevar garantēt, ka hakeri izpildīs savu solījumu pat pēc naudas saņemšanas. Lai atjaunotu piekļuvi .xtbl failiem, ietekmētajiem lietotājiem ieteicams vispirms izmēģināt visas pieejamās alternatīvās metodes. Dažos gadījumos datus var sakārtot, izmantojot pakalpojumu Volume Shadow Copy, kas tiek nodrošināts tieši Windows OS, kā arī datu atšifrēšanas un datu atkopšanas programmas no neatkarīgiem programmatūras izstrādātājiem.

Noņemiet XTBL ransomware, izmantojot automātisko tīrītāju

Ļoti efektīva metode darbam ar ļaunprātīgu programmatūru kopumā un jo īpaši ar izspiedējprogrammatūru. Pārbaudīta aizsargkompleksa izmantošana garantē rūpīgu jebkādu vīrusu komponentu noteikšanu, to pilnīga noņemšana ar vienu klikšķi. Lūdzu, ņemiet vērā, ka mēs runājam par diviem dažādiem procesiem: infekcijas atinstalēšanu un failu atjaunošanu datorā. Tomēr draudi noteikti ir jānovērš, jo ir informācija par citu datoru Trojas zirgu ieviešanu, kas to izmanto.

1. . Pēc programmatūras palaišanas noklikšķiniet uz pogas Sāciet datora skenēšanu(Sāciet skenēšanu).
2. Instalētā programmatūra sniegs ziņojumu par skenēšanas laikā atklātajiem draudiem. Lai noņemtu visus atklātos draudus, atlasiet opciju Novērst draudus(Novērst draudus). Attiecīgā ļaunprogrammatūra tiks pilnībā noņemta.

Atjaunojiet piekļuvi šifrētiem failiem ar paplašinājumu .xtbl

Kā jau minēts, XTBL izpirkuma programmatūra bloķē failus, izmantojot spēcīgu šifrēšanas algoritmu, lai šifrētos datus nevarētu atjaunot ar burvju nūjiņas vilni, tādējādi nesamaksājot nedzirdētu izpirkuma maksu. Taču dažas metodes patiešām var būt glābiņš, kas palīdzēs atgūt svarīgus datus. Zemāk varat ar tiem iepazīties.

Atšifrētājs - automātiska failu atkopšanas programma

Ir zināms ļoti neparasts apstāklis. Šī infekcija izdzēš sākotnējos failus nešifrētā veidā. Tādējādi šifrēšanas process izspiešanas nolūkos ir vērsts uz to kopijām. Tas dod iespēju tādiem programmatūra kā atjaunot izdzēstos objektus, pat ja tiek garantēta to noņemšanas uzticamība. Ir ļoti ieteicams izmantot failu atkopšanas procedūru, kuras efektivitāte ir apstiprināta vairāk nekā vienu reizi.

Sējumu ēnu kopijas

Šī pieeja ir balstīta uz Windows procedūru Rezerves kopija failus, kas tiek atkārtots katrā atkopšanas punktā. Svarīgi darba apstākļi šī metode: Pirms inficēšanās ir jāaktivizē funkcija “System Restore”. Tomēr pēc atjaunošanas punkta veiktās izmaiņas failā netiks parādītas atjaunotajā faila versijā.

Dublējums

Šī ir labākā no visām bezizpirkuma metodēm. Ja procedūra datu dublēšanai ārējā serverī tika izmantota pirms izspiedējvīrusa uzbrukuma jūsu datoram, lai atjaunotu šifrētus failus, jums vienkārši jāievada atbilstošs interfeiss, jāizvēlas nepieciešamie faili un jāpalaiž datu atkopšanas mehānisms no dublējuma. Pirms operācijas veikšanas ir jāpārliecinās, ka izpirkuma programmatūra ir pilnībā noņemta.

Pārbaudiet, vai nav XTBL izpirkuma programmatūras vīrusa atlikušo komponentu

Tīrīšana iekšā manuālais režīms ir pilns ar atsevišķu izpirkuma programmatūras daļu izlaišanu, kas var izvairīties no noņemšanas kā slēptie objekti operētājsistēma vai reģistra vienumus. Lai novērstu atsevišķu ļaunprātīgu elementu daļējas saglabāšanas risku, skenējiet datoru, izmantojot uzticamu universālu pretvīrusu komplektu.