Компьютерные системы постоянно страдают от действия вредоносных ПО - троянов и вирусов, которые шифруют все файлы пользователя.

Такие вирусы-шифровальщики попадают в систему и зашифровывают элементы, изменяя их расширение и удаляя оригинальный файл . После этого все, потенциально важные изображения, документы и прочие файлы превращаются в readme.txt, в котором написано, что все данные были зашифрованы и владелец их получит только после перечисления определенной суммы на указанный счет.

Прежде всего, не стоит паниковать и перечислять деньги. Никто не будет расшифровывать файлы обратно, пользователь просто заплатит деньги, а его данные так и не вернутся. Если пользователь не обладает техническими способности лучше всего обратиться к мастеру, в противном случае, воспользоваться рекомендациями ниже.

Прежде всего следует скопировать файл с вымогательством средств и один-два зашифрованные элемента на флешку или другое устройство. Затем лучше всего выключить пораженный ПК (чтобы вирус перестал кодировать данные) и устранять проблему на другом устройстве.

С помощью скопированных данных на незараженном ноутбуке надо определить тип вируса-шифровальщика и приложение по раскодированию. Следует знать, что сегодня не существует программ для раскодирования всех известных вирусов, поэтому следует принять ту мысль, что возможно придется купить у злоумышленников программу декодировки. В любом случае, послать скопированные данные следует в лаборатории антивирусов (Касперский и др.) для изучения.

Как проводить расшифровку

Основным инструментом по исправлению сложившейся ситуации, т.е. расшифровке файлов являются программы-дешифровальщики , который удаляют вирус и возвращают файлам их первоначальное расширение. Их можно найти на различных ресурсах от разработчиков средств безопасности.

No More Ransom

No More Ransom - это ресурс, на котором содержится вся доступная на сегодняшний момент информация по борьбе с вирусами-шифровальщиками.

Сайт доступен и в русской версии.

Загрузив на ресурс пример зашифрованных файлов , можно узнать программы-дешифраторы и прочую информацию для восстановления. Как им пользоваться? Достаточно просто:


Также, можно воспользоваться информацией из разделов:


No More Ransom является самым современным и полезным ресурсом по расшифровке данных.

ID Ransomware

Это англоязычный сервис по расшифровке. Он также определяет тип вируса и предлагает способы по его удалению и восстановлению данных.

Пользоваться им так же просто:

  • загрузить один зараженный файл;
  • загрузить текстовый документ с данными от злоумышленников;
  • получить тип вируса ;
  • найти по запросам в поисковых системах утилиту по расшифровке данных .

Программа крайне проста в использовании и уже появилась русскоязычная версия.

Что делать с файлами формата xtbl

Самым последним шифровальщиком стал вирус, который кодирует все файлы в расширение xtbl. Обычно им присваивается новое имя , состоящие из случайного набора букв и цифр.

На рабочем столе появляется баннер или файл readme.txt, где сообщается о кодировке данных и требования о выкупе. Часто указывается почтовый ящик, куда следует писать за дальнейшими инструкциями.

На сегодняшний день программисты не имеют программы или способа расшифровать подобные объекты. Лаборатории антивирусов изучают их, но пока лечения нет . Некоторые пользователи сообщают, что после перечисления денег им была выслана программа по расшифровке, но гарантий никто дать не может.

В случае заражения следует:

  • прервать процесс заражения, выключив его в Диспетчере задач;
  • удалить вирус , используя Malwarebytes Antimalware и Kaspersky Internet;
  • ждать появления дешифратора.

Единственное, чего делать не стоит – это удалять зараженные файлы, переименовывать их или менять их расширение.

Как защититься от вирусов шифровальщиков

Сегодня операционные системы Windows выпускаются с уже встроенными программами по защите данных, так что злоумышленникам приходится очень стараться, чтобы обойти защиту. Кроме того, на компьютере обязательно должен быть установлен антивирус и его следует регулярно обновлять. Кроме этого нельзя:

  • скачивать файлы с подозрительных сайтов;
  • открывать e- mail от неизвестных пользователей и не скачивать никакие объекты оттуда;
  • сообщать пароли от ПК посторонним.

Существуют приложения по защите от вирусов-шифровальщиков, но они не всегда бывают эффективны, поэтому следует использовать все выше перечисленные рекомендации в комплексе.

Если система заражена вредоносной программой семействTrojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX , то все файлы на компьютере будут зашифрованы следующим образом:

  • При заражении Trojan-Ransom.Win32.Rannoh имена и расширения изменятся по шаблону locked-<оригинальное_имя>.<4 произвольных буквы> .
  • При заражении Trojan-Ransom.Win32.Cryakl в конец содержимого файлов добавляется метка {CRYPTENDBLACKDC} .
  • При заражении Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
    Например, [email protected]_.RZWDTDIC.
  • При заражении Trojan-Ransom.Win32.CryptXXX расширение изменяется по шаблонам <оригинальное_имя>.crypt, <оригинальное_имя>. crypz и <оригинальное_имя>. cryp1.

Утилита RannohDecryptor предназначена для расшифровки файлов после заражения Trojan-Ransom.Win32.Polyglot , Trojan-Ransom.Win32.Rannoh , Trojan-Ransom.Win32.AutoIt , Trojan-Ransom.Win32.Fury , Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версии 1 , 2 и 3 .

Как вылечить систему

Чтобы вылечить зараженную систему:

  1. Скачайте файл RannohDecryptor.zip .
  2. Запустите файл RannohDecryptor.exe на зараженной машине.
  3. В главном окне нажмите Начать проверку .
  1. Укажите путь к зашифрованному и незашифрованному файлу.
    Если файл зашифрован Trojan-Ransom.Win32.CryptXXX , укажите файлы самого большого размера. Расшифровка будет доступна только для файлов равного или меньшего размера.
  2. Дождитесь окончания поиска и расшифровки зашифрованных файлов.
  3. Перезагрузите компьютер, если требуется.
  4. Для удаления копии зашифрованных файлов вида locked-<оригинальное_имя>.<4 произвольных буквы> после успешной расшифровки выберите .

Если файл был зашифрован Trojan-Ransom.Win32.Cryakl, то утилита сохранит файл на старом месте с расширением .decryptedKLR.оригинальное_расширение . Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки , то расшифрованный файл будет сохранен утилитой с оригинальным именем.

  1. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена ОС).

    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

    Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

В системе, зараженной Trojan-Ransom.Win32.CryptXXX , утилита сканирует ограниченное количество форматов файлов. При выборе пользователем файла, пострадавшего от CryptXXX v2, восстановление ключа может занять продолжительное время. В этом случае утилита показывает предупреждение.

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

В последнее время наиболее страшным вирусом является троян-шифровальщик файлов, распознаваемый как Trojan-Ransom.Win32.Rector, который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно, а без определенных знаний и умений просто невозможно.

Процесс заражения происходит хитрым образом. На почту приходит письмо с прикрепленным файлом типа «документ.pdf.exe». При открытии этого файла, а фактически при его запуске, начинается работа вируса и шифрование файлов. Если вы обнаружили действие этого файла, но продолжаете работать на этом компьютере, то он шифрует все большее и большее количество файлов. К зашифрованным файлам добавляется расширение типа « Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript » (именование может быть различно), а практически во все папки добавляется интернетовский или текстовый файл типа «РаСшИфроваТь_ФайЛы.html» в котором злоумышленники описывают как получить от вас деньги за свою грязную работу. Вот текст реального файла, с зараженного компьютера моих клиентов:

Все ваши документы были зашифрованы одним из криптостойких алгоритмов. Расшифровать файлы не зная уникальный для вашего ПК пароль невозможно! Не меняйте название, структуру файлов и не пробуйте расшифровывать файлы различными дешифраторами выложеными в интернете, эти действия могут привести к невозможности восстановления ваших файлов.

Если вам нужно убедится в возможности расшифровки ваших файлов, Вы можете отпрвить нам на email - Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript один любой файл и мы вернем его оригинальную версию.

Стоимость дешифратора для расшифровки ваших файлов составляет 0,25 BTC (Bitcoin)Ваш Bitcoin кошелек для оплаты - 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF

Где купить bitcoin вы можете найти на форуме - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Рекомендуем такие обменники как https://wmglobus.com/ , https://orangeexchangepro.com/Также есть возможность оплатить на qiwi кошелек 3500 рублей, для получения номера кошелька необходимо связаться с нами по email - Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Раньше единственным спасением от этого вируса было удаление всех зараженных файлов и восстановление их из резервной копии, хранящейся на внешнем диске или флешке. Однако, поскольку мало кто делает резервные копии, и тем более, регулярно их обновляет, информация просто терялась. Варианты заплатить «шифровальщикам» за расшифровку ваших файлов в подавляющем большинстве заканчиваются потерей денег и являются просто разводом на деньги.

Сейчас антивирусные лаборатории разрабатывают способы и программы избавиться от этого вируса. Лабораторией Касперского разработана утилита – RectorDecryptor, позволяющая расшифровывать зараженные файлы. По этой ссылке вы можете скачать программу RectorDecryptor . Затем надо ее запустить, нажать кнопку «Начать проверку», выбрать зашифрованный файл, после чего программа автоматически расшифрует все зашифрованные файлы подобного типа. Файлы восстанавливаются в тех же папках, где были зашифрованные файлы. После этого надо удалить зашифрованные файлы. Проще всего это сделать следующей командой, набранной в командной строке: del "d:\*.AES256" /f /s (где вместо AES256 должно быть расширение вашего вируса). Также необходимо удалить файлы писем злоумышленников, распиханные по всему компьютеру. Сделать это можно следующей командой: del "d:\ РаСшИфроваТь_ФайЛы.html" /f /s набранной в командной строке.

Предварительно необходимо обезопасить компьютер от возможности распространения вируса. Для этого необходимо очистить подозрительные запускаемые файлы в автозагрузке, деинсталлировать подозрительные программы, очистить временные папки и кэши браузеров (можно воспользоваться для этого утилитой CCleaner).

Однако, надо заметить, что данный способ расшифровки может помочь только тем, чей вирус уже обработан лабораторией Касперского и включен в перечень, находящийся в утилите RectorDecryptor. Если это новый вирус, еще не включенный в перечень обезвреженных вирусов, то вам придется отправлять свои зараженные файлы для расшифровки в лаборатории Касперского, Dr.Web, или Nod32 или восстанавливать их из резервной копии (что гораздо проще).

Если действия по обезвреживанию ваших вирусов и лечению компьютера представляют определенную сложность, то чтобы не навредить еще больше, или порушить операционную систему, (что может привести к полной переустановке Windows), лучше обратиться к специалисту, который сделает это профессионально. Современные средства позволяют все эти действия провести удаленно в любой точке земного шара, где есть подключение к интернету.

Хакеры-вымогатели очень похожи на обычных шантажистов. Как в реальном мире, так и в кибер-среде есть единичный или групповой объект атаки. Его либо крадут либо делают недоступным. Далее преступники используют определенные средства коммуникации с жертвами для передачи своих требований. Компьютерные мошенники обычно выбирают всего несколько форматов для письма с требованием выкупа, но его копии можно обнаружить практически в любом участке памяти инфицированной системы. В случае семьи шпионского ПО, известного как Troldesh или Shade, при контакте с жертвой аферисты практикуют особый подход.

Рассммотрим поближе этот штамм вируса-шифровальщика, который ориентирован на русскоязычную аудиторию. Большинство аналогичных инфекций определяет раскладку клавиатуры на атакуемом ПК, и если одним из языков является русский, вторжение прекращается. Однако вирус-вымогатель XTBL неразборчив: к несчастью для пользователей, атака разворачивается независимо от их географического местоположения и языковых предпочтений. Наглядным воплощением такой универсальности является предупреждение, которое появляется в виде фона рабочего стола, а также ТХТ файла с инструкцией по уплате выкупа.

Вирус XTBL обычно распространяется через спам. Сообщения напоминают письма известных брендов, или просто бросаются в глаза, поскольку в теме сообщения используются такие выражения, как «Срочно!» или «Важные финансовые документы». Фишинговая уловка сработает, когда получатель такого эл. сообщения загрузит ZIP-файл, содержащий код JavaScript, или объект Docm с потенциально уязвимым макросом.

Выполнив базовый алгоритм на скомпрометированном ПК, троян-вымогатель переходит к поиску данных, которые могут представлять ценность для пользователя. С этой целью вирус сканирует локальную и внешнюю память, одновременно сопоставляя каждый файл с набором форматов, подобранных на основе расширения объекта. Все файлы.jpg, .wav, .doc, .xls, а также множество прочих объектов подвергаются шифрованию через симметричный блочный крипто-алгоритм AES-256.

Различают два аспекта такого вредоносного воздействия. Прежде всего, пользователь утрачивает доступ к важным данным. Кроме того, имена файлов подвергаются глубокой кодировке, из которой на выходе получается бессмысленный набор из шестнадцатеричных символов. Все, что объединяет имена пораженных файлов, это добавленное к ним расширение xtbl, т.е. название кибер-угрозы. Имена зашифрованных файлов иногда имеют особый формат. В некоторых версиях Troldesh имена зашифрованных объектов могут оставаться без изменений, а в конце добавляется уникальный код: [email protected], [email protected], or [email protected].

Очевидно, злоумышленники, внедрив адреса эл. почты непосредственно в названия фалов, указывают жертвам способ коммуникации. Электронная почта также указана в другом месте, а именно в письме-требовании выкупа, которое содержится в файле “Readme.txt”. Такие Notepad-документы появятся на Рабочем столе, а также во всех папках с закодированными данными. Ключевой посыл состоит в следующем:

“Все файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: [Ваш уникальный шифр] на электронный адрес [email protected] or [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации”

Электронный адрес может меняться в зависимости от распространяющей вирус группы шантажистов.

Что касается дальнейшего развития событий: в общих чертах, мошенники отвечают рекомендацией перечислить выкуп, который может составлять 3 биткойн, или иную сумму в этом диапазоне. Обратите внимание, никто не может гарантировать, что хакеры выполнят свое обещание даже после получения денег. Чтобы восстановить доступ к.xtbl файлам, пострадавшим пользователям рекомендуется в первую очередь испробовать все доступные тернативные способы. В некоторых случаях данные можно привести в порядок с помощью службы теневого копирования томов (Volume Shadow Copy), предусмотренной непосредственно в ОС Windows, а также программ-дешифраторов и восстановления данных от независимых разработчиков ПО.

Удалить вирус-шифровальщик XTBL с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

  1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с расширением.xtbl

Как было отмечено, программа-вымогатель XTBL блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя XTBL

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.