"Promiňte, že vás obtěžuji, ale... vaše soubory jsou zašifrované." Chcete-li získat dešifrovací klíč, urychleně převeďte určitou částku peněz do peněženky... Jinak budou vaše data navždy zničena. Máte 3 hodiny, čas je pryč." A není to vtip. Šifrovací virus je více než skutečná hrozba.

Dnes budeme hovořit o tom, co je ransomware malware, který se v posledních letech rozšířil, co dělat v případě infekce, jak vyléčit počítač a zda je to vůbec možné a jak se před nimi chránit.

Šifrujeme vše!

Virus ransomwaru (šifrovač, kryptor) je speciální typ škodlivého ransomwaru, jehož činnost spočívá v zašifrování souborů uživatele a následném požadování výkupného za dešifrovací nástroj. Částky výkupného začínají někde od 200 dolarů a dosahují desítek a stovek tisíc zelených kousků papíru.

Před několika lety byly touto třídou malwaru napadeny pouze počítače se systémem Windows. Dnes se jejich sortiment rozšířil na zdánlivě dobře chráněný Linux, Mac a Android. Různorodost šifrovačů navíc neustále roste – jeden za druhým se objevují nové produkty, které mají svět čím překvapit. Vznikl tedy „zkřížením“ klasického šifrovacího trojského koně a síťového červa (škodlivý program, který se šíří po sítích bez aktivní účasti uživatelů).

Po WannaCry se objevil neméně sofistikovaný Petya a Bad Rabbit. A protože „šifrovací byznys“ přináší svým majitelům dobrý příjem, můžete si být jisti, že nejsou poslední.

Stále více šifrátorů, zejména těch, které byly vydány v posledních 3-5 letech, používá silné šifrovací algoritmy, které nelze prolomit ani hrubou silou, ani jinými existujícími prostředky. Jediný způsob, jak obnovit data, je použít originální klíč, který útočníci nabízejí ke koupi. Ani převod požadované částky na ně však nezaručuje obdržení klíče. Zločinci nespěchají, aby odhalili svá tajemství a přišli o potenciální zisky. A jaký smysl mají plnit sliby, když už peníze mají?

Cesty distribuce šifrovacích virů

Hlavním způsobem, jakým se malware dostává do počítačů soukromých uživatelů a organizací, je e-mail, přesněji soubory a odkazy připojené k e-mailům.

Příklad takového dopisu určeného pro „firemní klienty“:

• "Okamžitě splaťte svůj úvěrový dluh."
• "Nárok byl podán u soudu."
• "Zaplaťte pokutu/poplatek/daň."
• "Příplatek za účty za energie."
• "Ach, to jsi ty na té fotce?"
• "Lena mě požádala, abych ti to urychleně dal," atd.

Souhlasíte, pouze znalý uživatel by s takovým dopisem zacházel opatrně. Většina lidí bez váhání přílohu otevře a sama spustí škodlivý program. Mimochodem, navzdory výkřikům antiviru.

K distribuci ransomwaru se také aktivně používají následující:

• Sociální sítě (e-maily z účtů přátel a neznámých lidí).
• Škodlivé a infikované webové zdroje.
• Bannerová reklama.
• Posílání zpráv prostřednictvím messengerů z hacknutých účtů.
• Stránky Vareznik a distributoři keygenů a trhlin.
• Stránky pro dospělé.
• Obchody s aplikacemi a obsahem.

Šifrovací viry jsou často přenášeny jinými škodlivými programy, zejména reklamními demonstrátory a trojskými koňmi typu backdoor. Ten pomocí zranitelností v systému a softwaru pomáhá zločinci získat vzdálený přístup k infikovanému zařízení. Spuštění šifrovače se v takových případech ne vždy časově shoduje s potenciálně nebezpečnými akcemi uživatele. Dokud zadní vrátka zůstanou v systému, může útočník kdykoli proniknout do zařízení a zahájit šifrování.

K infikování počítačů organizací (ostatně z nich lze vydolovat více než z domácích uživatelů) se vyvíjejí zejména sofistikované metody. Například Trojan Petya pronikl do zařízení prostřednictvím aktualizačního modulu programu daňové evidence MEDoc.

Šifrovače s funkcemi síťových červů, jak již bylo zmíněno, se šíří po sítích včetně internetu prostřednictvím zranitelností protokolů. A můžete se jimi nakazit, aniž byste dělali absolutně cokoliv. Uživatelé operačních systémů Windows, které jsou zřídka aktualizovány, jsou nejvíce ohroženi, protože aktualizace uzavírají známé mezery.

Některý malware, jako je WannaCry, využívá 0denní zranitelnosti, tedy ty, o kterých si vývojáři systému zatím nejsou vědomi. Tímto způsobem se bohužel nelze infekci plně bránit, ale pravděpodobnost, že budete mezi oběťmi, nedosahuje ani 1 %. Proč? Ano, protože malware nemůže infikovat všechny zranitelné stroje najednou. A zatímco plánuje nové oběti, vývojáři systému stihnou vydat život zachraňující aktualizaci.

Jak se ransomware chová na infikovaném počítači

Šifrovací proces zpravidla začíná nepozorovaně, a když jsou jeho znaky zřejmé, je na ukládání dat příliš pozdě: v té době malware zašifroval vše, co mohl dosáhnout. Někdy si uživatel může všimnout, že se změnila přípona souborů v otevřené složce.

Nerozumný vzhled nové a někdy i druhé přípony na souborech, po kterých se přestanou otevírat, naprosto naznačuje důsledky útoku šifrovače. Mimochodem, podle rozšíření, které poškozené objekty obdrží, je obvykle možné identifikovat malware.

Příklad toho, jaké mohou být přípony šifrovaných souborů:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn atd.

Možností je spousta a zítra se objeví nové, takže nemá smysl vypisovat vše. K určení typu infekce stačí do vyhledávače přidat několik rozšíření.

Další příznaky, které nepřímo naznačují začátek šifrování:

• Na zlomek sekundy se na obrazovce objeví okna příkazového řádku. Nejčastěji je to normální jev při instalaci aktualizací systému a programů, ale je lepší to nenechávat bez dozoru.
• UAC požaduje spuštění nějakého programu, který jste neměli v úmyslu otevřít.
• Náhlé restartování počítače následované simulací činnosti nástroje pro kontrolu systémového disku (jsou možné i jiné varianty). Během „ověření“ probíhá proces šifrování.

Po úspěšném dokončení škodlivé operace se na obrazovce objeví zpráva s požadavkem na výkupné a různými hrozbami.

Ransomware šifruje významnou část uživatelských souborů: fotografie, hudbu, videa, textové dokumenty, archivy, poštu, databáze, soubory s příponou programu atd. Nedotýkají se však objektů operačního systému, protože útočníci nepotřebují, aby infikovaný počítač přestat pracovat. Některé viry nahrazují spouštěcí záznamy disků a diskových oddílů.

Po zašifrování jsou všechny stínové kopie a body obnovy obvykle odstraněny ze systému.

Jak vyléčit počítač z ransomwaru

Odstranění malwaru z infikovaného systému je snadné – s většinou z nich si bez potíží poradí téměř všechny antivirové programy. Ale! Je naivní věřit, že zbavením se viníka se problém vyřeší: ať už virus odstraníte nebo ne, soubory zůstanou stále zašifrované. V některých případech to navíc zkomplikuje jejich následné dešifrování, pokud je to možné.

Správný postup při spouštění šifrování

• Jakmile si všimnete známek šifrování, Stisknutím a podržením tlačítka okamžitě vypněte napájení počítačeNapájení po dobu 3-4 sekund. Tím se uloží alespoň některé soubory.
• Vytvořte spouštěcí disk nebo jednotku flash s antivirovým programem na jiném počítači. Například, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD atd.
• Spusťte infikovaný počítač z tohoto disku a prohledejte systém. Odstraňte všechny nalezené viry a uložte je do karantény (pro případ, že by byly potřeba k dešifrování). Teprve potom můžete spustit počítač z pevného disku.
• Pokuste se obnovit zašifrované soubory ze stínových kopií pomocí systémových nástrojů nebo pomocí nástroje třetí strany.

Co dělat, pokud jsou soubory již zašifrovány

• Neztrácejte naději. Webové stránky vývojářů antivirových produktů obsahují bezplatné nástroje pro dešifrování různých typů malwaru. Zejména inženýrské sítě od Avast A Kaspersky Lab.
• Po určení typu kodéru stáhněte příslušný nástroj, rozhodně to udělej kopie poškozené soubory a pokusit se je rozluštit. Pokud uspějete, dešifrujte zbytek.

Pokud soubory nejsou dešifrovány

Pokud žádná z utilit nepomůže, je pravděpodobné, že jste trpěli virem, na který zatím neexistuje žádný lék.

Co můžete v tomto případě dělat:

• Pokud používáte placený antivirový produkt, kontaktujte jeho tým podpory. Odešlete několik kopií poškozených souborů do laboratoře a počkejte na odpověď. Pokud je to technicky možné, pomohou vám.

Mimochodem, Dr.Web je jednou z mála laboratoří, která pomáhá nejen svým uživatelům, ale všem dotčeným. Na této stránce můžete odeslat požadavek na dešifrování souboru.

• Pokud se ukáže, že soubory jsou beznadějně poškozené, ale mají pro vás velkou cenu, nezbývá než doufat a čekat, že se někdy najde záchranný prostředek. Nejlepší, co můžete udělat, je nechat systém a soubory tak, jak jsou, tedy úplně vypnout a nepoužívat pevný disk. Smazání souborů malwaru, přeinstalace operačního systému a dokonce i jeho aktualizace vás může připravit a tato šance, protože při generování šifrovacích/dešifrovacích klíčů se často používají jedinečné systémové identifikátory a kopie viru.

Zaplacení výkupného nepřichází v úvahu, protože pravděpodobnost, že klíč obdržíte, se blíží nule. A nemá smysl financovat kriminální podnikání.

Jak se chránit před tímto typem malwaru

Nerad bych opakoval rady, které každý ze čtenářů slyšel už stokrát. Ano, nainstalovat dobrý antivirus, neklikat na podezřelé odkazy a blablabla je důležité. Jak však život ukázal, kouzelná pilulka, která vám dá 100% záruku bezpečí, dnes neexistuje.

Jediný účinný způsob ochrany proti ransomwaru tohoto druhu je zálohování dat na jiná fyzická média, včetně cloudových služeb. Zálohovat, zálohovat, zálohovat...

Počet virů v jejich obvyklém smyslu je stále méně a méně a důvodem jsou bezplatné antiviry, které dobře fungují a chrání počítače uživatelů. Ne každý se přitom stará o bezpečnost svých dat a hrozí, že se nakazí nejen malwarem, ale i standardními viry, mezi nimiž je i nadále nejčastější trojský kůň. Může se projevovat mnoha způsoby, ale jedním z nejnebezpečnějších je šifrování souborů. Pokud virus zašifroval soubory ve vašem počítači, není zaručeno, že budete moci získat data zpět, ale existuje několik účinných metod, o kterých bude pojednáno níže.

Šifrovací virus: co to je a jak funguje

Na internetu můžete najít stovky druhů virů, které šifrují soubory. Jejich akce vedou k jednomu důsledku - data uživatele v počítači obdrží neznámý formát, který nelze otevřít pomocí standardních programů. Zde jsou jen některé z formátů, do kterých mohou být data v počítači zašifrována v důsledku virů: .locked, .xtbl, .kraken, .cbf, .oshit a mnoho dalších. V některých případech se e-mailová adresa tvůrců viru zapisuje přímo do přípony souboru.

Mezi nejběžnější viry, které šifrují soubory, patří Trojan-Ransom.Win32.Aura A Trojan-Ransom.Win32.Rakhni. Přicházejí v mnoha podobách a virus se možná ani nejmenuje Trojan (například CryptoLocker), ale jejich akce je prakticky stejná. Pravidelně jsou vydávány nové verze šifrovacích virů, které tvůrcům antivirových aplikací znesnadňují práci s novými formáty.

Pokud do počítače pronikl šifrovací virus, jistě se to projeví nejen zablokováním souborů, ale také tím, že uživateli nabídne jejich odemčení za peněžní poplatek. Na obrazovce se může objevit banner, který vám řekne, kam potřebujete převést peníze, abyste odemkli soubory. Pokud se takový banner neobjeví, měli byste na ploše vyhledat „dopis“ od vývojářů viru, ve většině případů se takový soubor nazývá ReadMe.txt.

V závislosti na vývojářích viru se ceny za dešifrování souborů mohou lišit. Zdaleka přitom neplatí, že když tvůrcům viru pošlete peníze, pošlou vám zpět způsob odemykání. Ve většině případů peníze nejdou „nikam“ a uživatel počítače nedostane metodu dešifrování.

Jakmile se ve vašem počítači objeví virus a na obrazovce uvidíte kód, který je třeba odeslat na konkrétní adresu, abyste obdrželi dešifrovací nástroj, neměli byste to dělat. Nejprve zkopírujte tento kód na kus papíru, protože nově vytvořený soubor může být také zašifrován. Poté můžete skrýt informace před vývojáři viru a pokusit se najít na internetu způsob, jak se ve vašem konkrétním případě zbavit šifrovače souborů. Níže uvádíme hlavní programy, které vám umožňují odstranit virus a dešifrovat soubory, ale nelze je nazvat univerzálními a tvůrci antivirového softwaru pravidelně rozšiřují seznam řešení.

Zbavit se viru pro šifrování souborů je poměrně jednoduché pomocí bezplatných verzí antivirových programů. 3 bezplatné programy si dobře poradí s viry šifrujícími soubory:

• Malwarebytes Antimalware;
• Dr.Web Cure It;
• Kaspersky Internet Security.

Výše uvedené aplikace jsou zcela zdarma nebo mají zkušební verze. Po prohledání systému pomocí Malwarebytes Antimalware doporučujeme použít řešení od Dr.Web nebo Kespersky. Ještě jednou připomeňme, že instalace 2 a více antivirů na počítač současně se nedoporučuje, takže před instalací každého nového řešení musíte odstranit to předchozí.

Jak jsme uvedli výše, ideálním řešením problému v této situaci by bylo vybrat si pokyny, které vám umožní konkrétně se vypořádat s vaším problémem. Takové pokyny jsou nejčastěji zveřejňovány na webových stránkách vývojářů antivirů. Níže uvádíme několik aktuálních antivirových nástrojů, které si poradí s různými typy trojských koní a dalšími typy šifrovačů.

Výše uvedené je pouze malá část antivirových nástrojů, které umožňují dešifrovat infikované soubory. Stojí za zmínku, že pokud se jednoduše pokusíte získat data zpět, budou naopak navždy ztracena - neměli byste to dělat.

Uživatelé počítačů a notebooků se dnes stále častěji potýkají s malwarem, který nahrazuje soubory jejich zašifrovanými kopiemi. V podstatě se jedná o viry. Ransomware XTBL je považován za jeden z nejnebezpečnějších v této sérii. Co je to za škůdce, jak se dostane do počítače uživatele a je možné obnovit poškozené informace?

Co je XTBL ransomware a jak se dostane do počítače?

Pokud na svém počítači nebo notebooku najdete soubory s dlouhým názvem a příponou .xtbl, pak můžete s jistotou říci, že se do vašeho systému dostal nebezpečný virus – XTBL ransomware. Ovlivňuje všechny verze operačního systému Windows. Je téměř nemožné dešifrovat takové soubory vlastními silami, protože program používá hybridní režim, ve kterém je výběr klíče prostě nemožný.

Systémové adresáře jsou plné infikovaných souborů. Položky jsou přidány do registru Windows, který automaticky spustí virus při každém spuštění OS.

Šifrovány jsou téměř všechny typy souborů – grafika, text, archiv, e-mail, video, hudba atd. Ve Windows se stává nemožné pracovat.

Jak to funguje? XTBL ransomware běžící na Windows nejprve prohledá všechny logické disky. To zahrnuje cloudové a síťové úložiště umístěné v počítači. V důsledku toho jsou soubory seskupeny podle přípony a poté zašifrovány. Všechny cenné informace umístěné ve složkách uživatele se tak stanou nedostupnými.

Toto je obrázek, který uživatel uvidí místo ikon s názvy známých souborů

Pod vlivem ransomwaru XTBL se přípona souboru změní. Nyní se uživateli místo obrázku nebo textu ve Wordu zobrazí ikona prázdného listu a dlouhý název končící na .xtbl. Na ploše se navíc objeví hláška, jakási instrukce pro obnovení zašifrovaných informací, vyžadující platbu za odemčení. Nejde o nic jiného než o vydírání požadující výkupné.

Tato zpráva se zobrazí na ploše vašeho počítače.

XTBL ransomware je obvykle distribuován prostřednictvím e-mailu. E-mail obsahuje přiložené soubory nebo dokumenty infikované virem. Podvodník přitahuje uživatele barevným nadpisem. Vše je děláno pro to, aby zpráva, která říká, že jste například vyhráli milion, byla otevřená. Na takové zprávy nereagujte, jinak je vysoké riziko, že virus skončí ve vašem OS.

Je možné obnovit informace?

Můžete se pokusit dešifrovat informace pomocí speciálních nástrojů. Neexistuje však žádná záruka, že se budete moci zbavit viru a obnovit poškozené soubory.

V současné době XTBL ransomware představuje nepopiratelnou hrozbu pro všechny počítače s operačním systémem Windows. Ani uznávaní lídři v boji proti virům – Dr.Web a Kaspersky Lab – nemají 100% řešení tohoto problému.

Odstranění viru a obnovení zašifrovaných souborů

Existují různé metody a programy, které umožňují pracovat s XTBL šifrováním. Někteří odstraňují samotný virus, jiní se snaží dešifrovat zamčené soubory nebo obnovit jejich předchozí kopie.

Zastavení počítačové infekce

Pokud máte to štěstí, že si všimnete, že se na vašem počítači začnou objevovat soubory s příponou .xtbl, pak je docela možné přerušit proces další infekce.

Kaspersky Virus Removal Tool k odstranění XTBL ransomware

Všechny takové programy by měly být otevřeny v OS, který byl dříve spuštěn v nouzovém režimu s možností načíst síťové ovladače. V tomto případě je mnohem snazší virus odstranit, protože je připojen minimální počet systémových procesů potřebných ke spuštění Windows.

Chcete-li načíst nouzový režim ve Windows XP, 7 během spouštění systému, neustále stiskněte klávesu F8 a po zobrazení okna nabídky vyberte příslušnou položku. Při používání Windows 8, 10 byste měli restartovat OS a současně držet klávesu Shift. Během procesu spouštění se otevře okno, kde můžete vybrat požadovanou možnost bezpečného spouštění.

Výběr nouzového režimu s načítáním síťových ovladačů

Program Kaspersky Virus Removal Tool dokonale rozpozná XTBL ransomware a odstraní tento typ viru. Po stažení nástroje spusťte kontrolu počítače kliknutím na příslušné tlačítko. Po dokončení kontroly odstraňte všechny nalezené škodlivé soubory.

Spuštění kontroly počítače na přítomnost XTBL ransomwaru v OS Windows a následné odstranění viru

Dr.Web CureIt!

Algoritmus pro kontrolu a odstranění viru se prakticky neliší od předchozí verze. Pomocí tohoto nástroje prohledejte všechny logické jednotky. K tomu stačí následovat příkazy programu po jeho spuštění. Na konci procesu se zbavte infikovaných souborů kliknutím na tlačítko „Dekontaminovat“.

Neutralizujte škodlivé soubory po skenování systému Windows

Malwarebytes Anti-malware

Program provede krok za krokem kontrolu vašeho počítače na přítomnost škodlivých kódů a zničí je.

1. Nainstalujte a spusťte nástroj Anti-malware.
2. V dolní části okna, které se otevře, vyberte „Spustit kontrolu“.
3. Počkejte na dokončení procesu a zaškrtněte políčka u infikovaných souborů.
4. Smazat výběr.

Odstranění škodlivých souborů ransomwaru XTBL zjištěných během kontroly

Online decryptor skript od Dr.Web

Na oficiálních stránkách Dr.Web v sekci podpory je záložka se skriptem pro online dešifrování souborů. Vezměte prosím na vědomí, že pouze uživatelé, kteří mají na svém počítači nainstalovaný antivirový program tohoto vývojáře, budou moci používat dešifrovací nástroj online.

Přečtěte si pokyny, vyplňte vše potřebné a klikněte na tlačítko „Odeslat“.

Nástroj pro dešifrování RectorDecryptor od společnosti Kaspersky Lab

Kaspersky Lab také dešifruje soubory. Na oficiálních stránkách si můžete stáhnout nástroj RectorDecryptor.exe pro verze Windows Vista, 7, 8 pomocí odkazů nabídky „Podpora – Dezinfekce a dešifrování souborů – RectorDecryptor – Jak dešifrovat soubory“. Spusťte program, proveďte kontrolu a poté odstraňte zašifrované soubory výběrem příslušné možnosti.

Skenování a dešifrování souborů infikovaných ransomwarem XTBL

Obnova zašifrovaných souborů ze zálohy

Počínaje Windows 7 se můžete pokusit obnovit soubory ze záloh.

ShadowExplorer pro obnovu zašifrovaných souborů

Program je přenosná verze, lze jej stáhnout z jakéhokoli média.

QPhotoRec

Program je speciálně vytvořen pro obnovu poškozených a smazaných souborů. Pomocí vestavěných algoritmů nástroj najde a vrátí všechny ztracené informace do původního stavu.

QPhotoRec je zdarma.

Bohužel existuje pouze anglická verze QPhotoRec, ale pochopení nastavení není vůbec těžké, rozhraní je intuitivní.

1. Spusťte program.
2. Označte logické jednotky zašifrovanými informacemi.
3. Klepněte na tlačítko Formáty souborů a OK.
4. Pomocí tlačítka Procházet ve spodní části otevřeného okna vyberte umístění pro uložení souborů a kliknutím na tlačítko Hledat spusťte postup obnovy.

QPhotoRec obnovuje soubory smazané XTBL ransomwarem a nahrazené vlastními kopiemi

Jak dešifrovat soubory - video

Co nedělat

1. Nikdy nedělejte akce, kterými si nejste zcela jisti. Je lepší pozvat odborníka ze servisního střediska nebo tam vzít počítač sami.
2. Neotevírejte e-mailové zprávy od neznámých odesílatelů.
3. Za žádných okolností byste neměli následovat vyděrače a souhlasit s převodem peněz na ně. To s největší pravděpodobností nepřinese žádné výsledky.
4. Nepřejmenovávejte ručně přípony zašifrovaných souborů a nespěchejte s přeinstalací Windows. Možná se podaří najít řešení, které situaci napraví.

Prevence

Zkuste si do počítače nainstalovat spolehlivou ochranu proti pronikání XTBL ransomwaru a podobných ransomwarových virů. Mezi takové programy patří:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Navzdory skutečnosti, že jsou všechny v angličtině, práce s takovými nástroji je poměrně jednoduchá. Spusťte program a v nastavení vyberte úroveň ochrany.

Spuštění programu a výběr úrovně ochrany

Pokud jste se setkali s ransomwarovým virem, který šifruje soubory ve vašem počítači, pak byste samozřejmě neměli hned zoufat. Zkuste použít doporučené metody pro obnovení poškozených informací. Často to dává pozitivní výsledek. K odstranění XTBL ransomwaru nepoužívejte neověřené programy od neznámých vývojářů. Ostatně to může situaci jen zhoršit. Je-li to možné, nainstalujte si do počítače některý z programů, který brání spuštění viru, a provádějte pravidelné rutinní kontroly systému Windows na výskyt škodlivých procesů.

Boj s novými virovými hrozbami – ransomware

O tom, že se internetem šíří nové hrozby - ransomware viry nebo v širším měřítku viry šifrující soubory, jsme nedávno psali, podrobněji se o nich dočtete na našem webu, na tomto odkazu.

V tomto tématu vám řekneme, jak můžete vrátit data zašifrovaná virem; k tomu použijeme dva dešifrovače, z antivirů Kaspersky a Doctor Web, to jsou nejúčinnější metody pro vrácení zašifrovaných informací.

1. Stáhněte si nástroje pro dešifrování souborů z odkazů: Kaspersky a Dr.WEB

Nebo dešifrovače pro konkrétní typ šifrovaných souborů, které jsou .

2. Nejprve se pokusíme dešifrovat soubory pomocí programu od společnosti Kaspersky:

2.1. Spusťte program Kaspersky decryptor, pokud požádá o nějaké akce, například povolení ke spuštění, spustíme jej, pokud požádá o aktualizaci, aktualizujeme jej, zvýší se tím šance na vrácení zašifrovaných dat

2.2. V okně programu, které se zobrazí pro dešifrování souborů, vidíme několik tlačítek. Nakonfigurujte pokročilá nastavení a spusťte skenování.

2.3. V případě potřeby vyberte další možnosti a uveďte, kde hledat zašifrované soubory a případně po dešifrování smazat Tuto možnost nedoporučuji volit, soubory nejsou vždy dešifrovány správně!

2.4. Spustíme kontrolu a čekáme, až budou naše data zašifrovaná virem dešifrována.

3. Pokud první metoda nefungovala. Zkusme dešifrovat soubory pomocí programu od Dr. WEB

3.1. Po stažení dešifrovací aplikace ji umístěte například do kořenového adresáře jednotky „C:“., takže soubor "te102decrypt.exe" by měl být dostupný na "c:\te102decrypt.exe"

3.2. Nyní přejděte na příkazový řádek(Start-Search-Typ „CMD“ bez uvozovek-spustit stisknutím Enter)

3.3. Chcete-li zahájit dešifrování souborů napište příkaz "c:\te102decrypt.exe -k 86 -e (kód šifrovače)". Ransomware kód je přípona přidaná na konec souboru, například „ [e-mail chráněný] _45jhj" - pište bez uvozovek a závorek, dodržujte mezery. Měli byste dostat něco jako c:\te102decrypt.exe -k 86 -e [e-mail chráněný] _45jhj

3.4. Stiskněte Enter a počkejte, až budou soubory dešifrovány které byly zašifrovány, v některých případech se vytvoří několik kopií dešifrovaných souborů, pokusíte se je spustit, uložit kopii dešifrovaného souboru, který se normálně otevře, zbytek lze smazat.

Stáhněte si další dešifrovače souborů:

Pozornost: nezapomeňte uložit kopii zašifrovaných souborů na externí disk nebo jiný počítač. Níže uvedené dešifrovače nemusí dešifrovat soubory, ale pouze je poškodit!

Nejlepší je spustit decryptor na virtuálním počítači nebo na speciálně připraveném počítači, poté, co si na ně nejprve stáhnete několik souborů.

Níže uvedené dešifrovače fungují následovně: Vaše soubory jsou například zašifrovány pomocí šifrovače amba a soubory vypadají jako „Agreement.doc.amba“ nebo „Account.xls.amba“, poté si stáhněte dešifrovací nástroj pro soubory amba a spusťte jej, najde všechny soubory s toto rozšíření a dešifrovat jej, ale opakuji, chraňte sebe a nejprve vytvořit kopii zašifrovaných souborů, jinak můžete o svá nesprávně dešifrovaná data navždy přijít!

Pokud nechcete riskovat, pošlete nám několik souborů, poté, co nás kontaktujete pomocí formuláře zpětné vazby, spustíme decryptor na speciálně připraveném počítači izolovaném od internetu.

Prezentované soubory byly zkontrolovány s nejnovější verzí antivirového programu Kaspersky as nejnovějšími aktualizacemi databáze.

Pokud se na vašem počítači objeví textová zpráva, že vaše soubory jsou zašifrované, nepropadejte panice. Jaké jsou příznaky šifrování souborů? Obvyklá přípona se změní na *.vault, *.xtbl, * [e-mail chráněný] _XO101 atd. Soubory nelze otevřít - je nutný klíč, který lze zakoupit zasláním dopisu na adresu uvedenou ve zprávě.

Odkud jsi získal zašifrované soubory?

Počítač zachytil virus, který blokoval přístup k informacím. Antivirové programy je často postrádají, protože program je obvykle založen na nějaké neškodné bezplatné šifrovací utilitě. Samotný virus odstraníte dostatečně rychle, ale s dešifrováním informací mohou nastat vážné problémy.

Technická podpora od Kaspersky Lab, Dr.Web a dalších známých společností vyvíjejících antivirový software v reakci na požadavky uživatelů na dešifrování dat uvádí, že to není možné provést v přijatelném čase. Existuje několik programů, které mohou kód zachytit, ale mohou pracovat pouze s dříve studovanými viry. Pokud narazíte na novou úpravu, pak je šance na obnovení přístupu k informacím extrémně nízká.

Jak se ransomware virus dostane do počítače?

V 90 % případů si virus na svém počítači aktivují sami uživatelé, otevírání neznámých dopisů. Poté je na e-mail odeslána zpráva s provokativním předmětem - „Předvolání“, „Dluh z půjčky“, „Oznámení z finančního úřadu“ atd. Uvnitř falešného dopisu je příloha, po jejím stažení se ransomware dostane do počítače a začne postupně blokovat přístup k souborům.

Šifrování neproběhne okamžitě, takže uživatelé mají čas na odstranění viru dříve, než jsou všechny informace zašifrovány. Škodlivý skript můžete zničit pomocí čisticích nástrojů Dr.Web CureIt, Kaspersky Internet Security a Malwarebytes Antimalware.

Metody obnovy souborů

Pokud byla na vašem počítači povolena ochrana systému, pak i po působení ransomwarového viru existuje možnost vrátit soubory do normálního stavu pomocí stínových kopií souborů. Ransomware se je obvykle pokouší odstranit, ale někdy se jim to nepodaří kvůli nedostatku práv správce.

Obnovení předchozí verze:

Aby bylo možné uložit předchozí verze, musíte povolit ochranu systému.

Důležité: ochrana systému musí být povolena dříve, než se objeví ransomware, poté již nepomůže.

1. Otevřete Vlastnosti počítače.
2. V nabídce vlevo vyberte položku Ochrana systému.
   
3. Vyberte jednotku C a klikněte na „Konfigurovat“.
4. Zvolte obnovení nastavení a předchozích verzí souborů. Proveďte změny kliknutím na „OK“.

Pokud jste tyto kroky provedli předtím, než se objevil virus pro šifrování souborů, budete mít po vyčištění počítače od škodlivého kódu velkou šanci na obnovení svých informací.

Pomocí speciálních nástrojů

Společnost Kaspersky Lab připravila několik nástrojů, které pomohou otevřít šifrované soubory po odstranění viru. První decryptor, který byste měli vyzkoušet, je Kaspersky RectorDecryptor.

1. Stáhněte si program z oficiálních stránek Kaspersky Lab.
2. Poté spusťte nástroj a klikněte na „Spustit skenování“. Zadejte cestu k libovolnému zašifrovanému souboru.

Pokud škodlivý program nezměnil příponu souborů, pak je k jejich dešifrování musíte shromáždit do samostatné složky. Pokud je nástroj RectorDecryptor, stáhněte si další dva programy z oficiálního webu Kaspersky - XoristDecryptor a RakhniDecryptor.

Nejnovější nástroj od společnosti Kaspersky Lab se nazývá Ransomware Decryptor. Pomáhá dešifrovat soubory po viru CoinVault, který zatím není na RuNetu příliš rozšířen, ale může brzy nahradit jiné trojské koně.