การป้องกันจากแรนซัมแวร์ ไวรัสตัวเข้ารหัส - มันคืออะไรเหตุใดจึงเป็นอันตราย ตัวถอดรหัสไฟล์หลังจากไวรัส Kaspersky

ประมาณหนึ่งหรือสองสัปดาห์ที่ผ่านมา มีการแฮ็กอีกครั้งจากผู้ผลิตไวรัสสมัยใหม่ปรากฏบนอินเทอร์เน็ต ซึ่งเข้ารหัสไฟล์ทั้งหมดของผู้ใช้ ฉันจะพิจารณาคำถามว่าจะรักษาคอมพิวเตอร์อย่างไรหลังจากไวรัสแรนซัมแวร์อีกครั้ง เข้ารหัส000007และกู้คืนไฟล์ที่เข้ารหัส ใน ในกรณีนี้ไม่มีอะไรใหม่หรือมีเอกลักษณ์ใด ๆ เกิดขึ้น เป็นเพียงการดัดแปลงจากเวอร์ชันก่อนหน้า

รับประกันการถอดรหัสไฟล์หลังจากไวรัสแรนซัมแวร์ - dr-shifro.ru รายละเอียดของงานและรูปแบบการโต้ตอบกับลูกค้าอยู่ด้านล่างในบทความของฉันหรือบนเว็บไซต์ในส่วน "ขั้นตอนการทำงาน"

คำอธิบายของไวรัส CRYPTED000007 ransomware

ตัวเข้ารหัส CRYPTED000007 ไม่มีความแตกต่างโดยพื้นฐานจากรุ่นก่อน มันทำงานเกือบจะเหมือนกันทุกประการ แต่ก็ยังมีความแตกต่างหลายประการที่ทำให้เห็นความแตกต่าง ฉันจะบอกคุณเกี่ยวกับทุกสิ่งตามลำดับ

มันมาถึงทางไปรษณีย์เช่นเดียวกับอะนาล็อก เทคนิคที่ใช้ วิศวกรรมสังคมเพื่อที่ผู้ใช้จะสนใจจดหมายและเปิดอ่านอย่างแน่นอน ในกรณีของฉัน จดหมายฉบับนี้พูดถึงศาลบางประเภทและ ข้อมูลสำคัญในกรณีตามเอกสารแนบ หลังจากเปิดไฟล์แนบ ผู้ใช้จะเปิดเอกสาร Word พร้อมสารสกัดจากศาลอนุญาโตตุลาการมอสโก

การเข้ารหัสไฟล์จะเริ่มต้นควบคู่ไปกับการเปิดเอกสาร ข้อความข้อมูลจากระบบควบคุมบัญชีผู้ใช้ Windows เริ่มปรากฏขึ้นอย่างต่อเนื่อง

หากคุณเห็นด้วยกับข้อเสนอ ให้สำรองไฟล์ไว้ในที่ร่ม สำเนาของ Windowsจะถูกลบและการกู้คืนข้อมูลจะทำได้ยากมาก เห็นได้ชัดว่าคุณไม่สามารถเห็นด้วยกับข้อเสนอได้ไม่ว่าในกรณีใด ๆ ในโปรแกรมเข้ารหัสนี้ คำขอเหล่านี้จะปรากฏขึ้นอย่างต่อเนื่อง ทีละรายการและไม่หยุด โดยบังคับให้ผู้ใช้ยอมรับและลบสำเนาสำรอง นี่คือข้อแตกต่างหลักจากการดัดแปลงตัวเข้ารหัสครั้งก่อน ฉันไม่เคยพบคำขอให้ลบ Shadow Copy โดยไม่หยุด โดยปกติแล้วหลังจากข้อเสนอ 5-10 ข้อพวกเขาก็หยุดลง

ฉันจะให้คำแนะนำสำหรับอนาคตทันที เป็นเรื่องปกติมากที่ผู้คนจะปิดใช้งานคำเตือนการควบคุมบัญชีผู้ใช้ ไม่จำเป็นต้องทำเช่นนี้ กลไกนี้สามารถช่วยต่อต้านไวรัสได้จริงๆ คำแนะนำประการที่สองที่ชัดเจนคืออย่าทำงานอย่างต่อเนื่อง บัญชีผู้ดูแลระบบคอมพิวเตอร์ เว้นแต่มีความจำเป็นตามวัตถุประสงค์ ในกรณีนี้ไวรัสจะไม่มีโอกาสทำอันตรายมากนัก คุณจะมีโอกาสต่อต้านเขาได้ดีขึ้น

แต่แม้ว่าคุณจะตอบปฏิเสธคำขอของแรนซัมแวร์มาโดยตลอด แต่ข้อมูลทั้งหมดของคุณก็ได้รับการเข้ารหัสแล้ว หลังจากกระบวนการเข้ารหัสเสร็จสิ้น คุณจะเห็นรูปภาพบนเดสก์ท็อปของคุณ

ในขณะเดียวกันก็จะมีมากมาย ไฟล์ข้อความด้วยเนื้อหาเดียวกัน

ไฟล์ของคุณได้รับการเข้ารหัสแล้ว หากต้องการถอดรหัส ux คุณต้องส่งรหัส: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- ถัดไปคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามที่จะถอดรหัสด้วยตัวเองจะไม่นำไปสู่สิ่งอื่นใดนอกจากข้อมูลจำนวนที่ไม่สามารถเพิกถอนได้ หากคุณยังต้องการลอง ให้ทำสำเนาสำรองของไฟล์ก่อน ไม่เช่นนั้นในกรณีที่มีการเปลี่ยนแปลง การถอดรหัสจะเป็นไปไม่ได้ไม่ว่าในกรณีใด ๆ หากคุณไม่ได้รับการแจ้งเตือนตามที่อยู่ข้างต้นภายใน 48 ชั่วโมง (ในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มติดต่อ ซึ่งสามารถทำได้สองวิธี: 1) ดาวน์โหลดและติดตั้ง Tor Browser โดยใช้ลิงก์: https://www.torproject.org/download/download-easy.html.en ในช่องที่อยู่ ทอร์เบราว์เซอร์ป้อนที่อยู่: http://cryptsen7fo43rr6.onion/ แล้วกด Enter หน้าที่มีแบบฟอร์มการติดต่อจะโหลดขึ้นมา 2) ในเบราว์เซอร์ใด ๆ ให้ไปที่หนึ่งในที่อยู่: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ ไฟล์สำคัญทั้งหมดบนคอมพิวเตอร์ของคุณถูกเข้ารหัส หากต้องการถอดรหัสไฟล์คุณควรส่งรหัสต่อไปนี้: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- จากนั้นคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามในการถอดรหัสทั้งหมดด้วยตัวเองจะส่งผลให้ข้อมูลของคุณสูญหายอย่างไม่อาจเพิกถอนได้ หากคุณยังต้องการลองถอดรหัสด้วยตัวเอง โปรดทำการสำรองข้อมูลในตอนแรก เนื่องจากการถอดรหัสจะเป็นไปไม่ได้ในกรณีที่มีการเปลี่ยนแปลงภายในไฟล์ หากคุณไม่ได้รับคำตอบจากอีเมลดังกล่าวเป็นเวลานานกว่า 48 ชั่วโมง (และในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มคำติชม คุณสามารถทำได้สองวิธี: 1) ดาวน์โหลด Tor Browser ได้จากที่นี่: https://www.torproject.org/download/download-easy.html.en ติดตั้งและพิมพ์ที่อยู่ต่อไปนี้ลงในแถบที่อยู่: http:/ /cryptsen7fo43rr6.onion/ กด Enter จากนั้นเพจที่มีแบบฟอร์มคำติชมจะถูกโหลด 2) ไปที่หนึ่งในที่อยู่ต่อไปนี้ในเบราว์เซอร์ใดก็ได้: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

ที่อยู่ทางไปรษณีย์อาจมีการเปลี่ยนแปลง ฉันยังเจอที่อยู่ต่อไปนี้:

ที่อยู่ได้รับการอัปเดตอยู่ตลอดเวลา ดังนั้นจึงอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง

ทันทีที่คุณพบว่าไฟล์ของคุณถูกเข้ารหัส ให้ปิดคอมพิวเตอร์ของคุณทันที ซึ่งจะต้องทำเพื่อขัดจังหวะกระบวนการเข้ารหัสเช่นเดียวกับใน คอมพิวเตอร์ท้องถิ่นและบนไดรฟ์เครือข่าย ไวรัสเข้ารหัสสามารถเข้ารหัสข้อมูลทั้งหมดที่สามารถเข้าถึงได้ รวมถึงในไดรฟ์เครือข่าย แต่หากมีข้อมูลจำนวนมากก็จะต้องใช้เวลาพอสมควร บางครั้งแม้ในเวลาไม่กี่ชั่วโมง แรนซัมแวร์ก็ไม่มีเวลาเข้ารหัสทุกอย่างบนไดรฟ์เครือข่ายที่มีความจุประมาณ 100 กิกะไบต์

ต่อไปคุณต้องคิดให้รอบคอบเกี่ยวกับวิธีการปฏิบัติ หากคุณต้องการข้อมูลบนคอมพิวเตอร์ของคุณโดยไม่มีค่าใช้จ่ายและคุณไม่มีสำเนาสำรองคุณควรติดต่อผู้เชี่ยวชาญในขณะนี้ ไม่จำเป็นว่าจะเป็นเงินสำหรับบางบริษัท คุณแค่ต้องการใครสักคนที่เก่ง ระบบข้อมูล- มีความจำเป็นต้องประเมินขนาดของภัยพิบัติ กำจัดไวรัส และรวบรวมข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับสถานการณ์ เพื่อทำความเข้าใจวิธีดำเนินการ

การกระทำที่ไม่ถูกต้องในขั้นตอนนี้อาจทำให้กระบวนการถอดรหัสหรือกู้คืนไฟล์มีความซับซ้อนมากขึ้น ในกรณีที่เลวร้ายที่สุด พวกเขาสามารถทำให้มันเป็นไปไม่ได้ได้ ดังนั้นใช้เวลาของคุณ ระมัดระวังและสม่ำเสมอ

วิธีที่ไวรัส CRYPTED000007 ransomware เข้ารหัสไฟล์

หลังจากที่ไวรัสเปิดตัวและเสร็จสิ้นกิจกรรมแล้ว ไฟล์ที่มีประโยชน์ทั้งหมดจะถูกเข้ารหัสและเปลี่ยนชื่อจาก extension.crypted000007- ยิ่งไปกว่านั้น ไม่เพียงแต่นามสกุลไฟล์จะถูกแทนที่ แต่ยังรวมถึงชื่อไฟล์ด้วย ดังนั้นคุณจะไม่ทราบแน่ชัดว่าคุณมีไฟล์ประเภทใดหากคุณจำไม่ได้ มันจะมีลักษณะเช่นนี้

ในสถานการณ์เช่นนี้ การประเมินขนาดของโศกนาฏกรรมนั้นเป็นเรื่องยาก เนื่องจากคุณจะไม่สามารถจดจำสิ่งที่คุณมีในชีวิตได้ทั้งหมด โฟลเดอร์ที่แตกต่างกัน- สิ่งนี้ทำขึ้นเพื่อสร้างความสับสนให้กับผู้คนโดยเฉพาะและสนับสนุนให้พวกเขาจ่ายเงินสำหรับการถอดรหัสไฟล์

และถ้าคุณมีการเข้ารหัสและ โฟลเดอร์เครือข่ายและไม่มีการสำรองข้อมูลที่สมบูรณ์อาจทำให้การทำงานของทั้งองค์กรหยุดชะงักได้ คุณจะต้องใช้เวลาสักพักกว่าจะรู้ว่าอะไรหายไปในท้ายที่สุดเพื่อเริ่มการฟื้นฟู

วิธีปฏิบัติต่อคอมพิวเตอร์ของคุณและลบ CRYPTED000007 ransomware

ไวรัส CRYPTED000007 มีอยู่ในคอมพิวเตอร์ของคุณแล้ว คำถามแรกและสำคัญที่สุดคือวิธีการฆ่าเชื้อคอมพิวเตอร์และวิธีลบไวรัสออกจากคอมพิวเตอร์เพื่อป้องกันการเข้ารหัสเพิ่มเติมหากยังไม่เสร็จสิ้น ฉันอยากจะดึงความสนใจของคุณทันทีว่าหลังจากที่คุณเริ่มดำเนินการบางอย่างกับคอมพิวเตอร์ของคุณแล้ว โอกาสในการถอดรหัสข้อมูลจะลดลง หากคุณต้องการกู้คืนไฟล์ไม่ว่าจะต้องเสียค่าใช้จ่ายใดๆ อย่าสัมผัสคอมพิวเตอร์ของคุณ แต่ให้ติดต่อผู้เชี่ยวชาญทันที ด้านล่างนี้ฉันจะพูดถึงพวกเขาและให้ลิงก์ไปยังไซต์และอธิบายวิธีการทำงาน

ในระหว่างนี้ เราจะดำเนินการรักษาคอมพิวเตอร์และกำจัดไวรัสอย่างอิสระต่อไป ตามเนื้อผ้า ransomware จะถูกลบออกจากคอมพิวเตอร์อย่างง่ายดาย เนื่องจากไวรัสไม่ได้มีหน้าที่ที่จะคงอยู่ในคอมพิวเตอร์ไม่ว่าจะด้วยวิธีใดก็ตาม หลังจาก การเข้ารหัสเต็มรูปแบบการลบไฟล์ตัวเองและหายไปจะมีประโยชน์มากกว่าสำหรับเขา เพื่อให้การตรวจสอบเหตุการณ์และถอดรหัสไฟล์ทำได้ยากยิ่งขึ้น

เป็นการยากที่จะอธิบายวิธีการลบไวรัสด้วยตนเอง แม้ว่าฉันจะเคยลองทำเช่นนี้มาก่อน แต่ฉันเห็นว่าส่วนใหญ่มักจะไม่มีจุดหมาย ชื่อไฟล์และเส้นทางการวางไวรัสมีการเปลี่ยนแปลงอยู่ตลอดเวลา สิ่งที่ฉันเห็นไม่เกี่ยวข้องอีกต่อไปในหนึ่งหรือสองสัปดาห์ โดยปกติแล้วไวรัสจะถูกส่งทางไปรษณีย์เป็นระลอกและทุกครั้งที่มีการดัดแปลงใหม่ที่โปรแกรมป้องกันไวรัสยังไม่ตรวจพบ เครื่องมือสากลที่ตรวจสอบการเริ่มต้นและตรวจจับกิจกรรมที่น่าสงสัยในโฟลเดอร์ระบบช่วยได้

หากต้องการลบไวรัส CRYPTED000007 คุณสามารถใช้โปรแกรมต่อไปนี้:

  1. เครื่องมือกำจัดไวรัส Kaspersky - ยูทิลิตี้จาก Kaspersky http://www.kaspersky.ru/antivirus-removal-tool
  2. ดร.เว็บ เคียวอิท! - ผลิตภัณฑ์ที่คล้ายกันจากเว็บอื่น http://free.drweb.ru/cureit
  3. หากยูทิลิตี้สองรายการแรกไม่ช่วยลองใช้ MALWAREBYTES 3.0 - https://ru.malwarebytes.com

เป็นไปได้มากว่าหนึ่งในผลิตภัณฑ์เหล่านี้จะล้างคอมพิวเตอร์ของคุณจากแรนซัมแวร์ CRYPTED000007 หากจู่ๆ มันไม่ช่วย ให้ลองลบไวรัสด้วยตนเอง ฉันยกตัวอย่างวิธีการลบออกและคุณสามารถดูได้ที่นั่น สั้น ๆ ทีละขั้นตอน คุณต้องดำเนินการดังนี้:

  1. เราดูรายการกระบวนการหลังจากเพิ่มคอลัมน์เพิ่มเติมหลายคอลัมน์ในตัวจัดการงาน
  2. เราพบกระบวนการของไวรัส เปิดโฟลเดอร์ที่มีอยู่แล้วลบทิ้ง
  3. เราล้างการกล่าวถึงกระบวนการของไวรัสตามชื่อไฟล์ในรีจิสทรี
  4. เรารีบูตและตรวจสอบให้แน่ใจว่าไวรัส CRYPTED000007 ไม่อยู่ในรายการกระบวนการที่กำลังทำงานอยู่

จะดาวน์โหลดตัวถอดรหัส CRYPTED000007 ได้ที่ไหน

คำถามของตัวถอดรหัสที่ง่ายและเชื่อถือได้นั้นเกิดขึ้นเป็นอันดับแรกเมื่อพูดถึงไวรัสแรนซัมแวร์ สิ่งแรกที่ผมแนะนำคือเข้าไปใช้บริการ https://www.nomoreransom.org จะเป็นอย่างไรถ้าคุณโชคดีและพวกเขามีตัวถอดรหัสสำหรับตัวเข้ารหัส CRYPTED000007 เวอร์ชันของคุณ ฉันจะบอกทันทีว่าคุณมีโอกาสไม่มาก แต่การพยายามไม่ใช่การทรมาน บน หน้าแรกคลิกใช่:

จากนั้นดาวน์โหลดไฟล์ที่เข้ารหัสสองสามไฟล์แล้วคลิกไป! หา:

ในขณะที่เขียน ไม่มีตัวถอดรหัสบนไซต์

บางทีคุณอาจจะมีโชคดีมากขึ้น คุณยังสามารถดูรายการตัวถอดรหัสสำหรับดาวน์โหลดได้ในหน้าแยกต่างหาก - https://www.nomoreransom.org/decryption-tools.html บางทีอาจมีบางสิ่งที่มีประโยชน์อยู่ที่นั่น เมื่อไวรัสเกิดใหม่ทั้งหมด โอกาสนี้จะเกิดขึ้นน้อยมาก แต่เมื่อเวลาผ่านไป อาจมีบางอย่างปรากฏขึ้น มีตัวอย่างเมื่อตัวถอดรหัสสำหรับการดัดแปลงตัวเข้ารหัสบางอย่างปรากฏบนเครือข่าย และตัวอย่างเหล่านี้อยู่ในหน้าที่ระบุ

ฉันไม่รู้ว่าคุณสามารถหาตัวถอดรหัสได้ที่ไหน ไม่น่าเป็นไปได้ว่ามันจะมีอยู่จริงโดยคำนึงถึงลักษณะเฉพาะของการทำงานของนักเข้ารหัสสมัยใหม่ มีเพียงผู้เขียนไวรัสเท่านั้นที่สามารถมีตัวถอดรหัสที่ครบครัน

วิธีถอดรหัสและกู้คืนไฟล์หลังจากไวรัส CRYPTED000007

จะทำอย่างไรเมื่อไวรัส CRYPTED000007 เข้ารหัสไฟล์ของคุณ? การใช้การเข้ารหัสทางเทคนิคไม่อนุญาตให้ถอดรหัสไฟล์โดยไม่มีคีย์หรือตัวถอดรหัส ซึ่งมีเพียงผู้เขียนตัวเข้ารหัสเท่านั้นที่มี อาจมีวิธีอื่นในการรับ แต่ฉันไม่มีข้อมูลนั้น เราสามารถลองกู้คืนไฟล์ได้โดยใช้วิธีการชั่วคราวเท่านั้น ซึ่งรวมถึง:

  • เครื่องมือ สำเนาเงาหน้าต่าง
  • โปรแกรมกู้คืนข้อมูลที่ถูกลบ

ก่อนอื่น เรามาตรวจสอบว่าเราได้เปิดใช้งาน Shadow Copy ไว้หรือไม่ เครื่องมือนี้ทำงานตามค่าเริ่มต้นใน Windows 7 และสูงกว่า เว้นแต่คุณจะปิดใช้งานด้วยตนเอง หากต้องการตรวจสอบ ให้เปิดคุณสมบัติคอมพิวเตอร์แล้วไปที่ส่วนการป้องกันระบบ

หากในระหว่างการติดไวรัส คุณไม่ได้ยืนยันคำขอ UAC ให้ลบไฟล์ในรูปแบบ Shadow Copy ข้อมูลบางส่วนก็ควรจะยังคงอยู่ตรงนั้น ฉันพูดรายละเอียดเพิ่มเติมเกี่ยวกับคำขอนี้ในตอนต้นของเรื่องเมื่อฉันพูดถึงการทำงานของไวรัส

หากต้องการกู้คืนไฟล์จาก Shadow Copy อย่างง่ายดาย ฉันแนะนำให้ใช้ โปรแกรมฟรีเพื่อจุดประสงค์นี้ - ShadowExplorer ดาวน์โหลดไฟล์เก็บถาวรแกะโปรแกรมแล้วรัน

สำเนาไฟล์ล่าสุดและรูทของไดรฟ์ C จะเปิดขึ้น ที่มุมซ้ายบนคุณสามารถเลือกได้ สำเนาสำรองถ้าคุณมีหลายรายการ ตรวจสอบสำเนาที่แตกต่างกันเพื่อดูความพร้อมใช้งาน ไฟล์ที่จำเป็น- เปรียบเทียบตามวันที่สำหรับเวอร์ชันล่าสุด ในตัวอย่างของฉันด้านล่าง ฉันพบ 2 ไฟล์บนเดสก์ท็อปของฉันเมื่อสามเดือนที่แล้วซึ่งมีการแก้ไขครั้งล่าสุด

ฉันสามารถกู้คืนไฟล์เหล่านี้ได้ ในการดำเนินการนี้ ฉันเลือกพวกเขา คลิกขวา เลือกส่งออก และระบุโฟลเดอร์ที่จะกู้คืน

คุณสามารถกู้คืนโฟลเดอร์ได้ทันทีโดยใช้หลักการเดียวกัน หากคุณมี Shadow Copy ที่ใช้งานได้และไม่ได้ลบออก คุณมีโอกาสที่ดีที่จะกู้คืนไฟล์ทั้งหมดหรือเกือบทั้งหมดที่เข้ารหัสโดยไวรัส บางทีบางคนอาจจะมากกว่านั้น เวอร์ชั่นเก่ากว่าที่เราต้องการ แต่ถึงกระนั้นก็ยังดีกว่าไม่มีอะไรเลย

หากคุณไม่มี Shadow Copy ของไฟล์ด้วยเหตุผลบางประการ โอกาสเดียวของคุณที่จะได้รับบางสิ่งจากไฟล์ที่เข้ารหัสเป็นอย่างน้อยก็คือการกู้คืนไฟล์เหล่านั้นโดยใช้เครื่องมือการกู้คืน ไฟล์ที่ถูกลบ- ในการทำเช่นนี้ฉันขอแนะนำให้ใช้โปรแกรมฟรี Photorec

เปิดโปรแกรมและเลือกดิสก์ที่คุณจะกู้คืนไฟล์ การเปิดตัวโปรแกรมเวอร์ชันกราฟิกจะเป็นการเรียกใช้งานไฟล์ qphotorec_win.exe- คุณต้องเลือกโฟลเดอร์ที่จะวางไฟล์ที่พบ จะดีกว่าถ้าโฟลเดอร์นี้ไม่ได้อยู่ในไดรฟ์เดียวกับที่เรากำลังค้นหา เชื่อมต่อแฟลชไดรฟ์หรือภายนอก ฮาร์ดดิสสำหรับสิ่งนี้.

กระบวนการค้นหาจะใช้เวลานาน ในตอนท้ายคุณจะเห็นสถิติ ตอนนี้คุณสามารถไปที่โฟลเดอร์ที่ระบุก่อนหน้าแล้วดูว่ามีอะไรอยู่ในนั้น มักจะมีไฟล์จำนวนมากและส่วนใหญ่จะเสียหายหรืออาจเป็นไฟล์ระบบและไฟล์ที่ไม่มีประโยชน์ แต่อย่างไรก็ตาม คุณสามารถพบไฟล์ที่มีประโยชน์บางไฟล์ได้ในรายการนี้ ไม่มีการรับประกันที่นี่ สิ่งที่คุณพบคือสิ่งที่คุณจะพบ โดยปกติแล้วรูปภาพจะได้รับการกู้คืนได้ดีที่สุด

หากผลลัพธ์ไม่เป็นที่พอใจคุณก็ยังมีโปรแกรมสำหรับกู้คืนไฟล์ที่ถูกลบอีกด้วย ด้านล่างนี้คือรายการโปรแกรมที่ฉันมักจะใช้เมื่อต้องการกู้คืนไฟล์ตามจำนวนสูงสุด:

  • อาร์.เซฟเวอร์
  • การกู้คืนไฟล์ Starus
  • JPEG Recovery Pro
  • ผู้เชี่ยวชาญด้านการกู้คืนไฟล์ที่ใช้งานอยู่

โปรแกรมเหล่านี้ไม่ฟรี ดังนั้นฉันจะไม่ให้ลิงก์ หากคุณต้องการจริงๆ คุณสามารถค้นหาได้ด้วยตัวเองบนอินเทอร์เน็ต

กระบวนการกู้คืนไฟล์ทั้งหมดจะแสดงโดยละเอียดในวิดีโอท้ายบทความ

Kaspersky, eset nod32 และคนอื่นๆ ในการต่อสู้กับตัวเข้ารหัส Filecoder.ED

โปรแกรมป้องกันไวรัสยอดนิยมตรวจพบ ransomware CRYPTED000007 เป็น Filecoder.EDและอาจมีการกำหนดอย่างอื่นอีก ฉันตรวจดูฟอรั่มแอนตี้ไวรัสหลักๆ แล้วและไม่เห็นมีประโยชน์อะไรเลย น่าเสียดายที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้เตรียมพร้อมสำหรับการบุกรุกของแรนซัมแวร์ระลอกใหม่ตามปกติ นี่คือโพสต์จากฟอรัม Kaspersky

แอนติไวรัสมักจะพลาดการปรับเปลี่ยนโทรจันแรนซัมแวร์ครั้งใหม่ อย่างไรก็ตาม ฉันแนะนำให้ใช้มัน หากคุณโชคดีและได้รับอีเมลแรนซัมแวร์ที่ไม่ได้อยู่ในการติดไวรัสระลอกแรก แต่หลังจากนั้นไม่นานก็มีโอกาสที่โปรแกรมป้องกันไวรัสจะช่วยคุณได้ พวกเขาทั้งหมดทำงานตามหลังผู้โจมตีหนึ่งก้าว ปรากฎว่า เวอร์ชันใหม่ ransomware โปรแกรมป้องกันไวรัสไม่ตอบสนองต่อมัน ทันทีที่มีเนื้อหาสำหรับการวิจัยเกี่ยวกับไวรัสตัวใหม่จำนวนหนึ่งสะสม ซอฟต์แวร์ป้องกันไวรัสจะเผยแพร่การอัปเดตและเริ่มตอบสนอง

ฉันไม่เข้าใจว่าอะไรขัดขวางไม่ให้แอนตี้ไวรัสตอบสนองต่อกระบวนการเข้ารหัสใด ๆ ในระบบทันที อาจมีความแตกต่างทางเทคนิคบางประการในหัวข้อนี้ซึ่งทำให้เราไม่สามารถตอบสนองและป้องกันการเข้ารหัสไฟล์ผู้ใช้ได้อย่างเพียงพอ สำหรับฉันดูเหมือนว่าอย่างน้อยก็เป็นไปได้ที่จะแสดงคำเตือนเกี่ยวกับความจริงที่ว่ามีคนกำลังเข้ารหัสไฟล์ของคุณและแนะนำให้หยุดกระบวนการ

จะไปที่ไหนเพื่อรับประกันการถอดรหัส

ฉันบังเอิญพบกับบริษัทแห่งหนึ่งที่ถอดรหัสข้อมูลจริงๆ หลังจากการทำงานของไวรัสเข้ารหัสต่างๆ รวมถึง CRYPTED000007 ที่อยู่ของพวกเขาคือ http://www.dr-shifro.ru ชำระเงินหลังจากการถอดรหัสเต็มรูปแบบและการยืนยันของคุณเท่านั้น นี่คือรูปแบบงานโดยประมาณ:

  1. ผู้เชี่ยวชาญของบริษัทมาที่สำนักงานหรือที่บ้านของคุณและลงนามในข้อตกลงกับคุณ ซึ่งจะเป็นผู้กำหนดต้นทุนของงาน
  2. เปิดตัวตัวถอดรหัสและถอดรหัสไฟล์ทั้งหมด
  3. คุณตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดถูกเปิดและลงนามในใบรับรองการส่งมอบ/การยอมรับงานที่เสร็จสมบูรณ์
  4. การชำระเงินจะเกิดขึ้นเมื่อผลการถอดรหัสสำเร็จเท่านั้น

พูดตามตรง ฉันไม่รู้ว่าพวกเขาทำได้ยังไง แต่คุณไม่เสี่ยงอะไรเลย ชำระเงินหลังจากการสาธิตการทำงานของตัวถอดรหัสเท่านั้น กรุณาเขียนรีวิวเกี่ยวกับประสบการณ์ของคุณกับบริษัทนี้

วิธีการป้องกันไวรัส CRYPTED000007

จะป้องกันตนเองจากแรนซัมแวร์และหลีกเลี่ยงความเสียหายทางวัตถุและศีลธรรมได้อย่างไร มีเคล็ดลับง่ายๆ และมีประสิทธิภาพ:

  1. สำรอง! สำรองข้อมูลที่สำคัญทั้งหมด และไม่ใช่แค่การสำรองข้อมูล แต่เป็นการสำรองข้อมูลที่ไม่มีการเข้าถึงอย่างต่อเนื่อง มิฉะนั้นไวรัสอาจทำให้เอกสารและสำเนาสำรองของคุณติดได้
  2. โปรแกรมป้องกันไวรัสที่ได้รับใบอนุญาต แม้ว่าพวกเขาจะไม่ให้การรับประกัน 100% แต่ก็เพิ่มโอกาสในการหลีกเลี่ยงการเข้ารหัส ส่วนใหญ่มักจะไม่พร้อมสำหรับตัวเข้ารหัสเวอร์ชันใหม่ แต่หลังจากผ่านไป 3-4 วันพวกเขาก็เริ่มตอบสนอง วิธีนี้จะช่วยเพิ่มโอกาสในการหลีกเลี่ยงการติดเชื้อ หากคุณไม่รวมอยู่ในการส่งจดหมายระลอกแรก การปรับเปลี่ยนใหม่ผู้เข้ารหัส
  3. อย่าเปิดไฟล์แนบที่น่าสงสัยในเมล ไม่มีอะไรจะแสดงความคิดเห็นที่นี่ แรนซัมแวร์ทั้งหมดที่ฉันรู้จักเข้าถึงผู้ใช้ผ่านทางอีเมล ยิ่งไปกว่านั้นทุกครั้งที่มีการประดิษฐ์กลอุบายใหม่ ๆ เพื่อหลอกลวงเหยื่อ
  4. อย่าเปิดลิงก์ที่ส่งถึงคุณจากเพื่อนของคุณโดยไม่ได้ตั้งใจ สื่อสังคมหรือผู้ส่งสาร บางครั้งไวรัสก็แพร่กระจายเช่นนี้เช่นกัน
  5. เปิด จอแสดงผลหน้าต่างนามสกุลไฟล์ วิธีการทำเช่นนี้หาได้ง่ายบนอินเทอร์เน็ต ซึ่งจะทำให้คุณสามารถสังเกตเห็นนามสกุลไฟล์ของไวรัสได้ ส่วนใหญ่มักจะเป็น .exe, .vbs, .src- ในการทำงานกับเอกสารทุกวัน คุณไม่น่าจะเจอนามสกุลไฟล์ดังกล่าว

ฉันพยายามเสริมสิ่งที่ฉันได้เขียนไปแล้วในทุกบทความเกี่ยวกับไวรัสแรนซัมแวร์ ในระหว่างนี้ฉันก็บอกลา ฉันยินดีที่จะได้รับความคิดเห็นที่เป็นประโยชน์เกี่ยวกับบทความและไวรัส ransomware CRYPTED000007 โดยทั่วไป

วิดีโอเกี่ยวกับการถอดรหัสและการกู้คืนไฟล์

นี่คือตัวอย่างการแก้ไขไวรัสครั้งก่อน แต่วิดีโอนี้เกี่ยวข้องกับ CRYPTED000007 อย่างสมบูรณ์

โปรแกรมถอดรหัส Kaspersky Wildfireเป็นเครื่องมือง่ายๆ สำหรับการกู้คืนไฟล์ที่ถูกเข้ารหัสโดยโทรจัน WildFire Locker ransomware

หากมีการติดไวรัสตัวเข้ารหัสเกิดขึ้นแล้ว WildfireDecryptor จะช่วยคุณจัดการกับผลที่ตามมาและถอดรหัสไฟล์ที่มีนามสกุล .wflx

สัญญาณของการติดเชื้อ WildFire Locker

WildFire Locker เป็นแรนซัมแวร์ที่แพร่กระจายผ่านข้อความอีเมลซึ่งมีการแก้ไขส่วนหัวเพื่อแอบอ้างบริษัทที่เชื่อถือได้ในฐานะผู้ส่ง เหยื่อจะได้รับข้อมูลที่ทำให้ผู้ใช้ที่ไม่สงสัยดาวน์โหลดและเรียกใช้ไฟล์ที่แนบมากับอีเมล

ทันทีหลังจากเปิดไฟล์ที่เป็นอันตราย Wildfire จะเจาะระบบและเลือกเอกสารสำนักงานและ ไฟล์ PDFซึ่งถูกเข้ารหัสโดยใช้อัลกอริธึม RSA หรือ AES-256 นามสกุลไฟล์ถูกเปลี่ยนเป็น WFLX ดังนั้นผู้ใช้จึงไม่สามารถเปิดได้อีกต่อไป มัลแวร์ยังฝากข้อความเกี่ยวกับวิธีการปลดล็อคไฟล์ในแต่ละโฟลเดอร์ที่ถูกโจมตีและบนเดสก์ท็อป

สิ่งสำคัญคือต้องทราบว่า ransomware จะลบสำเนาของ Shadow Volumes ทั้งหมดบนคอมพิวเตอร์ ดังนั้นจึงไม่มีเหตุผลที่จะกู้คืนไฟล์โดยใช้จุดคืนค่าระบบก่อนหน้า

ช่วยให้คุณสามารถกู้คืนไฟล์ที่ติดไวรัสได้

วัตถุประสงค์หลักของเครื่องมือนี้คือเพื่อช่วยค้นหาคีย์เข้ารหัสสำหรับไฟล์ที่ติด WildFire Locker ขอแนะนำให้คุณระบุเส้นทางไปยังไฟล์ที่ถูกบุกรุกและตรวจสอบให้แน่ใจว่าคุณได้สำรองเอกสารทั้งหมดก่อนที่จะทำการกู้คืน

เครื่องมือนี้ช่วยให้คุณระบุวัตถุที่สแกนได้ ฮาร์ดไดรฟ์ไดรฟ์แบบถอดได้และพาร์ติชั่นเครือข่าย ในกรณีที่การติดไวรัสแพร่กระจายไปนอกคอมพิวเตอร์ ผู้ใช้สามารถกำหนดค่าการลบไฟล์ที่ติดไวรัสหลังจากการถอดรหัสและการกู้คืนไฟล์สำเร็จ

นอกจากนี้ อย่าลืมลบไฟล์ปฏิบัติการ WildFire Locker เพื่อหลีกเลี่ยงการดำเนินการกู้คืนอีกครั้ง ไฟล์ปฏิบัติการได้อยู่ในโฟลเดอร์ %LocalAppData%

เป็นโปรแกรมที่เป็นอันตรายซึ่งเมื่อเปิดใช้งานจะเข้ารหัสไฟล์ส่วนบุคคลทั้งหมด เช่น เอกสาร รูปภาพ ฯลฯ จำนวนโปรแกรมดังกล่าวมีจำนวนมากและเพิ่มขึ้นทุกวัน เฉพาะใน เมื่อเร็วๆ นี้เราพบแรนซัมแวร์หลากหลายรูปแบบ: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff ฯลฯ เป้าหมายของไวรัสเข้ารหัสดังกล่าวคือการบังคับให้ผู้ใช้ซื้อโปรแกรมและคีย์ที่จำเป็นในการถอดรหัสไฟล์ของตนเอง ซึ่งมักจะใช้เงินจำนวนมาก

แน่นอน คุณสามารถกู้คืนไฟล์ที่เข้ารหัสได้ง่ายๆ โดยทำตามคำแนะนำที่ผู้สร้างไวรัสทิ้งไว้ในคอมพิวเตอร์ที่ติดไวรัส แต่บ่อยครั้งที่ค่าใช้จ่ายในการถอดรหัสมีความสำคัญมากและคุณต้องรู้ด้วยว่าไวรัสแรนซัมแวร์บางตัวเข้ารหัสไฟล์ในลักษณะที่ไม่สามารถถอดรหัสได้ในภายหลัง และแน่นอนว่าการจ่ายเงินเพื่อกู้คืนไฟล์ของคุณเองเป็นเรื่องน่ารำคาญ

ด้านล่างนี้เราจะพูดถึงรายละเอียดเพิ่มเติมเกี่ยวกับไวรัสเข้ารหัส วิธีการเจาะคอมพิวเตอร์ของเหยื่อ ตลอดจนวิธีลบไวรัสเข้ารหัสและกู้คืนไฟล์ที่เข้ารหัสโดยไวรัส

ไวรัส ransomware เจาะคอมพิวเตอร์ได้อย่างไร?

ไวรัสแรนซัมแวร์มักจะแพร่กระจายผ่านทางอีเมล จดหมายมีเอกสารที่ติดไวรัส จดหมายดังกล่าวจะถูกส่งไปยังฐานข้อมูลที่อยู่อีเมลขนาดใหญ่ ผู้เขียนไวรัสนี้ใช้ส่วนหัวและเนื้อหาของตัวอักษรที่ทำให้เข้าใจผิด โดยพยายามหลอกให้ผู้ใช้เปิดเอกสารที่แนบมากับจดหมาย จดหมายบางฉบับแจ้งความจำเป็นในการจ่ายบิล จดหมายอื่น ๆ เสนอให้ดูรายการราคาล่าสุด จดหมายอื่น ๆ เสนอให้เปิดภาพตลก ฯลฯ ไม่ว่าในกรณีใด การเปิดไฟล์ที่แนบมาจะส่งผลให้คอมพิวเตอร์ของคุณติดไวรัสแรนซัมแวร์

ไวรัสแรนซัมแวร์คืออะไร?

ไวรัสแรนซัมแวร์เป็นโปรแกรมที่เป็นอันตรายที่แพร่ระบาด รุ่นที่ทันสมัยระบบปฏิบัติการ ครอบครัววินโดวส์เช่น Windows XP, วินโดวส์วิสต้า, Windows 7, Windows 8, Windows 10 ไวรัสเหล่านี้พยายามใช้โหมดการเข้ารหัสที่แข็งแกร่งที่สุดเท่าที่จะเป็นไปได้ เช่น RSA-2048 ที่มีความยาวคีย์ 2048 บิต ซึ่งในทางปฏิบัติจะช่วยลดความเป็นไปได้ในการเลือกคีย์สำหรับ ถอดรหัสตัวเองไฟล์.

เมื่อติดไวรัสคอมพิวเตอร์ ไวรัสแรนซัมแวร์จะใช้ไดเร็กทอรีระบบ %APPDATA% เพื่อจัดเก็บไฟล์ของตัวเอง หากต้องการเปิดตัวเองโดยอัตโนมัติเมื่อเปิดคอมพิวเตอร์ แรนซัมแวร์จะสร้างรายการในรีจิสทรีของ Windows: ส่วน HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ทันทีหลังจากเปิดตัว ไวรัสจะสแกนไดรฟ์ที่มีอยู่ทั้งหมด รวมถึงเครือข่ายและ การจัดเก็บเมฆเพื่อกำหนดว่าไฟล์ใดจะถูกเข้ารหัส ไวรัสแรนซัมแวร์ใช้นามสกุลไฟล์เพื่อระบุกลุ่มของไฟล์ที่จะถูกเข้ารหัส ไฟล์เกือบทุกประเภทได้รับการเข้ารหัส รวมถึงไฟล์ทั่วไปเช่น:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, กระเป๋าเงิน, .wotreplay, .xxx, .desc, .py, .m3u, .flv, js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, ซิฟ, .zip, .zw

ทันทีหลังจากไฟล์ถูกเข้ารหัส ไฟล์จะได้รับนามสกุลใหม่ ซึ่งมักใช้เพื่อระบุชื่อหรือประเภทของแรนซัมแวร์ มัลแวร์เหล่านี้บางประเภทยังสามารถเปลี่ยนชื่อไฟล์ที่เข้ารหัสได้ จากนั้นไวรัสก็สร้างขึ้น เอกสารข้อความด้วยชื่อเช่น HELP_YOUR_FILES, README ซึ่งมีคำแนะนำในการถอดรหัสไฟล์ที่เข้ารหัส

ในระหว่างการดำเนินการ ไวรัสเข้ารหัสจะพยายามบล็อกความสามารถในการกู้คืนไฟล์โดยใช้ระบบ SVC (shadow copy of files) เพื่อจุดประสงค์นี้ไวรัส โหมดคำสั่งเรียกใช้ยูทิลิตี้นี้เพื่อจัดการ Shadow Copy ของไฟล์ด้วยคีย์ที่เริ่มขั้นตอนการลบไฟล์ทั้งหมด ดังนั้นจึงแทบจะเป็นไปไม่ได้เลยที่จะกู้คืนไฟล์โดยใช้ Shadow Copy

ไวรัสแรนซัมแวร์ใช้กลยุทธ์การข่มขู่โดยให้ลิงก์แก่เหยื่อไปยังคำอธิบายของอัลกอริธึมการเข้ารหัสและแสดงข้อความคุกคามบนเดสก์ท็อป ด้วยวิธีนี้ เขาพยายามบังคับให้ผู้ใช้คอมพิวเตอร์ที่ติดไวรัสส่งรหัสคอมพิวเตอร์ไปยังที่อยู่อีเมลของผู้สร้างไวรัสโดยไม่ลังเลใจ เพื่อพยายามดึงไฟล์ของเขากลับคืนมา การตอบกลับข้อความดังกล่าวส่วนใหญ่มักจะเป็นจำนวนเงินค่าไถ่และที่อยู่กระเป๋าเงินอิเล็กทรอนิกส์

คอมพิวเตอร์ของฉันติดไวรัสแรนซัมแวร์หรือไม่?

ค่อนข้างง่ายที่จะตรวจสอบว่าคอมพิวเตอร์ติดไวรัสเข้ารหัสหรือไม่ ให้ความสนใจกับนามสกุลไฟล์ส่วนตัวของคุณ เช่น เอกสาร รูปภาพ เพลง ฯลฯ หากนามสกุลมีการเปลี่ยนแปลงหรือไฟล์ส่วนตัวของคุณหายไป เหลือไฟล์จำนวนมากที่ไม่รู้จักชื่อ แสดงว่าคอมพิวเตอร์ของคุณติดไวรัส นอกจากนี้ สัญญาณของการติดไวรัสคือการมีไฟล์ชื่อ HELP_YOUR_FILES หรือ README อยู่ในไดเรกทอรีของคุณ ไฟล์นี้จะมีคำแนะนำในการถอดรหัสไฟล์

หากคุณสงสัยว่าคุณได้เปิดอีเมลที่ติดไวรัสแรนซัมแวร์ แต่ยังไม่มีอาการใดๆ ของการติดไวรัส อย่าปิดหรือรีสตาร์ทคอมพิวเตอร์ ทำตามขั้นตอนที่อธิบายไว้ในคู่มือนี้ในส่วน ฉันขอย้ำอีกครั้งเป็นสิ่งสำคัญมากที่จะไม่ปิดคอมพิวเตอร์ ในแรนซัมแวร์บางประเภท กระบวนการเข้ารหัสไฟล์จะถูกเปิดใช้งานในครั้งแรกที่คุณเปิดคอมพิวเตอร์หลังจากการติดไวรัส!

จะถอดรหัสไฟล์ที่เข้ารหัสด้วยไวรัสแรนซัมแวร์ได้อย่างไร?

หากภัยพิบัตินี้เกิดขึ้นก็ไม่ต้องตกใจ! แต่คุณจำเป็นต้องรู้ว่าในกรณีส่วนใหญ่ไม่มีตัวถอดรหัสฟรี นี่เป็นเพราะอัลกอริธึมการเข้ารหัสที่แข็งแกร่งซึ่งใช้โดยสิ่งนี้ มัลแวร์- ซึ่งหมายความว่าหากไม่มีคีย์ส่วนตัว แทบจะเป็นไปไม่ได้เลยที่จะถอดรหัสไฟล์ การใช้วิธีการเลือกคีย์ก็ไม่ใช่ทางเลือกเช่นกัน เนื่องจากคีย์มีความยาวมาก ดังนั้นน่าเสียดายที่การชำระเงินให้กับผู้เขียนไวรัสตามจำนวนที่ร้องขอทั้งหมดเท่านั้น วิธีเดียวเท่านั้นพยายามรับคีย์ถอดรหัส

แน่นอนว่าไม่มีการรับประกันอย่างแน่นอนว่าหลังจากชำระเงินแล้ว ผู้เขียนไวรัสจะติดต่อคุณและมอบกุญแจที่จำเป็นในการถอดรหัสไฟล์ของคุณ นอกจากนี้ คุณต้องเข้าใจว่าการจ่ายเงินให้กับนักพัฒนาไวรัส เท่ากับว่าคุณสนับสนุนให้พวกเขาสร้างไวรัสตัวใหม่

จะลบไวรัส ransomware ได้อย่างไร?

ก่อนที่คุณจะเริ่มต้น คุณต้องรู้ว่าการเริ่มลบไวรัสและพยายามกู้คืนไฟล์ด้วยตนเอง คุณกำลังบล็อกความสามารถในการถอดรหัสไฟล์โดยจ่ายเงินให้ผู้สร้างไวรัสตามจำนวนที่พวกเขาร้องขอ

เครื่องมือกำจัดไวรัส Kaspersky และ Malwarebytes Anti-malware สามารถตรวจจับได้ ประเภทต่างๆไวรัสแรนซัมแวร์ที่ใช้งานอยู่และจะลบไวรัสเหล่านั้นออกจากคอมพิวเตอร์ของคุณอย่างง่ายดาย แต่ไม่สามารถกู้คืนไฟล์ที่เข้ารหัสได้

5.1. ลบ ransomware โดยใช้เครื่องมือกำจัดไวรัส Kaspersky

ตามค่าเริ่มต้น โปรแกรมได้รับการกำหนดค่าให้กู้คืนไฟล์ทุกประเภท แต่เพื่อให้การทำงานเร็วขึ้น ขอแนะนำให้เหลือเฉพาะไฟล์ประเภทที่คุณต้องการกู้คืนเท่านั้น เมื่อคุณเลือกเสร็จแล้ว คลิกตกลง

ที่ด้านล่างของหน้าต่างโปรแกรม QPhotoRec ให้ค้นหาปุ่มเรียกดูแล้วคลิก คุณต้องเลือกไดเร็กทอรีที่จะบันทึกไฟล์ที่กู้คืน ขอแนะนำให้ใช้ดิสก์ที่ไม่มีไฟล์เข้ารหัสซึ่งต้องมีการกู้คืน (คุณสามารถใช้แฟลชไดรฟ์หรือไดรฟ์ภายนอก)

หากต้องการเริ่มขั้นตอนการค้นหาและกู้คืนสำเนาต้นฉบับของไฟล์ที่เข้ารหัส ให้คลิกปุ่มค้นหา กระบวนการนี้ใช้เวลานานพอสมควร ดังนั้นโปรดอดทนรอ

เมื่อการค้นหาเสร็จสิ้น ให้คลิกปุ่มออก ตอนนี้เปิดโฟลเดอร์ที่คุณเลือกเพื่อบันทึกไฟล์ที่กู้คืน

โฟลเดอร์นี้จะมีไดเร็กทอรีชื่อ recup_dir.1, recup_dir.2, recup_dir.3 เป็นต้น ยิ่งโปรแกรมพบไฟล์มากเท่าใดก็ยิ่งมีไดเร็กทอรีมากขึ้นเท่านั้น หากต้องการค้นหาไฟล์ที่คุณต้องการ ให้ตรวจสอบไดเร็กทอรีทั้งหมดทีละไฟล์ เพื่อให้ง่ายต่อการค้นหาไฟล์ที่คุณต้องการจากไฟล์ที่กู้คืนจำนวนมาก ให้ใช้ระบบในตัว ค้นหาวินโดวส์(ตามเนื้อหาไฟล์) และอย่าลืมเกี่ยวกับฟังก์ชั่นการเรียงลำดับไฟล์ในไดเร็กทอรี คุณสามารถเลือกวันที่ที่ไฟล์ถูกแก้ไขเป็นตัวเลือกการจัดเรียง เนื่องจาก QPhotoRec พยายามกู้คืนคุณสมบัตินี้เมื่อกู้คืนไฟล์

จะป้องกันไวรัส ransomware ไม่ให้ติดคอมพิวเตอร์ของคุณได้อย่างไร?

โปรแกรมป้องกันไวรัสสมัยใหม่ส่วนใหญ่มีระบบป้องกันในตัวจากการรุกและการเปิดใช้งานไวรัสเข้ารหัสอยู่แล้ว ดังนั้นหากคอมพิวเตอร์ของคุณไม่มี โปรแกรมป้องกันไวรัสจากนั้นอย่าลืมติดตั้ง คุณสามารถดูวิธีเลือกได้โดยอ่านข้อความนี้

นอกจากนี้ยังมีโปรแกรมป้องกันพิเศษอีกด้วย เช่น นี่คือ CryptoPrevent รายละเอียดเพิ่มเติม

ไม่กี่คำสุดท้าย

เมื่อปฏิบัติตามคำแนะนำเหล่านี้ คอมพิวเตอร์ของคุณจะถูกล้างไวรัสแรนซัมแวร์ หากคุณมีคำถามหรือต้องการความช่วยเหลือ โปรดติดต่อเรา

ทุกวันนี้ ผู้ใช้คอมพิวเตอร์และแล็ปท็อปต้องเผชิญกับมัลแวร์มากขึ้นเรื่อยๆ ซึ่งแทนที่ไฟล์ด้วยสำเนาที่เข้ารหัส โดยพื้นฐานแล้วสิ่งเหล่านี้คือไวรัส XTBL ransomware ถือเป็นหนึ่งในสิ่งที่อันตรายที่สุดในซีรีส์นี้ ศัตรูพืชนี้คืออะไร มันเข้าไปในคอมพิวเตอร์ของผู้ใช้ได้อย่างไร และเป็นไปได้หรือไม่ที่จะกู้คืนข้อมูลที่เสียหาย?

XTBL ransomware คืออะไร และมันเข้าสู่คอมพิวเตอร์ได้อย่างไร?

หากคุณพบไฟล์ในคอมพิวเตอร์หรือแล็ปท็อปที่มีชื่อยาวและมีนามสกุล .xtbl คุณสามารถพูดได้อย่างมั่นใจว่าระบบได้รับการติดตั้งแล้ว ไวรัสอันตราย- ตัวเข้ารหัส XTBL มีผลกับ Windows OS ทุกเวอร์ชัน แทบจะเป็นไปไม่ได้เลยที่จะถอดรหัสไฟล์ดังกล่าวด้วยตัวเอง เนื่องจากโปรแกรมใช้โหมดไฮบริดซึ่งการเลือกคีย์นั้นเป็นไปไม่ได้เลย

ไดเร็กทอรีระบบเต็มไปด้วยไฟล์ที่ติดไวรัส บันทึกจะถูกเพิ่มเข้าไป รีจิสทรีของ Windowsซึ่งจะเปิดไวรัสโดยอัตโนมัติทุกครั้งที่ระบบปฏิบัติการเริ่มทำงาน

ไฟล์เกือบทุกประเภทได้รับการเข้ารหัส - กราฟิก ข้อความ ไฟล์เก็บถาวร อีเมล วิดีโอ เพลง ฯลฯ ไม่สามารถทำงานใน Windows ได้

มันทำงานอย่างไร? แรนซัมแวร์ XTBL ที่ทำงานบน Windows จะสแกนทุกอย่างก่อน ไดรฟ์แบบลอจิคัล- ซึ่งรวมถึงระบบคลาวด์และ ที่เก็บข้อมูลเครือข่ายตั้งอยู่บนเครื่องคอมพิวเตอร์ เป็นผลให้ไฟล์ถูกจัดกลุ่มตามนามสกุลแล้วเข้ารหัส ดังนั้นข้อมูลอันมีค่าทั้งหมดที่อยู่ในโฟลเดอร์ของผู้ใช้จึงไม่สามารถเข้าถึงได้


นี่คือภาพที่ผู้ใช้จะเห็นแทนไอคอนที่มีชื่อไฟล์ที่คุ้นเคย

ภายใต้อิทธิพลของ XTBL ransomware นามสกุลไฟล์จะเปลี่ยนไป ตอนนี้ผู้ใช้เห็นไอคอนแผ่นงานเปล่าและชื่อยาวที่ลงท้ายด้วย .xtbl แทนที่จะเป็นรูปภาพหรือข้อความใน Word นอกจากนี้ ข้อความจะปรากฏบนเดสก์ท็อปซึ่งเป็นคำแนะนำประเภทหนึ่งสำหรับการกู้คืนข้อมูลที่เข้ารหัส ซึ่งกำหนดให้คุณต้องชำระเงินสำหรับการปลดล็อค นี่ไม่ใช่อะไรมากไปกว่าแบล็กเมล์เรียกร้องค่าไถ่


ข้อความนี้ปรากฏในหน้าต่างเดสก์ท็อปของคอมพิวเตอร์ของคุณ

XTBL ransomware มักจะเผยแพร่ผ่านทางอีเมล อีเมลมีไฟล์แนบหรือเอกสารที่ติดไวรัส นักต้มตุ๋นดึงดูดผู้ใช้ด้วยพาดหัวที่มีสีสัน ทำทุกอย่างเพื่อให้แน่ใจว่าข้อความที่บอกว่าคุณถูกรางวัลล้าน เป็นต้น เปิดอยู่ อย่าตอบกลับข้อความดังกล่าว มิฉะนั้น มีความเสี่ยงสูงที่ไวรัสจะจบลงในระบบปฏิบัติการของคุณ

สามารถกู้คืนข้อมูลได้หรือไม่?

คุณสามารถลองถอดรหัสข้อมูลโดยใช้ยูทิลิตี้พิเศษอย่างไรก็ตาม ไม่มีการรับประกันว่าคุณจะสามารถกำจัดไวรัสและกู้คืนไฟล์ที่เสียหายได้

ปัจจุบัน XTBL ransomware ก่อให้เกิดภัยคุกคามต่อคอมพิวเตอร์ทุกเครื่องที่ใช้ระบบปฏิบัติการ Windows อย่างปฏิเสธไม่ได้ แม้แต่ผู้นำที่ได้รับการยอมรับในการต่อสู้กับไวรัส - Dr.Web และ Kaspersky Lab - ก็ยังไม่มีวิธีแก้ปัญหา 100% สำหรับปัญหานี้

การลบไวรัสและการกู้คืนไฟล์ที่เข้ารหัส

มีวิธีการและโปรแกรมต่าง ๆ ที่ให้คุณทำงานกับการเข้ารหัส XTBL ได้บางตัวลบไวรัสออกเอง บางตัวพยายามถอดรหัสไฟล์ที่ถูกล็อคหรือกู้คืนสำเนาก่อนหน้า

หยุดการติดไวรัสคอมพิวเตอร์

หากคุณโชคดีพอที่จะสังเกตเห็นว่าไฟล์ที่มีนามสกุล .xtbl เริ่มปรากฏบนคอมพิวเตอร์ของคุณ ก็ค่อนข้างเป็นไปได้ที่จะขัดขวางกระบวนการติดไวรัสเพิ่มเติม

เครื่องมือกำจัดไวรัส Kaspersky เพื่อลบ XTBL ransomware

ควรเปิดโปรแกรมดังกล่าวทั้งหมดในระบบปฏิบัติการที่เคยเปิดตัวในเซฟโหมดก่อนหน้านี้พร้อมตัวเลือกในการโหลดไดรเวอร์เครือข่าย ในกรณีนี้ การลบไวรัสทำได้ง่ายกว่ามาก เนื่องจากมีการเชื่อมต่อกระบวนการระบบจำนวนขั้นต่ำที่จำเป็นในการเริ่ม Windows

สำหรับการโหลด โหมดปลอดภัยใน Window XP, 7 ในระหว่างการเริ่มต้นระบบให้กดปุ่ม F8 อย่างต่อเนื่องและหลังจากหน้าต่างเมนูปรากฏขึ้นให้เลือกรายการที่เหมาะสม ที่ ใช้วินโดวส์ 8, 10 คุณควรรีสตาร์ทระบบปฏิบัติการในขณะที่กดปุ่ม Shift ค้างไว้ ในระหว่างกระบวนการเริ่มต้นระบบ หน้าต่างจะเปิดขึ้นมาเพื่อให้คุณเลือกตัวเลือกการบูตแบบปลอดภัยที่ต้องการได้


การเลือกเซฟโหมดพร้อมโหลดไดรเวอร์เครือข่าย

โปรแกรม Kaspersky Virus Removal Tool สามารถจดจำแรนซัมแวร์ XTBL ได้อย่างสมบูรณ์แบบและกำจัดไวรัสประเภทนี้ เรียกใช้การสแกนคอมพิวเตอร์โดยคลิกปุ่มที่เหมาะสมหลังจากดาวน์โหลดยูทิลิตี้ เมื่อการสแกนเสร็จสิ้น ให้ลบไฟล์ที่เป็นอันตรายที่พบ


เรียกใช้การสแกนคอมพิวเตอร์เพื่อดูว่ามี XTBL ransomware ใน Windows OS แล้วจึงลบไวรัส

ดร.เว็บ เคียวอิท!

อัลกอริธึมสำหรับการตรวจสอบและลบไวรัสแทบไม่ต่างจากเวอร์ชันก่อนหน้าใช้ยูทิลิตี้นี้เพื่อสแกนไดรฟ์แบบลอจิคัลทั้งหมด ในการดำเนินการนี้คุณเพียงแค่ต้องปฏิบัติตามคำสั่งของโปรแกรมหลังจากเปิดใช้งานแล้ว ในตอนท้ายของกระบวนการ ให้กำจัดไฟล์ที่ติดไวรัสโดยคลิกปุ่ม "กำจัดการปนเปื้อน"


กำจัดไฟล์ที่เป็นอันตรายหลังจากสแกน Windows

Malwarebytes โปรแกรมป้องกันมัลแวร์

โปรแกรมจะดำเนินการตรวจสอบคอมพิวเตอร์ของคุณทีละขั้นตอนว่ามีรหัสที่เป็นอันตรายหรือไม่และทำลายทิ้ง

  1. ติดตั้งและเรียกใช้ยูทิลิตี้ป้องกันมัลแวร์
  2. เลือก “เรียกใช้การสแกน” ที่ด้านล่างของหน้าต่างที่เปิดขึ้น
  3. รอให้กระบวนการเสร็จสิ้นและทำเครื่องหมายในช่องที่มีไฟล์ที่ติดไวรัส
  4. ลบส่วนที่เลือก


การลบไฟล์ XTBL ransomware ที่เป็นอันตรายที่ตรวจพบระหว่างการสแกน

สคริปต์ถอดรหัสออนไลน์จาก Dr.Web

บนเว็บไซต์ Dr.Web อย่างเป็นทางการในส่วนสนับสนุนจะมีแท็บพร้อมสคริปต์สำหรับการถอดรหัสไฟล์ออนไลน์ โปรดทราบว่าเฉพาะผู้ใช้ที่ติดตั้งโปรแกรมป้องกันไวรัสของนักพัฒนารายนี้ในคอมพิวเตอร์ของตนเท่านั้นจึงจะสามารถใช้ตัวถอดรหัสออนไลน์ได้


อ่านคำแนะนำ กรอกทุกอย่างที่จำเป็นแล้วคลิกปุ่ม "ส่ง"

ยูทิลิตี้ถอดรหัส RectorDecryptor จาก Kaspersky Lab

Kaspersky Lab ยังถอดรหัสไฟล์อีกด้วยบนเว็บไซต์อย่างเป็นทางการ คุณสามารถดาวน์โหลดยูทิลิตี้ RectorDecryptor.exe สำหรับ Windows Vista, 7, 8 ได้โดยไปที่ลิงก์เมนู “การสนับสนุน - การฆ่าเชื้อและถอดรหัสไฟล์ - RectorDecryptor - วิธีถอดรหัสไฟล์” เรียกใช้โปรแกรม ทำการสแกน จากนั้นลบไฟล์ที่เข้ารหัสโดยเลือกตัวเลือกที่เหมาะสม


การสแกนและถอดรหัสไฟล์ที่ติดไวรัส XTBL ransomware

การกู้คืนไฟล์ที่เข้ารหัสจากข้อมูลสำรอง

เริ่มต้นด้วย เวอร์ชันของ Windowsในเวอร์ชัน 7 คุณสามารถลองกู้คืนไฟล์จากข้อมูลสำรองได้


ShadowExplorer เพื่อกู้คืนไฟล์ที่เข้ารหัส

โปรแกรมนี้เป็นเวอร์ชันพกพาสามารถดาวน์โหลดได้จากสื่อใดก็ได้


QPhotoRec

โปรแกรมนี้สร้างขึ้นเป็นพิเศษเพื่อกู้คืนไฟล์ที่เสียหายและถูกลบเมื่อใช้อัลกอริธึมในตัว ยูทิลิตี้นี้จะค้นหาและส่งคืนข้อมูลที่สูญหายทั้งหมดกลับสู่สถานะดั้งเดิม

QPhotoRec ฟรี

น่าเสียดายที่ QPhotoRec มีเพียงเวอร์ชันภาษาอังกฤษเท่านั้น แต่การทำความเข้าใจการตั้งค่านั้นไม่ใช่เรื่องยากเลย อินเทอร์เฟซนั้นใช้งานง่าย

  1. เปิดโปรแกรม
  2. ทำเครื่องหมายไดรฟ์แบบลอจิคัลด้วยข้อมูลที่เข้ารหัส
  3. คลิกปุ่มรูปแบบไฟล์และตกลง
  4. เลือกโดยใช้ปุ่มเรียกดูที่อยู่ด้านล่าง เปิดหน้าต่างตำแหน่งที่จะบันทึกไฟล์และเริ่มขั้นตอนการกู้คืนโดยคลิกค้นหา


QPhotoRec กู้คืนไฟล์ที่ถูกลบโดย XTBL ransomware และแทนที่ด้วยสำเนาของตัวเอง

วิธีถอดรหัสไฟล์ – วิดีโอ

อะไรไม่ควรทำ

  1. อย่าดำเนินการใดๆ ที่คุณไม่แน่ใจโดยสมบูรณ์เชิญผู้เชี่ยวชาญดีกว่า ศูนย์บริการหรือนำคอมพิวเตอร์ไปที่นั่นด้วยตัวเอง
  2. อย่าเปิดข้อความอีเมลจากผู้ส่งที่ไม่รู้จัก
  3. ไม่ว่าในกรณีใดคุณไม่ควรปฏิบัติตามผู้นำของผู้แบล็กเมล์โดยตกลงที่จะโอนเงินให้พวกเขา สิ่งนี้มักจะไม่ให้ผลลัพธ์ใด ๆ
  4. อย่าเปลี่ยนชื่อนามสกุลของไฟล์ที่เข้ารหัสด้วยตนเองและอย่ารีบติดตั้ง Windows ใหม่ อาจเป็นไปได้ที่จะหาทางแก้ไขที่จะแก้ไขสถานการณ์ได้

การป้องกัน

พยายามติดตั้งการป้องกันที่เชื่อถือได้เพื่อป้องกันการบุกรุกของ XTBL ransomware และไวรัส ransomware ที่คล้ายกันบนคอมพิวเตอร์ของคุณ โปรแกรมดังกล่าวประกอบด้วย:

  • Malwarebytes ป้องกันแรนซัมแวร์;
  • BitDefender ป้องกันแรนซัมแวร์;
  • วินแอนตี้แรนซัม;
  • CryptoPrevent

แม้ว่าจะเป็นภาษาอังกฤษทั้งหมด แต่การทำงานกับยูทิลิตี้ดังกล่าวก็ค่อนข้างง่าย เปิดโปรแกรมและเลือกระดับการป้องกันในการตั้งค่า


การเปิดโปรแกรมและเลือกระดับการป้องกัน

หากคุณพบไวรัส ransomware ที่เข้ารหัสไฟล์บนคอมพิวเตอร์ของคุณ แน่นอนว่าคุณไม่ควรสิ้นหวังในทันที ลองใช้วิธีที่แนะนำในการกู้คืนข้อมูลที่เสียหาย บ่อยครั้งสิ่งนี้ให้ผลลัพธ์ที่เป็นบวก อย่าใช้โปรแกรมที่ไม่ได้รับการยืนยันจากนักพัฒนาที่ไม่รู้จักเพื่อลบ XTBL ransomware ท้ายที่สุดสิ่งนี้อาจทำให้สถานการณ์แย่ลงเท่านั้น หากเป็นไปได้ ให้ติดตั้งโปรแกรมใดโปรแกรมหนึ่งบนพีซีของคุณเพื่อป้องกันไวรัสไม่ให้ทำงาน และดำเนินการตามกำหนดเวลาตามปกติ สแกนวินโดวส์สำหรับการมีอยู่ของกระบวนการที่เป็นอันตราย

แฮกเกอร์ Ransomware นั้นคล้ายกับผู้แบล็กเมล์ทั่วไปมาก ทั้งในโลกแห่งความเป็นจริงและในสภาพแวดล้อมทางไซเบอร์ มีเป้าหมายการโจมตีแบบเดี่ยวหรือแบบกลุ่ม มันถูกขโมยหรือไม่สามารถเข้าถึงได้ ต่อไป อาชญากรใช้วิธีการสื่อสารกับเหยื่อเพื่อแจ้งข้อเรียกร้องของพวกเขา นักหลอกลวงทางคอมพิวเตอร์มักจะเลือกรูปแบบจดหมายเรียกค่าไถ่เพียงไม่กี่รูปแบบ แต่สำเนาสามารถพบได้ในเกือบทุกตำแหน่งหน่วยความจำบนระบบที่ติดไวรัส ในกรณีของกลุ่มสปายแวร์ที่เรียกว่า Troldesh หรือ Shade นักต้มตุ๋นจะใช้แนวทางพิเศษในการติดต่อเหยื่อ

เรามาดูไวรัสเรียกค่าไถ่สายพันธุ์นี้กันดีกว่า ซึ่งมุ่งเป้าไปที่ผู้ชมที่พูดภาษารัสเซีย การติดไวรัสที่คล้ายกันส่วนใหญ่จะตรวจจับรูปแบบแป้นพิมพ์บนพีซีที่ถูกโจมตี และหากภาษาใดภาษาหนึ่งเป็นภาษารัสเซีย การบุกรุกจะหยุดลง อย่างไรก็ตามไวรัสแรนซัมแวร์ เอ็กซ์ทีบีแอลไม่สามารถถอดรหัสได้: น่าเสียดายสำหรับผู้ใช้ การโจมตีจะเกิดขึ้นโดยไม่คำนึงถึงที่ตั้งทางภูมิศาสตร์และการตั้งค่าภาษา ลักษณะที่ชัดเจนของความสามารถรอบด้านนี้คือคำเตือนที่ปรากฏในพื้นหลังเดสก์ท็อป รวมถึงไฟล์ TXT พร้อมคำแนะนำในการชำระค่าไถ่

ไวรัส XTBL มักแพร่กระจายผ่านสแปม ข้อความมีลักษณะคล้ายจดหมายจากแบรนด์ดัง หรือเพียงสะดุดตาเพราะหัวเรื่องใช้สำนวนเช่น “ด่วน!” หรือ “เอกสารทางการเงินที่สำคัญ” เคล็ดลับฟิชชิ่งจะทำงานเมื่อผู้รับอีเมลดังกล่าว ข้อความจะดาวน์โหลดไฟล์ ZIP ที่มีรหัส JavaScript หรือวัตถุ Docm ที่มีมาโครที่อาจมีช่องโหว่

หลังจากเสร็จสิ้นอัลกอริธึมพื้นฐานบนพีซีที่ถูกบุกรุกแล้ว โทรจันแรนซัมแวร์จะดำเนินการค้นหาข้อมูลที่อาจมีคุณค่าต่อผู้ใช้ เพื่อจุดประสงค์นี้ ไวรัสจะสแกนท้องถิ่นและ หน่วยความจำภายนอกโดยจับคู่แต่ละไฟล์พร้อม ๆ กันกับชุดรูปแบบที่เลือกตามนามสกุลของออบเจ็กต์ ไฟล์ .jpg, .wav, .doc, .xls ทั้งหมด รวมถึงออบเจ็กต์อื่นๆ อีกมากมายได้รับการเข้ารหัสโดยใช้อัลกอริธึมการเข้ารหัสแบบบล็อกสมมาตร AES-256

ผลกระทบที่เป็นอันตรายนี้มีสองด้าน ประการแรก ผู้ใช้ไม่สามารถเข้าถึงข้อมูลสำคัญได้ นอกจากนี้ ชื่อไฟล์ยังถูกเข้ารหัสอย่างลึกซึ้ง ส่งผลให้สตริงอักขระเลขฐานสิบหกไม่มีความหมาย สิ่งที่รวมชื่อของไฟล์ที่ได้รับผลกระทบเข้าด้วยกันคือส่วนขยาย xtbl ที่เพิ่มเข้ามา เช่น ชื่อของภัยคุกคามทางไซเบอร์ ชื่อไฟล์ที่เข้ารหัสบางครั้งอาจมีรูปแบบพิเศษ ใน Troldesh บางเวอร์ชัน ชื่อของออบเจ็กต์ที่เข้ารหัสอาจไม่เปลี่ยนแปลง และมีการเพิ่มโค้ดเฉพาะต่อท้าย: [ป้องกันอีเมล], [ป้องกันอีเมล], หรือ [ป้องกันอีเมล].

เห็นได้ชัดว่าผู้โจมตีได้แนะนำที่อยู่อีเมล ส่งทางไปรษณีย์โดยตรงไปยังชื่อของไฟล์ เพื่อระบุวิธีการสื่อสารแก่เหยื่อ อีเมลยังระบุอยู่ที่อื่นด้วย กล่าวคือในจดหมายทวงถามค่าไถ่ที่อยู่ในไฟล์ “Readme.txt” เอกสาร Notepad ดังกล่าวจะปรากฏบนเดสก์ท็อปรวมถึงในทุกโฟลเดอร์ที่มีข้อมูลที่เข้ารหัส ข้อความสำคัญคือ:

“ไฟล์ทั้งหมดถูกเข้ารหัส หากต้องการถอดรหัส คุณต้องส่งรหัส: [รหัสเฉพาะของคุณ] ไปที่ ที่อยู่อีเมล [ป้องกันอีเมล]หรือ [ป้องกันอีเมล]- ต่อไปคุณจะได้ทุกอย่าง คำแนะนำที่จำเป็น- ความพยายามที่จะถอดรหัสด้วยตัวเองจะนำไปสู่การสูญเสียข้อมูลอย่างไม่อาจแก้ไขได้”

ที่อยู่อีเมลอาจมีการเปลี่ยนแปลงขึ้นอยู่กับกลุ่มแบล็กเมล์ที่แพร่กระจายไวรัส

สำหรับการพัฒนาเพิ่มเติม: โดยทั่วไปแล้ว นักต้มตุ๋นตอบกลับพร้อมคำแนะนำในการโอนค่าไถ่ซึ่งอาจเป็น 3 bitcoin หรือจำนวนอื่นในช่วงนี้ โปรดทราบว่าไม่มีใครรับประกันได้ว่าแฮกเกอร์จะปฏิบัติตามสัญญาแม้จะได้รับเงินแล้วก็ตาม หากต้องการคืนค่าการเข้าถึงไฟล์ .xtbl ขอแนะนำให้ผู้ใช้ที่ได้รับผลกระทบลองใช้วิธีอื่นที่มีอยู่ทั้งหมดก่อน ในบางกรณี สามารถจัดเรียงข้อมูลได้โดยใช้บริการ Volume Shadow Copy ที่ให้โดยตรงในระบบปฏิบัติการ Windows รวมถึงโปรแกรมถอดรหัสและกู้คืนข้อมูลจากนักพัฒนาซอฟต์แวร์อิสระ

ลบ XTBL ransomware โดยใช้เครื่องมือทำความสะอาดอัตโนมัติ

พิเศษเฉพาะ วิธีการที่มีประสิทธิภาพการทำงานกับมัลแวร์โดยทั่วไปและโดยเฉพาะแรนซัมแวร์ การใช้คอมเพล็กซ์การป้องกันที่ได้รับการพิสูจน์แล้วรับประกันการตรวจจับส่วนประกอบของไวรัสอย่างละเอียด การกำจัดที่สมบูรณ์ได้ด้วยคลิกเดียว โปรดทราบว่าเรากำลังพูดถึงกระบวนการที่แตกต่างกันสองกระบวนการ: การถอนการติดตั้งการติดไวรัสและการกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามจำเป็นต้องถูกกำจัดออกไปอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการนำโทรจันคอมพิวเตอร์เครื่องอื่นมาใช้

  1. - หลังจากเริ่มซอฟต์แวร์ให้คลิกปุ่ม เริ่ม สแกนคอมพิวเตอร์ (เริ่มการสแกน)
  2. ซอฟต์แวร์ที่ติดตั้งจะจัดทำรายงานภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่ตรวจพบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(ขจัดภัยคุกคาม) มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์

คืนค่าการเข้าถึงไฟล์ที่เข้ารหัสด้วยนามสกุล .xtbl

ตามที่ระบุไว้ แรนซั่มแวร์ XTBL จะล็อกไฟล์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง เพื่อไม่ให้ข้อมูลที่เข้ารหัสไม่สามารถกู้คืนได้ด้วยการใช้ไม้กายสิทธิ์ โดยไม่ต้องจ่ายค่าไถ่ในจำนวนที่ไม่เคยได้ยินมาก่อน แต่วิธีการบางอย่างสามารถช่วยชีวิตได้จริงๆ ซึ่งจะช่วยคุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้

Decryptor – โปรแกรมกู้คืนไฟล์อัตโนมัติ

เป็นที่รู้กันว่ามีเหตุการณ์ที่ไม่ปกติมาก การติดเชื้อนี้จะลบไฟล์ต้นฉบับในรูปแบบที่ไม่ได้เข้ารหัส กระบวนการเข้ารหัสเพื่อวัตถุประสงค์ในการขู่กรรโชกจึงมุ่งเป้าไปที่สำเนาของพวกมัน นี่เป็นการเปิดโอกาสให้เช่นนี้ ซอฟต์แวร์วิธีคืนค่าวัตถุที่ถูกลบแม้ว่าจะรับประกันความน่าเชื่อถือของการลบออกก็ตาม ขอแนะนำอย่างยิ่งให้ใช้ขั้นตอนการกู้คืนไฟล์ซึ่งได้รับการยืนยันประสิทธิภาพแล้วมากกว่าหนึ่งครั้ง

Shadow Copy ของเล่มต่างๆ

วิธีการนี้ขึ้นอยู่กับขั้นตอนของ Windows สำเนาสำรองซึ่งจะถูกทำซ้ำในแต่ละจุดกู้คืน สภาพการทำงานที่สำคัญ วิธีนี้: ต้องเปิดใช้งานฟังก์ชัน “System Restore” ก่อนที่จะติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ ในไฟล์ที่ทำหลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์

สำรองข้อมูล

นี่เป็นวิธีที่ดีที่สุดในบรรดาวิธีการที่ไม่ใช่ค่าไถ่ทั้งหมด หากใช้ขั้นตอนการสำรองข้อมูลไปยังเซิร์ฟเวอร์ภายนอกก่อนที่แรนซัมแวร์จะโจมตีคอมพิวเตอร์ของคุณ ในการกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องเข้าสู่อินเทอร์เฟซที่เหมาะสม เลือกไฟล์ที่จำเป็นและเปิดกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการ คุณต้องตรวจสอบให้แน่ใจว่าได้ลบแรนซัมแวร์ออกอย่างสมบูรณ์แล้ว

ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของไวรัส XTBL ransomware

ทำความสะอาดใน โหมดแมนนวลเต็มไปด้วยการละเลยแรนซัมแวร์แต่ละชิ้นที่สามารถหลีกเลี่ยงการลบออกในฐานะวัตถุที่ซ่อนอยู่ ระบบปฏิบัติการหรือรายการรีจิสทรี เพื่อลดความเสี่ยงในการคงองค์ประกอบที่เป็นอันตรายไว้บางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้ชุดป้องกันไวรัสสากลที่เชื่อถือได้