To'lov dasturidan himoya. Shifrlovchi virus - bu nima, u nima uchun xavfli?Kasperskiy viruslaridan keyin fayl deşifrlovchisi

Taxminan bir yoki ikki hafta oldin Internetda zamonaviy virus ishlab chiqaruvchilarning yana bir hacki paydo bo'ldi, bu foydalanuvchining barcha fayllarini shifrlaydi. To'lov dasturi virusidan keyin kompyuterni qanday davolash kerakligi haqidagi savolni yana bir bor ko'rib chiqaman shifrlangan000007 va shifrlangan fayllarni tiklash. Bunday holda, hech qanday yangi yoki noyob narsa paydo bo'lmadi, faqat oldingi versiyaning modifikatsiyasi.

Ransomware virusidan keyin fayllarning kafolatlangan shifrini ochish - dr-shifro.ru. Ishning tafsilotlari va mijoz bilan o'zaro munosabatlar sxemasi quyida mening maqolamda yoki veb-saytda "Ish tartibi" bo'limida keltirilgan.

CRYPTED000007 ransomware virusining tavsifi

CRYPTED000007 shifrlovchisi avvalgilaridan tubdan farq qilmaydi. Bu deyarli xuddi shunday ishlaydi. Ammo baribir uni ajratib turadigan bir nechta nuanslar mavjud. Men sizga hamma narsani tartibda aytib beraman.

U o'zining analoglari kabi pochta orqali keladi. Ijtimoiy muhandislik texnikasi foydalanuvchining xatga qiziqishini va uni ochishini ta'minlash uchun qo'llaniladi. Mening holda, xat qandaydir sud va haqida gapirdi muhim ma'lumotlar ilovadagi ish bo'yicha. Qo'shimchani ishga tushirgandan so'ng, foydalanuvchi Moskva arbitraj sudidan olingan ko'chirma bilan Word hujjatini ochadi.

Hujjatni ochish bilan parallel ravishda faylni shifrlash boshlanadi. Windows foydalanuvchi hisobini boshqarish tizimidan ma'lumot xabari doimiy ravishda paydo bo'la boshlaydi.

Agar siz taklifga rozi bo'lsangiz, fayllarni soyada zaxiralang Windows nusxalari o'chiriladi va ma'lumotlarni qayta tiklash juda qiyin bo'ladi. Ko'rinib turibdiki, siz hech qanday sharoitda taklifga qo'shila olmaysiz. Ushbu shifrlovchida ushbu so'rovlar doimiy ravishda, birin-ketin paydo bo'ladi va to'xtamaydi, bu esa foydalanuvchini rozi bo'lishga va zaxira nusxalarini o'chirishga majbur qiladi. Bu shifrlovchilarning oldingi modifikatsiyalaridan asosiy farqidir. Men hech qachon soya nusxalarini to'xtatmasdan o'chirish so'rovlariga duch kelmaganman. Odatda, 5-10 taklifdan keyin ular to'xtab qolishdi.

Men darhol kelajak uchun tavsiyalar beraman. Odamlar foydalanuvchi hisobini boshqarish bo'yicha ogohlantirishlarni o'chirib qo'yishlari juda keng tarqalgan. Buni qilishning hojati yo'q. Ushbu mexanizm haqiqatan ham viruslarga qarshi turishga yordam beradi. Ikkinchi aniq maslahat - doimiy ravishda ishlamaslikdir hisob kompyuter ma'muri, agar bunga ob'ektiv ehtiyoj bo'lmasa. Bunday holda, virus juda ko'p zarar etkazish imkoniyatiga ega bo'lmaydi. Unga qarshilik ko'rsatish uchun ko'proq imkoniyatga ega bo'lasiz.

Ammo siz har doim to'lov dasturining so'rovlariga salbiy javob bergan bo'lsangiz ham, barcha ma'lumotlaringiz allaqachon shifrlangan. Shifrlash jarayoni tugagandan so'ng, ish stolida rasmni ko'rasiz.

Shu bilan birga, ko'p bo'ladi matnli fayllar bir xil tarkib bilan.

Fayllaringiz shifrlangan. Ux shifrini ochish uchun elektron pochta manziliga 329D54752553ED978F94|0 kodini yuborishingiz kerak. [elektron pochta himoyalangan]. Keyin siz barcha kerakli ko'rsatmalarni olasiz. O'z-o'zidan shifrlashga urinishlar qaytarib bo'lmaydigan miqdordagi ma'lumotlardan boshqa hech narsaga olib kelmaydi. Agar siz hali ham sinab ko'rmoqchi bo'lsangiz, avval fayllarning zaxira nusxalarini yarating, aks holda, o'zgarishlar yuz berganda, hech qanday sharoitda shifrni ochish imkonsiz bo'ladi. Agar siz yuqoridagi manzilda 48 soat ichida bildirishnoma olmagan bo'lsangiz (faqat bu holatda!), aloqa shaklidan foydalaning. Bu ikki yo'l bilan amalga oshirilishi mumkin: 1) Yuklab oling va o'rnating Tor brauzer havola orqali: https://www.torproject.org/download/download-easy.html.en Tor brauzerining manzil maydoniga manzilni kiriting: http://cryptsen7fo43rr6.onion/ va Enter tugmasini bosing. Kontakt shakli bo'lgan sahifa yuklanadi. 2) Har qanday brauzerda quyidagi manzillardan biriga o'ting: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Barcha muhim fayllar kompyuteringiz shifrlangan edi. Fayllarning shifrini ochish uchun quyidagi kodni yuborishingiz kerak: 329D54752553ED978F94|0 elektron pochta manziliga [elektron pochta himoyalangan]. Keyin barcha kerakli ko'rsatmalarni olasiz. O'zingiz tomonidan shifrni ochishga bo'lgan barcha urinishlar faqat ma'lumotlaringizning qaytarib bo'lmaydigan yo'qolishiga olib keladi. Agar siz hali ham ularni o'zingiz hal qilmoqchi bo'lsangiz, avval zaxira nusxasini yarating, chunki fayllar ichida har qanday o'zgarishlar bo'lsa, shifrni ochish imkonsiz bo'ladi. Agar siz yuqorida ko'rsatilgan elektron pochtadan 48 soatdan ko'proq vaqt davomida javob olmagan bo'lsangiz (va faqat bu holatda!), fikr-mulohaza shaklidan foydalaning. Buni ikki yo'l bilan qilishingiz mumkin: 1) Tor brauzerini bu yerdan yuklab oling: https://www.torproject.org/download/download-easy.html.en Uni o'rnating va manzil satriga quyidagi manzilni kiriting: http:/ /cryptsen7fo43rr6.onion/ Enter tugmasini bosing va keyin fikr-mulohaza shakli bo'lgan sahifa yuklanadi. 2) Istalgan brauzerda quyidagi manzillardan biriga o'ting: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Pochta manzili o'zgarishi mumkin. Men quyidagi manzillarga ham duch keldim:

Manzillar doimiy ravishda yangilanadi, shuning uchun ular butunlay boshqacha bo'lishi mumkin.

Fayllaringiz shifrlanganligini aniqlaganingizdan so'ng, darhol kompyuteringizni o'chiring. Bu shifrlash jarayonini to'xtatish uchun amalga oshirilishi kerak mahalliy kompyuter, va tarmoq drayverlarida. Shifrlash virusi o'zi erisha oladigan barcha ma'lumotlarni, shu jumladan tarmoq drayverlarida ham shifrlashi mumkin. Ammo agar u erda juda ko'p ma'lumot bo'lsa, unda unga ko'p vaqt kerak bo'ladi. Ba'zida hatto bir necha soat ichida kriptograf hamma narsani shifrlashga ulgurmadi tarmoq drayveri taxminan 100 gigabayt.

Keyinchalik qanday harakat qilish haqida yaxshilab o'ylab ko'rishingiz kerak. Agar sizga kompyuteringizda har qanday narxda ma'lumot kerak bo'lsa va sizda zaxira nusxalari bo'lmasa, hozirda mutaxassislarga murojaat qilish yaxshiroqdir. Ba'zi kompaniyalar uchun pul uchun emas. Sizga faqat yaxshi odam kerak axborot tizimlari. Qanday davom etishni tushunish uchun ofat ko'lamini baholash, virusni olib tashlash va vaziyat bo'yicha barcha mavjud ma'lumotlarni to'plash kerak.

Ushbu bosqichda noto'g'ri harakatlar fayllarni parolini hal qilish yoki tiklash jarayonini sezilarli darajada murakkablashtirishi mumkin. Eng yomon holatda, ular buni imkonsiz qilishlari mumkin. Shuning uchun vaqtingizni ajrating, ehtiyotkor va izchil bo'ling.

CRYPTED000007 ransomware virusi fayllarni qanday shifrlaydi

Virus ishga tushirilgandan va o'z faoliyatini tugatgandan so'ng, barcha foydali fayllar shifrlanadi, nomi o'zgartiriladi kengaytma.crypted000007. Bundan tashqari, nafaqat fayl kengaytmasi, balki fayl nomi ham o'zgartiriladi, shuning uchun esingizda bo'lmasa, qanday turdagi fayllar borligini aniq bilmaysiz. Bu shunday ko'rinadi.

Bunday vaziyatda fojia ko'lamini baholash qiyin bo'ladi, chunki siz hayotingizda bo'lgan narsalarni to'liq eslay olmaysiz. turli papkalar. Bu odamlarni chalkashtirib yuborish va fayllarni parolini hal qilish uchun pul to'lashga undash uchun maxsus qilingan.

Va agar sizning tarmoq papkalaringiz shifrlangan bo'lsa va to'liq zaxiralar bo'lmasa, bu butun tashkilotning ishini butunlay to'xtatishi mumkin. Qayta tiklashni boshlash uchun oxir-oqibat nima yo'qolganligini aniqlash uchun sizga biroz vaqt kerak bo'ladi.

Kompyuteringizni qanday davolash va CRYPTED000007 to'lov dasturini olib tashlash

CRYPTED000007 virusi allaqachon kompyuteringizda. Birinchi va eng muhim savol - kompyuterni qanday dezinfeksiya qilish va agar u hali tugallanmagan bo'lsa, keyingi shifrlashni oldini olish uchun undan virusni qanday olib tashlash kerak. Darhol sizning e'tiboringizni kompyuteringiz bilan ba'zi harakatlarni amalga oshirishni boshlaganingizdan so'ng, ma'lumotlarni shifrlash imkoniyati pasayishiga qaratmoqchiman. Agar siz fayllarni har qanday narxda tiklashingiz kerak bo'lsa, kompyuteringizga tegmang, lekin darhol mutaxassislarga murojaat qiling. Quyida men ular haqida gapiraman va saytga havolani taqdim etaman va ular qanday ishlashini tasvirlab beraman.

Ayni paytda biz kompyuterni mustaqil ravishda davolashni va virusni olib tashlashni davom ettiramiz. An'anaga ko'ra, ransomware kompyuterdan osongina olib tashlanadi, chunki virus har qanday narxda kompyuterda qolish vazifasiga ega emas. Keyin to'liq shifrlash fayllarni o'chirish, uning o'zini o'chirish va g'oyib bo'lish yanada foydalidir, shuning uchun voqeani tekshirish va fayllarni parolini ochish qiyinroq bo'ladi.

Virusni qanday qilib qo'lda olib tashlashni tasvirlash qiyin, garchi men buni oldin qilishga harakat qilgan bo'lsam ham, lekin ko'pincha bu befoyda ekanligini ko'raman. Fayl nomlari va viruslarni joylashtirish yo'llari doimo o'zgarib turadi. Men ko'rgan narsa bir-ikki hafta ichida ahamiyatini yo'qotadi. Odatda, viruslar pochta orqali to'lqinlarda yuboriladi va har safar antiviruslar tomonidan hali aniqlanmagan yangi modifikatsiya mavjud. Ishga tushirishni tekshiradigan va tizim papkalarida shubhali faoliyatni aniqlaydigan universal vositalar yordam beradi.

CRYPTED000007 virusini olib tashlash uchun siz quyidagi dasturlardan foydalanishingiz mumkin:

  1. Kaspersky Virus Removal Tool - Kasperskiydan http://www.kaspersky.ru/antivirus-removal-tool yordam dasturi.
  2. Dr.Web CureIt! - boshqa http://free.drweb.ru/cureit veb-saytidagi shunga o'xshash mahsulot.
  3. Agar birinchi ikkita yordamchi dastur yordam bermasa, MALWAREBYTES 3.0 - https://ru.malwarebytes.com ni sinab ko'ring.

Katta ehtimol bilan, ushbu mahsulotlardan biri kompyuteringizni CRYPTED000007 to'lov dasturidan tozalaydi. Agar to'satdan ular yordam bermasa, virusni qo'lda olib tashlashga harakat qiling. Men olib tashlash usuliga misol keltirdim va u erda ko'rishingiz mumkin. Qisqacha aytganda, bosqichma-bosqich siz shunday harakat qilishingiz kerak:

  1. Vazifa menejeriga bir nechta qo'shimcha ustunlar qo'shgandan so'ng, biz jarayonlar ro'yxatini ko'rib chiqamiz.
  2. Biz virus jarayonini topamiz, u o'tirgan papkani ochamiz va uni o'chirib tashlaymiz.
  3. Biz ro'yxatga olish kitobidagi fayl nomi bilan virus jarayoni haqida eslatib o'tamiz.
  4. Biz qayta ishga tushiramiz va CRYPTED000007 virusi ishlaydigan jarayonlar ro'yxatida yo'qligiga ishonch hosil qilamiz.

CRYPTED000007 deshifrini qayerdan yuklab olish mumkin

Oddiy va ishonchli parol hal qiluvchi savol birinchi navbatda ransomware virusi haqida gap ketganda paydo bo'ladi. Men tavsiya qiladigan birinchi narsa - https://www.nomoreransom.org xizmatidan foydalanish. Agar omadingiz bo'lsa va ular sizning CRYPTED000007 shifrlovchi versiyangiz uchun shifrlovchiga ega bo'lsa-chi. Men darhol aytamanki, sizda ko'p imkoniyatlar yo'q, lekin urinish qiynoq emas. Yoniq bosh sahifa Ha tugmasini bosing:

Keyin bir nechta shifrlangan fayllarni yuklab oling va Go tugmasini bosing! Aniqlash:

Yozish paytida saytda hech qanday shifrlovchi yo'q edi.

Ehtimol, sizga omad kulib boqadi. Yuklab olish uchun parol hal qiluvchilar ro'yxatini alohida sahifada ham ko'rishingiz mumkin - https://www.nomoreransom.org/decryption-tools.html. Ehtimol, u erda foydali narsa bordir. Virus butunlay yangi bo'lsa, bu sodir bo'lish ehtimoli kam, ammo vaqt o'tishi bilan biror narsa paydo bo'lishi mumkin. Internetda shifrlovchilarning ba'zi modifikatsiyalari uchun shifrlovchilar paydo bo'lganiga misollar mavjud. Va bu misollar belgilangan sahifada.

Dekoderni yana qayerdan topishingiz mumkinligini bilmayman. Zamonaviy shifrlovchilar ishining o'ziga xos xususiyatlarini hisobga olgan holda, u haqiqatan ham mavjud bo'lishi dargumon. Faqat virus mualliflari to'liq huquqli dekodlovchiga ega bo'lishi mumkin.

CRYPTED000007 virusidan keyin fayllarni qanday shifrlash va tiklash

CRYPTED000007 virusi fayllaringizni shifrlaganida nima qilish kerak? Shifrlashning texnik jihatdan amalga oshirilishi fayllarni kalitsiz yoki shifrlovchisiz shifrlashga imkon bermaydi, bu faqat shifrlovchi muallifiga tegishli. Balki uni olishning boshqa yo'li bordir, lekin menda bunday ma'lumot yo'q. Biz faqat doğaçlama usullar yordamida fayllarni tiklashga harakat qilishimiz mumkin. Bularga quyidagilar kiradi:

  • Asbob soya nusxalari derazalar.
  • O'chirilgan ma'lumotlarni tiklash dasturlari

Birinchidan, bizda soyali nusxalar yoqilganligini tekshirib ko'raylik. Ushbu vosita Windows 7 va undan keyingi versiyalarda sukut bo'yicha ishlaydi, agar siz uni qo'lda o'chirib qo'ymasangiz. Tekshirish uchun kompyuter xususiyatlarini oching va tizimni himoya qilish bo'limiga o'ting.

Agar infektsiya paytida siz soya nusxalaridagi fayllarni o'chirish uchun UAC so'rovini tasdiqlamagan bo'lsangiz, ba'zi ma'lumotlar u erda qolishi kerak. Men ushbu so'rov haqida hikoyaning boshida, virusning ishi haqida gapirganimda batafsilroq gapirdim.

Soya nusxalaridan fayllarni osongina tiklash uchun men foydalanishni tavsiya qilaman bepul dastur bu maqsadda - ShadowExplorer. Arxivni yuklab oling, dasturni oching va ishga tushiring.

Fayllarning oxirgi nusxasi va C diskining ildizi ochiladi.Yuqori chap burchakda siz tanlashingiz mumkin zaxira nusxasi, agar sizda ulardan bir nechtasi bo'lsa. Mavjudligi uchun turli nusxalarni tekshiring kerakli fayllar. Eng so'nggi versiya uchun sana bo'yicha solishtiring. Quyidagi misolimda men ish stolimda uch oy oldin oxirgi tahrirlangan 2 ta faylni topdim.

Men bu fayllarni tiklashga muvaffaq bo'ldim. Buni amalga oshirish uchun men ularni tanladim, sichqonchaning o'ng tugmachasini bosdim, Eksport-ni tanladim va ularni qayta tiklash uchun papkani ko'rsatdim.

Xuddi shu printsipdan foydalanib, papkalarni darhol tiklashingiz mumkin. Agar sizda soya nusxalari ishlayotgan bo'lsa va ularni o'chirmagan bo'lsangiz, virus tomonidan shifrlangan barcha yoki deyarli barchasini qayta tiklashingiz mumkin. Ehtimol, ulardan ba'zilari ko'proq bo'ladi eski versiya, biz xohlaganimizdan ko'ra, lekin shunga qaramay, bu hech narsadan yaxshiroqdir.

Agar biron sababga ko'ra sizda fayllaringizning soyali nusxalari bo'lmasa, shifrlangan fayllardan hech bo'lmaganda biror narsa olishning yagona imkoniyati ularni tiklash vositalaridan foydalangan holda tiklashdir. o'chirilgan fayllar. Buning uchun bepul Photorec dasturidan foydalanishni taklif qilaman.

Dasturni ishga tushiring va fayllarni tiklaydigan diskni tanlang. Dasturning grafik versiyasini ishga tushirish faylni bajaradi qphotorec_win.exe. Topilgan fayllar joylashtiriladigan jildni tanlashingiz kerak. Agar ushbu jild biz qidirayotgan diskda bo'lmasa, yaxshiroqdir. Fleshli diskni yoki tashqi qurilmani ulang qattiq disk Buning uchun.

Qidiruv jarayoni uzoq vaqt talab etadi. Oxirida siz statistikani ko'rasiz. Endi siz avval belgilangan papkaga o'tishingiz va u erda topilgan narsalarni ko'rishingiz mumkin. Katta ehtimol bilan juda ko'p fayllar bo'ladi va ularning aksariyati shikastlanadi yoki ular qandaydir tizim va keraksiz fayllar bo'ladi. Ammo shunga qaramay, ushbu ro'yxatda ba'zi foydali fayllarni topish mumkin. Bu erda hech qanday kafolatlar yo'q; nima topsangiz, o'sha narsa topasiz. Tasvirlar odatda eng yaxshi tarzda tiklanadi.

Agar natija sizni qoniqtirmasa, o'chirilgan fayllarni tiklash uchun dasturlar ham mavjud. Quyida fayllarning maksimal sonini tiklash kerak bo'lganda odatda foydalanadigan dasturlar ro'yxati keltirilgan:

  • R.saver
  • Starus faylni tiklash
  • JPEG Recovery Pro
  • Active File Recovery Professional

Ushbu dasturlar bepul emas, shuning uchun men havolalarni bermayman. Agar chindan ham xohlasangiz, ularni Internetda o'zingiz topishingiz mumkin.

Barcha faylni tiklash jarayoni maqolaning oxiridagi videoda batafsil ko'rsatilgan.

Filecoder.ED shifrlovchisiga qarshi kurashda Kasperskiy, eset nod32 va boshqalar

Mashhur antiviruslar CRYPTED000007 to'lov dasturini aniqlaydi Filecoder.ED va keyin boshqa belgi bo'lishi mumkin. Men asosiy antivirus forumlarini ko'rib chiqdim va u erda foydali narsalarni ko'rmadim. Afsuski, odatdagidek, antivirus dasturlari to'lov dasturining yangi to'lqini hujumiga tayyor emas edi. Mana Kasperskiy forumidan post.

Antiviruslar an'anaviy ravishda to'lov dasturi troyanlarining yangi modifikatsiyalarini o'tkazib yuboradi. Shunga qaramay, men ulardan foydalanishni tavsiya qilaman. Agar omadingiz bo'lsa va to'lov dasturi elektron pochta xabarini infektsiyaning birinchi to'lqinida emas, balki birozdan keyin olsangiz, antivirus sizga yordam berishi mumkin. Ularning barchasi hujumchilardan bir qadam orqada ishlaydi. Bu chiqadi yangi versiya ransomware, antiviruslar unga javob bermaydi. Yangi virusni tadqiq qilish uchun ma'lum miqdordagi material to'planishi bilan antivirus dasturi yangilanishni chiqaradi va unga javob bera boshlaydi.

Antiviruslarning tizimdagi har qanday shifrlash jarayoniga darhol javob berishiga nima xalaqit berishini tushunmayapman. Ehtimol, ushbu mavzu bo'yicha ba'zi texnik nuanslar mavjud bo'lib, u bizga etarli darajada javob berishga va foydalanuvchi fayllarini shifrlashni oldini olishga imkon bermaydi. Menimcha, hech bo'lmaganda kimdir sizning fayllaringizni shifrlayotgani haqida ogohlantirishni ko'rsatish va jarayonni to'xtatishni taklif qilish mumkin edi.

Kafolatlangan shifrni ochish uchun qayerga murojaat qilish kerak

Men turli xil shifrlash viruslari, shu jumladan CRYPTED000007 ishidan keyin ma'lumotlarni shifrlaydigan bitta kompaniyani uchratdim. Ularning manzili http://www.dr-shifro.ru. To'lov faqat shifrni to'liq dekodlash va tekshirishdan so'ng amalga oshiriladi. Mana ishning taxminiy sxemasi:

  1. Kompaniya mutaxassisi sizning ofisingizga yoki uyingizga keladi va siz bilan shartnoma imzolaydi, unda ishning narxi ko'rsatilgan.
  2. Shifrlovchini ishga tushiradi va barcha fayllarni parolini ochadi.
  3. Siz barcha fayllar ochilganligiga ishonch hosil qilasiz va tugallangan ishni yetkazib berish/qabul qilish sertifikatiga imzo chekasiz.
  4. To'lov faqat muvaffaqiyatli shifrni ochish natijalariga ko'ra amalga oshiriladi.

Rostini aytsam, buni qanday qilishlarini bilmayman, lekin siz hech narsani xavf ostiga qo'ymaysiz. To'lov faqat dekoderning ishlashi ko'rsatilgandan keyin. Iltimos, ushbu kompaniya bilan ishlash tajribangiz haqida sharh yozing.

CRYPTED000007 virusidan himoya qilish usullari

O'zingizni to'lov dasturidan qanday himoya qilish va moddiy va ma'naviy zarardan qochish kerak? Ba'zi oddiy va samarali maslahatlar mavjud:

  1. Zaxira! Barcha muhim ma'lumotlarning zaxira nusxasi. Va nafaqat zaxira, balki doimiy kirish imkoni bo'lmagan zaxira. Aks holda, virus sizning hujjatlaringizni ham, zaxira nusxalaringizni ham yuqtirishi mumkin.
  2. Litsenziyalangan antivirus. Garchi ular 100% kafolat bermasalar ham, shifrlashdan qochish imkoniyatini oshiradilar. Ular ko'pincha shifrlovchining yangi versiyalariga tayyor emaslar, lekin 3-4 kundan keyin ular javob berishni boshlaydilar. Agar siz to'lov dasturining yangi modifikatsiyasini tarqatishning birinchi to'lqiniga kiritilmagan bo'lsangiz, bu sizning infektsiyadan qochish imkoniyatingizni oshiradi.
  3. Pochtada shubhali qo'shimchalarni ochmang. Bu erda izoh beradigan hech narsa yo'q. Menga ma'lum bo'lgan barcha ransomware elektron pochta orqali foydalanuvchilarga yetib bordi. Bundan tashqari, har safar jabrlanuvchini aldash uchun yangi fokuslar ixtiro qilinadi.
  4. Do'stlaringiz orqali sizga yuborilgan havolalarni o'ylamay ochmang ijtimoiy tarmoqlar yoki xabarchilar. Ba'zida viruslar ham shunday tarqaladi.
  5. Yoqish; ishga tushirish windows ekrani fayl kengaytmalari. Buni qanday qilishni Internetda topish oson. Bu sizga virusdagi fayl kengaytmasini sezish imkonini beradi. Ko'pincha shunday bo'ladi .exe, .vbs, .src. Hujjatlar bilan kundalik ishingizda bunday fayl kengaytmalarini uchratishingiz dargumon.

Men ransomware virusi haqidagi har bir maqolada avval yozganlarimni to'ldirishga harakat qildim. Bu orada men xayrlashaman. Maqola va umuman olganda CRYPTED000007 ransomware virusi haqida foydali sharhlarni olishdan xursand bo'lardim.

Fayl shifrini hal qilish va tiklash haqida video

Bu erda virusning oldingi modifikatsiyasiga misol, lekin video CRYPTED000007 uchun to'liq mos keladi.

Kasperskiy WildfireDecryptor WildFire Locker troyan ransomware tomonidan shifrlangan fayllarni tiklash uchun oddiy vositadir.

Agar shifrlovchi infektsiyasi allaqachon sodir bo'lgan bo'lsa, WildfireDecryptor sizga uning oqibatlarini bartaraf etishga va .wflx kengaytmasi bilan fayllarni parolini hal qilishga yordam beradi.

WildFire Locker infektsiyasining belgilari

WildFire Locker - bu elektron pochta xabarlari orqali tarqaladigan to'lov dasturi bo'lib, ularning sarlavhalari ishonchli kompaniyani jo'natuvchi sifatida ko'rsatish uchun o'zgartirilgan. Jabrlanuvchiga shubhasiz foydalanuvchilarga elektron pochtaga biriktirilgan faylni yuklab olish va ishga tushirishga sabab bo'lgan ma'lumot beriladi.

Zararli faylni ochgandan so'ng darhol Wildfire tizimga kirib, ofis hujjatlarini tanlaydi va PDF fayllar, ular RSA yoki AES-256 algoritmlari yordamida shifrlangan. Fayl kengaytmalari WFLX ga o'zgartiriladi va shuning uchun foydalanuvchilar ularni endi ocha olmaydi. Zararli dastur, shuningdek, har bir hujum qilingan papkada va ish stolida fayllarni qulfdan chiqarish haqida xabarlar qoldiradi.

Shuni ta'kidlash kerakki, to'lov dasturi kompyuterdagi soya hajmlarining barcha nusxalarini o'chirib tashlaydi. Shunga ko'ra, avvalgi tizimni tiklash nuqtalari yordamida fayllarni tiklashning ma'nosi yo'q.

Zararlangan fayllarni tiklash imkonini beradi

Asbobning asosiy maqsadi WildFire Locker bilan zararlangan fayllar uchun shifrlash kalitini topishga yordam berishdir. Qayta tiklashni amalga oshirishdan oldin buzilgan fayllardan biriga yo'lni ko'rsatish va barcha hujjatlarning zaxira nusxasini yaratganingizga ishonch hosil qilish tavsiya etiladi.

Asbob skanerlangan ob'ektlarni aniqlash imkonini beradi qattiq disklar, agar infektsiya kompyuterdan tashqariga tarqalib ketgan bo'lsa, olinadigan drayvlar va tarmoq bo'limlari. Muvaffaqiyatli shifrni ochish va fayllarni tiklashdan so'ng foydalanuvchi zararlangan fayllarni o'chirishni sozlashi mumkin.

Bundan tashqari, qayta tiklash operatsiyalarini bajarmaslik uchun WildFire Locker bajariladigan faylini o'chirib tashlang. Bajariladigan fayl%LocalAppData% jildida joylashgan.

bu zararli dastur bo'lib, u faollashtirilganda barcha shaxsiy fayllarni, masalan, hujjatlar, fotosuratlar va hokazolarni shifrlaydi. Bunday dasturlarning soni juda ko'p va har kuni ortib bormoqda. Faqat ichida Yaqinda Biz to'lov dasturining o'nlab variantlariga duch keldik: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste va boshqalar. Bunday shifrlash viruslarining maqsadi foydalanuvchilarni ko'pincha katta pul evaziga o'z fayllari shifrini ochish uchun zarur bo'lgan dastur va kalitni sotib olishga majbur qilishdir.

Albatta, virus yaratuvchilari zararlangan kompyuterda qoldirgan ko'rsatmalarga rioya qilish orqali shifrlangan fayllarni tiklashingiz mumkin. Ammo ko'pincha shifrni ochish narxi juda katta va siz ba'zi ransomware viruslari fayllarni shunday shifrlashini bilishingiz kerakki, ularni keyinroq parolini hal qilishning iloji yo'q. Va, albatta, o'z fayllaringizni tiklash uchun pul to'lash zerikarli.

Quyida biz shifrlash viruslari, jabrlanuvchining kompyuteriga qanday kirib borishi, shuningdek, shifrlash virusini qanday olib tashlash va u tomonidan shifrlangan fayllarni tiklash haqida batafsilroq gaplashamiz.

Ransomware virusi kompyuterga qanday kirib boradi?

Ransomware virusi odatda elektron pochta orqali tarqaladi. Xatda virusli hujjatlar mavjud. Bunday xatlar elektron pochta manzillarining katta ma'lumotlar bazasiga yuboriladi. Ushbu virus mualliflari noto'g'ri sarlavhalar va harflar mazmunidan foydalanib, foydalanuvchini xatga biriktirilgan hujjatni ochishga urinishadi. Ba'zi xatlar hisobni to'lash zarurligi haqida xabar beradi, boshqalari so'nggi narxlar ro'yxatiga qarashni taklif qiladi, boshqalari kulgili fotosuratni ochishni taklif qiladi va hokazo. Qanday bo'lmasin, biriktirilgan faylni ochish kompyuteringizga ransomware virusi bilan zararlanishiga olib keladi.

Ransomware virusi nima?

Ransomware virusi - bu zarar etkazadigan zararli dastur zamonaviy versiyalari operatsion tizimlar Windows oilasi Windows XP kabi, Windows Vista, Windows 7, Windows 8, Windows 10. Ushbu viruslar shifrlashning eng kuchli rejimlaridan foydalanishga harakat qiladi, masalan, kalit uzunligi 2048 bit bo'lgan RSA-2048, bu kalitni tanlash imkoniyatini amalda yo'q qiladi. o'z-o'zidan shifrni ochish fayllar.

Kompyuterni yuqtirganda, ransomware virusi o'z fayllarini saqlash uchun %APPDATA% tizim katalogidan foydalanadi. Kompyuterni yoqqaningizda avtomatik ravishda ishga tushish uchun to'lov dasturi Windows reestrida yozuv yaratadi: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ bo'limlari. Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Ishga tushgandan so'ng darhol virus barcha mavjud drayverlarni, shu jumladan tarmoq va bulutli saqlash, qaysi fayllar shifrlanishini aniqlash uchun. Ransomware virusi shifrlanadigan fayllar guruhini aniqlash uchun fayl nomi kengaytmasidan foydalanadi. Deyarli barcha turdagi fayllar shifrlangan, jumladan:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, hamyon, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2,. rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Fayl shifrlangandan so'ng darhol yangi kengaytmani oladi, undan ko'pincha to'lov dasturining nomi yoki turini aniqlash uchun foydalanish mumkin. Ushbu zararli dasturlarning ayrim turlari shifrlangan fayllar nomlarini ham o'zgartirishi mumkin. Keyin virus paydo bo'ladi matnli hujjat HELP_YOUR_FILES, README kabi nomlar bilan shifrlangan fayllar shifrini ochish bo‘yicha ko‘rsatmalar mavjud.

O'z faoliyati davomida shifrlash virusi SVC (fayllarning soya nusxasi) tizimi yordamida fayllarni tiklash imkoniyatini blokirovka qilishga harakat qiladi. Shu maqsadda virus buyruq rejimi fayllarning soyali nusxalarini boshqarish uchun yordamchi dasturni ularni to'liq o'chirish tartibini boshlaydigan kalit bilan chaqiradi. Shunday qilib, ularning soya nusxalari yordamida fayllarni tiklash deyarli har doim ham mumkin emas.

Ransomware virusi jabrlanuvchiga shifrlash algoritmi tavsifiga havola berib va ​​ish stolida tahdidli xabarni ko'rsatish orqali qo'rqitish taktikasini faol qo'llaydi. Shu tariqa, u virus yuqtirgan kompyuter foydalanuvchisini hech ikkilanmasdan kompyuter identifikatorini virus muallifining elektron pochta manziliga yuborishga majburlab, fayllarini qaytarib olishga harakat qiladi. Bunday xabarga javob ko'pincha to'lov miqdori va elektron hamyon manzilidir.

Mening kompyuterim ransomware virusi bilan zararlanganmi?

Kompyuterga shifrlash virusi yuqtirilgan yoki yo'qligini aniqlash juda oson. Hujjatlar, fotosuratlar, musiqa va boshqalar kabi shaxsiy fayllaringizning kengaytmalariga e'tibor bering. Agar kengaytma o'zgargan bo'lsa yoki shaxsiy fayllaringiz yo'qolib, noma'lum nomli ko'plab fayllarni qoldirgan bo'lsa, u holda sizning kompyuteringiz infektsiyalangan. Bundan tashqari, sizning katalogingizda HELP_YOUR_FILES yoki README nomli fayl mavjudligi infektsiya belgisi hisoblanadi. Ushbu faylda fayllar shifrini ochish bo'yicha ko'rsatmalar mavjud.

Agar siz ransomware virusi bilan zararlangan elektron pochtani ochganingizdan shubhalansangiz, lekin hali infektsiya belgilari bo'lmasa, kompyuteringizni o'chirmang yoki qayta yoqmang. Ushbu qo'llanmaning bo'limida tasvirlangan amallarni bajaring. Yana bir bor takrorlayman, kompyuterni o'chirmaslik juda muhim, to'lov dasturining ba'zi turlarida fayllarni shifrlash jarayoni infektsiyadan keyin kompyuterni birinchi marta yoqqaningizda faollashadi!

Ransomware virusi bilan shifrlangan fayllarni qanday shifrlash mumkin?

Agar bu falokat sodir bo'lsa, unda vahima qilishning hojati yo'q! Ammo shuni bilishingiz kerakki, ko'p hollarda bepul parol hal qiluvchi yo'q. Bu kuchli shifrlash algoritmlari bilan bog'liq zararli dastur. Bu shuni anglatadiki, shaxsiy kalitsiz fayllarni shifrlash deyarli mumkin emas. Kalitni tanlash usulidan foydalanish ham kalitning katta uzunligi tufayli imkoniyat emas. Shuning uchun, afsuski, faqat virus mualliflariga so'ralgan miqdorni to'lash shifrni ochish kalitini olishga harakat qilishning yagona usuli hisoblanadi.

Albatta, to'lovdan so'ng virus mualliflari siz bilan bog'lanib, fayllaringiz shifrini ochish uchun zarur bo'lgan kalitni taqdim etishiga mutlaqo kafolat yo'q. Bundan tashqari, siz virus ishlab chiqaruvchilarga pul to'lash orqali ularni yangi viruslar yaratishga undashingizni tushunishingiz kerak.

Ransomware virusini qanday olib tashlash mumkin?

Ishni boshlashdan oldin, virusni olib tashlash va fayllarni o'zingiz tiklashga urinib ko'rish orqali siz virus mualliflariga ular so'ragan miqdorni to'lash orqali fayllarni parolini hal qilish imkoniyatini bloklayotganingizni bilishingiz kerak.

Kaspersky Virus Removal Tool va Malwarebytes Anti-malware aniqlay oladi turli xil turlari faol ransomware viruslari va ularni kompyuteringizdan osongina olib tashlaydi, LEKIN ular shifrlangan fayllarni tiklay olmaydi.

5.1. Kaspersky Virus Removal Tool yordamida to'lov dasturini olib tashlang

Odatiy bo'lib, dastur barcha fayl turlarini tiklash uchun tuzilgan, ammo ishni tezlashtirish uchun faqat tiklashingiz kerak bo'lgan fayl turlarini qoldirish tavsiya etiladi. Tanlovni tugatgandan so'ng, OK tugmasini bosing.

QPhotoRec dasturi oynasining pastki qismida Browse tugmasini toping va ustiga bosing. Qayta tiklangan fayllar saqlanadigan katalogni tanlashingiz kerak. Qayta tiklashni talab qiladigan shifrlangan fayllarni o'z ichiga olmaydigan diskdan foydalanish tavsiya etiladi (siz flesh-disk yoki tashqi diskdan foydalanishingiz mumkin).

Shifrlangan fayllarning asl nusxalarini qidirish va tiklash jarayonini boshlash uchun Qidiruv tugmasini bosing. Bu jarayon ancha uzoq davom etadi, shuning uchun sabrli bo'ling.

Qidiruv tugagach, Chiqish tugmasini bosing. Endi tiklangan fayllarni saqlash uchun tanlagan papkani oching.

Jildda recup_dir.1, recup_dir.2, recup_dir.3 va hokazo nomli kataloglar bo'ladi. Dastur qancha ko'p fayl topsa, shuncha ko'p katalog bo'ladi. Kerakli fayllarni topish uchun barcha kataloglarni birma-bir tekshiring. Ko'p sonli tiklanganlar orasida kerakli faylni topishni osonlashtirish uchun o'rnatilgan tizimdan foydalaning Windows qidiruvi(fayl mazmuni bo'yicha), shuningdek, kataloglarda fayllarni saralash funktsiyasi haqida unutmang. Saralash varianti sifatida fayl oʻzgartirilgan sanani tanlashingiz mumkin, chunki QPhotoRec faylni tiklashda ushbu xususiyatni tiklashga harakat qiladi.

Ransomware virusini kompyuteringizga yuqtirishni qanday oldini olish mumkin?

Aksariyat zamonaviy antivirus dasturlari allaqachon shifrlash viruslarining kirib kelishi va faollashishiga qarshi o'rnatilgan himoya tizimiga ega. Shuning uchun, agar sizning kompyuteringizda bo'lmasa antivirus dasturi, keyin uni o'rnatishni unutmang. Buni o'qib, uni qanday tanlashni bilib olishingiz mumkin.

Bundan tashqari, maxsus himoya dasturlari mavjud. Masalan, bu CryptoPrevent, batafsilroq.

Bir necha yakuniy so'zlar

Ushbu ko'rsatmalarga rioya qilish orqali kompyuteringiz ransomware virusidan tozalanadi. Agar sizda biron bir savol bo'lsa yoki yordam kerak bo'lsa, biz bilan bog'laning.

Bugungi kunda kompyuter va noutbuk foydalanuvchilari fayllarni shifrlangan nusxalari bilan almashtiradigan zararli dasturlarga tobora ko'proq duch kelishmoqda. Umuman olganda, bu viruslar. XTBL ransomware ushbu seriyadagi eng xavfli dasturlardan biri hisoblanadi. Bu zararkunanda nima, u foydalanuvchining kompyuteriga qanday kiradi va buzilgan ma'lumotlarni qayta tiklash mumkinmi?

XTBL ransomware nima va u kompyuterga qanday kiradi?

Agar siz kompyuteringizda yoki noutbukingizda .xtbl kengaytmali uzun nomli fayllarni topsangiz, tizim o'rnatilganligini ishonch bilan aytishingiz mumkin. xavfli virus- XTBL shifrlovchi. Bu Windows operatsion tizimining barcha versiyalariga ta'sir qiladi. Bunday fayllarni o'zingiz hal qilish deyarli mumkin emas, chunki dastur gibrid rejimdan foydalanadi, unda kalitni tanlashning iloji yo'q.

Tizim kataloglari zararlangan fayllar bilan to'ldiriladi. Yozuvlar qo'shiladi Windows ro'yxatga olish kitobi, bu har safar OS ishga tushganda virusni avtomatik ravishda ishga tushiradi.

Deyarli barcha turdagi fayllar shifrlangan - grafik, matn, arxiv, elektron pochta, video, musiqa va boshqalar Windowsda ishlash imkonsiz bo'lib qoladi.

Bu qanday ishlaydi? Windowsda ishlaydigan XTBL ransomware birinchi navbatda barcha mantiqiy drayverlarni skanerlaydi. Bunga kompyuterda joylashgan bulut va tarmoq xotirasi kiradi. Natijada, fayllar kengaytma bo'yicha guruhlanadi va keyin shifrlanadi. Shunday qilib, foydalanuvchi papkalarida joylashgan barcha qimmatli ma'lumotlarga kirish imkoni bo'lmaydi.


Bu foydalanuvchi tanish fayllar nomlari bo'lgan piktogramma o'rniga ko'radigan rasm

XTBL ransomware ta'siri ostida fayl kengaytmasi o'zgaradi. Endi foydalanuvchi Word’dagi rasm yoki matn o‘rniga bo‘sh varaq belgisini va .xtbl bilan tugaydigan uzun sarlavhani ko‘radi. Bundan tashqari, ish stolida shifrlangan ma'lumotni tiklash bo'yicha ko'rsatma turi paydo bo'ladi, siz qulfni ochish uchun to'lashingiz kerak bo'ladi. Bu to'lov talab qiladigan shantajdan boshqa narsa emas.


Ushbu xabar kompyuteringizning ish stoli oynasida paydo bo'ladi.

XTBL ransomware odatda elektron pochta orqali tarqatiladi. Elektron pochtada virus bilan zararlangan biriktirilgan fayllar yoki hujjatlar mavjud. Scammer foydalanuvchini rangli sarlavha bilan o'ziga tortadi. Siz, masalan, million yutganingiz haqidagi xabar ochiq bo'lishi uchun hamma narsa qilingan. Bunday xabarlarga javob bermang, aks holda virusning OT ga tushishi xavfi yuqori.

Ma'lumotni tiklash mumkinmi?

Siz maxsus yordam dasturlari yordamida ma'lumotni shifrlashga harakat qilishingiz mumkin. Biroq, siz virusdan xalos bo'lishingiz va shikastlangan fayllarni qayta tiklashingiz mumkinligiga kafolat yo'q.

Hozirgi vaqtda XTBL ransomware Windows operatsion tizimida ishlaydigan barcha kompyuterlar uchun inkor etib bo'lmaydigan xavf tug'diradi. Hatto viruslarga qarshi kurashda tan olingan yetakchilar - Dr.Web va Kasperskiy laboratoriyalarida ham bu masalani 100% hal qilish yo'q.

Virusni olib tashlash va shifrlangan fayllarni tiklash

XTBL shifrlash bilan ishlashga imkon beruvchi turli usullar va dasturlar mavjud. Ba'zilar virusning o'zini olib tashlashadi, boshqalari qulflangan fayllarni shifrlashga yoki oldingi nusxalarini tiklashga harakat qilishadi.

Kompyuter infektsiyasini to'xtatish

Agar siz .xtbl kengaytmali fayllar kompyuteringizda paydo bo'la boshlaganini payqagan bo'lsangiz, keyingi infektsiya jarayonini to'xtatishingiz mumkin.

XTBL to'lov dasturini o'chirish uchun Kaspersky Virus Removal Tool

Bunday dasturlarning barchasi avval tarmoq drayverlarini yuklash imkoniyati bilan xavfsiz rejimda ishga tushirilgan operatsion tizimda ochilishi kerak. Bunday holda, virusni olib tashlash ancha oson bo'ladi, chunki Windows-ni ishga tushirish uchun zarur bo'lgan tizim jarayonlarining minimal soni ulangan.

Yuklash uchun xavfsiz rejim Windows XP, 7 da, tizimni ishga tushirish vaqtida, doimiy ravishda F8 tugmasini bosing va menyu oynasi paydo bo'lgandan so'ng, tegishli elementni tanlang. Da Windows yordamida 8, 10 Shift tugmachasini bosib ushlab turganda operatsion tizimni qayta ishga tushirishingiz kerak. Ishga tushirish jarayonida kerakli xavfsiz yuklash variantini tanlashingiz mumkin bo'lgan oyna ochiladi.


Tarmoq drayverlarini yuklash bilan xavfsiz rejimni tanlash

Kaspersky Virus Removal Tool dasturi XTBL ransomware dasturini mukammal taniydi va ushbu turdagi viruslarni yo'q qiladi. Yordamchi dasturni yuklab olgandan so'ng tegishli tugmani bosish orqali kompyuterni skanerlashni ishga tushiring. Tekshirish tugallangandan so'ng, topilgan barcha zararli fayllarni o'chiring.


Windows operatsion tizimida XTBL ransomware mavjudligi uchun kompyuterni skanerlash va keyin virusni olib tashlash

Dr.Web CureIt!

Virusni tekshirish va yo'q qilish algoritmi avvalgi versiyadan deyarli farq qilmaydi. Barcha mantiqiy drayverlarni skanerlash uchun yordamchi dasturdan foydalaning. Buning uchun dasturni ishga tushirgandan so'ng uning buyruqlariga amal qilish kifoya. Jarayon oxirida "Zararsizlantirish" tugmasini bosish orqali zararlangan fayllardan xalos bo'ling.


Windows-ni skanerlashdan keyin zararli fayllarni zararsizlantiring

Malwarebytes anti-malware

Dastur zararli kodlar mavjudligi uchun kompyuteringizni bosqichma-bosqich tekshiradi va ularni yo'q qiladi.

  1. Zararli dasturlarga qarshi yordam dasturini o'rnating va ishga tushiring.
  2. Ochilgan oynaning pastki qismida "Skanerlashni ishga tushirish" -ni tanlang.
  3. Jarayon tugashini kuting va zararlangan fayllar bilan tasdiqlash qutilarini belgilang.
  4. Tanlovni o'chiring.


Skanerlash paytida aniqlangan zararli XTBL ransomware fayllarini olib tashlash

Dr.Web'dan onlayn parol hal qiluvchi skript

Rasmiy Dr.Web veb-saytida qo'llab-quvvatlash bo'limida faylni onlayn shifrlash uchun skriptga ega yorliq mavjud. Iltimos, shuni yodda tutingki, faqat ushbu dasturchining antivirusi o'z kompyuterlarida o'rnatilgan foydalanuvchilar shifrlovchidan onlayn foydalanishlari mumkin.


Ko'rsatmalarni o'qing, barcha kerakli narsalarni to'ldiring va "Yuborish" tugmasini bosing

Kasperskiy laboratoriyasining RectorDecryptor shifrini ochish dasturi

Kasperskiy laboratoriyasi fayllarni shifrini ham hal qiladi. Rasmiy veb-saytda Windows Vista, 7, 8 versiyalari uchun RectorDecryptor.exe yordam dasturini "Yordam - Fayllarni dezinfektsiyalash va shifrni ochish - RectorDecryptor - Fayllarni qanday ochish mumkin" menyusiga o'tish orqali yuklab olishingiz mumkin. Dasturni ishga tushiring, skanerdan o'tkazing va keyin tegishli variantni tanlab shifrlangan fayllarni o'chiring.


XTBL ransomware bilan zararlangan fayllarni skanerlash va parolini ochish

Zaxiradan shifrlangan fayllarni tiklash

bilan boshlanadi Windows versiyalari 7, siz fayllarni zaxiradan tiklashga harakat qilishingiz mumkin.


ShadowExplorer shifrlangan fayllarni tiklash uchun

Dastur portativ versiya bo'lib, uni har qanday mediadan yuklab olish mumkin.


QPhotoRec

Dastur shikastlangan va o'chirilgan fayllarni tiklash uchun maxsus yaratilgan. O'rnatilgan algoritmlardan foydalangan holda, yordamchi dastur barcha yo'qolgan ma'lumotlarni topadi va asl holatiga qaytaradi.

QPhotoRec bepul.

Afsuski, QPhotoRec-ning faqat inglizcha versiyasi mavjud, ammo sozlamalarni tushunish umuman qiyin emas, interfeys intuitivdir.

  1. Dasturni ishga tushiring.
  2. Shifrlangan ma'lumotlarga ega mantiqiy drayverlarni belgilang.
  3. Fayl formatlari tugmasini bosing va OK ni bosing.
  4. Pastki qismida joylashgan Browse tugmasi yordamida tanlang ochiq oyna, fayllarni saqlash joyi va Qidiruv tugmasini bosish orqali tiklash jarayonini boshlash.


QPhotoRec XTBL ransomware tomonidan o'chirilgan va o'z nusxalari bilan almashtirilgan fayllarni tiklaydi

Fayllarni qanday shifrlash mumkin - video

Nima qilmaslik kerak

  1. Hech qachon ishonchingiz komil bo'lmagan harakatlarni qilmang. Mutaxassisni taklif qilish yaxshiroqdir xizmat ko'rsatish markazi yoki kompyuterni o'zingiz olib boring.
  2. Noma'lum jo'natuvchilardan kelgan elektron pochta xabarlarini ochmang.
  3. Hech qanday holatda siz shantajchilarga pul o'tkazishga rozilik berib, ularga ergashmasligingiz kerak. Bu katta ehtimol bilan hech qanday natija bermaydi.
  4. Shifrlangan fayllarning kengaytmalarini qo'lda o'zgartirmang va Windows-ni qayta o'rnatishga shoshilmang. Vaziyatni to'g'irlaydigan yechim topish mumkin bo'lishi mumkin.

Oldini olish

XTBL ransomware va shunga o'xshash ransomware viruslarining kompyuteringizga kirib kelishidan ishonchli himoyani o'rnatishga harakat qiling. Bunday dasturlarga quyidagilar kiradi:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

Ularning barchasi ingliz tilida bo'lishiga qaramay, bunday yordamchi dasturlar bilan ishlash juda oddiy. Dasturni ishga tushiring va sozlamalarda himoya darajasini tanlang.


Dasturni ishga tushirish va himoya darajasini tanlash

Agar siz kompyuteringizdagi fayllarni shifrlaydigan ransomware virusiga duch kelgan bo'lsangiz, unda, albatta, darhol tushkunlikka tushmasligingiz kerak. Buzilgan ma'lumotni tiklash uchun tavsiya etilgan usullardan foydalanishga harakat qiling. Ko'pincha bu ijobiy natija beradi. XTBL to'lov dasturini olib tashlash uchun noma'lum ishlab chiquvchilarning tasdiqlanmagan dasturlarini ishlatmang. Axir, bu faqat vaziyatni yomonlashtirishi mumkin. Iloji bo'lsa, kompyuteringizga virusning ishlashiga to'sqinlik qiluvchi dasturlardan birini o'rnating va zararli jarayonlar uchun Windows-ning muntazam tekshiruvini o'tkazing.

Ransomware xakerlari oddiy shantajchilarga juda o'xshaydi. Haqiqiy dunyoda ham, kiber muhitda ham bitta yoki guruhli hujum nishoni mavjud. U o'g'irlangan yoki kirish imkoni bo'lmagan. Keyinchalik, jinoyatchilar jabrlanuvchilar bilan o'z talablarini etkazish uchun muayyan aloqa vositalaridan foydalanadilar. Kompyuter firibgarlari odatda to'lov xatlari uchun bir nechta formatlarni tanlaydilar, biroq ularning nusxalarini zararlangan tizimdagi deyarli har qanday xotira joyida topish mumkin. Troldesh yoki Shade deb nomlanuvchi josuslik dasturlari oilasiga kelsak, firibgarlar jabrlanuvchi bilan bog‘lanishda alohida yondashuvni qo‘llashadi.

Keling, rus tilida so'zlashuvchi auditoriyaga qaratilgan ushbu to'lov dasturi virusini batafsil ko'rib chiqaylik. Ko'pgina shunga o'xshash infektsiyalar hujum qilingan kompyuterda klaviatura tartibini aniqlaydi va agar tillardan biri rus tilida bo'lsa, kirish to'xtaydi. Biroq, ransomware virusi XTBL tushunib bo'lmaydigan: afsuski, foydalanuvchilar uchun hujum geografik joylashuvi va til afzalliklaridan qat'iy nazar rivojlanadi. Ushbu ko'p qirralilikning aniq timsoli ish stoli fonida paydo bo'ladigan ogohlantirish, shuningdek, to'lovni to'lash bo'yicha ko'rsatmalarga ega TXT faylidir.

XTBL virusi odatda spam orqali tarqaladi. Xabarlar mashhur brendlarning xatlariga o'xshaydi yoki shunchaki ko'zni qamashtiradi, chunki mavzu satrida "Sho'r" kabi iboralar ishlatilgan. yoki "Muhim moliyaviy hujjatlar". Fishing hiylasi bunday xatni oluvchiga kelganda ishlaydi. xabarlar JavaScript kodini o'z ichiga olgan ZIP faylni yoki potentsial zaif makroni o'z ichiga olgan Docm obyektini yuklab oladi.

Buzilgan shaxsiy kompyuterda asosiy algoritmni bajargandan so'ng, troyan ransomware foydalanuvchi uchun foydali bo'lishi mumkin bo'lgan ma'lumotlarni qidirishga kirishadi. Shu maqsadda virus mahalliy va tashqi xotira, bir vaqtning o'zida har bir faylni ob'ektning kengaytmasi asosida tanlangan formatlar to'plami bilan moslashtirish. Barcha .jpg, .wav, .doc, .xls fayllari, shuningdek, boshqa koʻplab obʼyektlar AES-256 simmetrik blokli kriptoalgoritmi yordamida shifrlangan.

Bu zararli ta'sirning ikki jihati bor. Avvalo, foydalanuvchi muhim ma'lumotlarga kirish huquqini yo'qotadi. Bundan tashqari, fayl nomlari chuqur kodlangan bo'lib, natijada o'n oltilik belgilarning ma'nosiz qatori paydo bo'ladi. Ta'sir qilingan fayllarning nomlarini birlashtiradigan barcha narsa ularga qo'shilgan xtbl kengaytmasi, ya'ni. kiber tahdid nomi. Shifrlangan fayl nomlari ba'zan maxsus formatga ega. Troldeshning ba'zi versiyalarida shifrlangan ob'ektlarning nomlari o'zgarishsiz qolishi mumkin va oxirida noyob kod qo'shiladi: [elektron pochta himoyalangan], [elektron pochta himoyalangan], yoki [elektron pochta himoyalangan].

Shubhasiz, tajovuzkorlar elektron pochta manzillarini kiritdilar. to'g'ridan-to'g'ri fayllar nomlariga pochta orqali, jabrlanuvchilarga aloqa qilish usulini ko'rsating. Elektron pochta boshqa joyda, ya'ni "Readme.txt" faylidagi to'lovni talab qilish xatida ham ko'rsatilgan. Bunday Notepad hujjatlari ish stolida, shuningdek shifrlangan ma'lumotlarga ega bo'lgan barcha papkalarda paydo bo'ladi. Asosiy xabar:

“Barcha fayllar shifrlangan. Ularning shifrini ochish uchun quyidagi kodni yuborishingiz kerak: [Sizning noyob shifringiz] elektron manzil [elektron pochta himoyalangan] yoki [elektron pochta himoyalangan]. Keyin hamma narsani olasiz zarur ko'rsatmalar. O'z-o'zidan shifrni ochishga urinish ma'lumotlarning qaytarib bo'lmaydigan yo'qolishiga olib keladi."

Elektron pochta manzili virusni tarqatuvchi shantaj guruhiga qarab o'zgarishi mumkin.

Keyingi o'zgarishlarga kelsak: umuman olganda, firibgarlar to'lovni o'tkazish bo'yicha tavsiya bilan javob berishadi, bu 3 bitkoin yoki ushbu diapazondagi boshqa miqdor bo'lishi mumkin. E'tibor bering, xakerlar pulni olgandan keyin ham o'z va'dalarini bajarishiga hech kim kafolat bera olmaydi. .xtbl fayllariga kirishni tiklash uchun zararlangan foydalanuvchilarga avval barcha mavjud muqobil usullarni sinab ko'rish tavsiya etiladi. Ba'zi hollarda ma'lumotlarni to'g'ridan-to'g'ri Windows operatsion tizimida taqdim etilgan Volume Shadow Copy xizmati, shuningdek, mustaqil dasturiy ta'minot ishlab chiqaruvchilarining ma'lumotlarni shifrlash va ma'lumotlarni tiklash dasturlari yordamida tartibga solish mumkin.

XTBL ransomware-ni avtomatik tozalash vositasidan foydalanib olib tashlang

Umuman zararli dasturlar va xususan, to'lov dasturlari bilan ishlashning juda samarali usuli. Tasdiqlangan himoya kompleksidan foydalanish har qanday virusli komponentlarni to'liq aniqlashni kafolatlaydi, ularning to'liq olib tashlash bir marta bosish bilan. E'tibor bering, biz ikki xil jarayon haqida gapiramiz: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni tiklash. Biroq, tahdidni albatta yo'q qilish kerak, chunki undan foydalanadigan boshqa kompyuter troyanlarining kiritilishi haqida ma'lumotlar mavjud.

  1. . Dasturiy ta'minotni ishga tushirgandan so'ng tugmani bosing Kompyuterni skanerlashni boshlang(Skanerlashni boshlang).
  2. O'rnatilgan dasturiy ta'minot skanerlash paytida aniqlangan tahdidlar haqida hisobot beradi. Barcha aniqlangan tahdidlarni olib tashlash uchun variantni tanlang Tahdidlarni tuzatish(Tahdidlarni yo'q qilish). Ko'rib chiqilayotgan zararli dastur butunlay o'chiriladi.

.xtbl kengaytmasi bilan shifrlangan fayllarga kirishni tiklang

Ta'kidlanganidek, XTBL ransomware kuchli shifrlash algoritmi yordamida fayllarni qulflaydi, shuning uchun shifrlangan ma'lumotlarni sehrli tayoqcha to'lqini bilan tiklab bo'lmaydi - eshitilmagan to'lov miqdorini to'lash kifoya. Ammo ba'zi usullar haqiqatan ham muhim ma'lumotlarni qayta tiklashga yordam beradigan qutqaruvchi bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin.

Decryptor - fayllarni avtomatik tiklash dasturi

Juda g'ayrioddiy holat ma'lum. Ushbu infektsiya asl fayllarni shifrlanmagan shaklda o'chirib tashlaydi. Shunday qilib, tovlamachilik maqsadida shifrlash jarayoni ularning nusxalarini nishonga oladi. Bu shunday imkoniyat yaratadi dasturiy ta'minot o'chirilgan narsalarni qanday tiklash mumkin, hatto ularni olib tashlashning ishonchliligi kafolatlangan bo'lsa ham. Samaradorligi bir necha marta tasdiqlangan faylni tiklash protsedurasiga murojaat qilish tavsiya etiladi.

Jildlarning soyali nusxalari

Yondashuv Windows protsedurasiga asoslangan Zaxira nusxasi har bir tiklash nuqtasida takrorlanadigan fayllar. Muhim ish sharoiti bu usul: "Tizimni tiklash" funksiyasi infektsiyadan oldin faollashtirilgan bo'lishi kerak. Biroq, tiklash nuqtasidan keyin faylga kiritilgan har qanday o'zgarishlar faylning tiklangan versiyasida ko'rinmaydi.

Zaxira

Bu barcha to'lovsiz usullar orasida eng yaxshisidir. Agar ma'lumotlarni tashqi serverga zaxiralash tartibi kompyuteringizda to'lov dasturi hujumidan oldin qo'llanilgan bo'lsa, shifrlangan fayllarni tiklash uchun siz shunchaki tegishli interfeysga kirishingiz, kerakli fayllarni tanlashingiz va zaxiradan ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. Operatsiyani amalga oshirishdan oldin, to'lov dasturi to'liq o'chirilganligiga ishonch hosil qilishingiz kerak.

XTBL ransomware virusining qoldiq komponentlari mavjudligini tekshiring

Ichkarida tozalash qo'lda rejim yashirin ob'ektlar sifatida olib tashlanishining oldini oladigan to'lov dasturining alohida qismlarini yo'qotish bilan to'la. operatsion tizim yoki ro'yxatga olish kitobi elementlari. Alohida zararli elementlarning qisman saqlanishi xavfini bartaraf qilish uchun ishonchli universal antivirus to'plamidan foydalanib kompyuteringizni skanerlang.