No hace mucho, apareció un nuevo virus en la red, basado en un programa de encriptación de datos. También conocido como el antiguo virus Shapoklyak. Se especializa en todos los archivos que pueden tener valor comercial y los encripta en extensiones como cbf, bóveda y xtbl. Después del cifrado, el virus solicita transferir una cierta cantidad de fondos a Bitcoin, mientras ofrece un descifrador y un tratamiento a cambio. Incluso si envía dinero, no recibe nada a cambio y se convierte en otra víctima de una estafa. Los especialistas de Pozitiv están listos para ayudarlo a descifrar su archivo . Para descifrar, necesitamos un archivo llamado VAULT.KEY, que dejó el virus en la computadora infectada.

como podemos ayudarte?

• Llámanos al 8 800 775 14 20
• Le enviamos un asistente si está lejos de San Petersburgo, es decir, es posible conectarse a su computadora de forma remota a través de TeamViewer
• Tomamos los archivos infectados para su análisis
• Escribimos un decodificador y acordamos los métodos de pago.
• Pago. Es posible el pago en efectivo y no en efectivo

No debe retrasar el descifrado, ya que xtbl, el virus de la bóveda es peligroso porque si no se cura dentro del tiempo asignado por los piratas informáticos, eliminará archivos y posiblemente romperá el sistema.

En este artículo, intentaremos considerar en detalle las causas de dicho virus en su computadora y las posibles formas de tratarlo.

Cómo entra el virus

Según las observaciones, el método más común para penetrar un ransomware en una computadora personal es el correo electrónico. Por parte de uno de los bancos de los que eres cliente, recibes una carta informándote de un adeudo o una verificación repentina de datos de registro como consecuencia de un fallo del sistema. También con bastante frecuencia hay cartas de supuestamente un tribunal de arbitraje o alguaciles, donde también se le informa sobre la deuda. Todos los mensajes de este tipo seguramente tendrán archivos adjuntos en forma de archivo: "acto de algo.doc.exe", "Carta de agradecimiento.hta" o "Datos de registro.cab", etc. Después de iniciar dichos archivos adjuntos, comienza el proceso de encriptación. El virus encripta todos los archivos de rendimiento (documentos, fotos, videos, archivos, etc.).

Una vez empaquetados los archivos, el virus suele informarnos sobre el cifrado de los archivos, así como recomendaciones para descifrarlos. Las recomendaciones significan métodos de pago para un atacante. Se puede crear un archivo en la unidad C llamado: HOW_DESCRYPT_FILES.txt, o puede aparecer una imagen en el escritorio anunciando el cifrado de archivos.

La gran mayoría de estos virus Shapoklyak no viven más de 3 a 5 días. Los primeros dos días se proporcionan para buscar víctimas y para ingresarlas en la base de datos del antivirus. El atacante luego cambia el código del virus y lanza una nueva modificación. Este ciclo se repite constantemente.

Tratamiento y eliminación del virus.

Tratar el virus shapoklyak de la anciana. extremadamente difícil, pero posible. Desafortunadamente, hoy en día las empresas de antivirus no ofrecen una herramienta completamente funcional para eliminar las consecuencias de un troyano despiadado. Por ejemplo, Kaspersky Lab puede proporcionar un descifrador. Pero incluso él no es capaz de ayudar en todos los casos. Vale la pena señalar que dicho decodificador no pudo descifrar las bases de la versión 1C 8 cifrada por el virus.

Nuestra empresa le recomienda encarecidamente que no se enfrente a este problema por su cuenta. El usuario puede correr el riesgo de perder los datos necesarios de una vez por todas. La eliminación automática del virus y sus componentes contribuye a la complicación de un mayor descifrado de archivos. Nuestros especialistas seleccionarán de manera competente un descifrador individualmente para cada tipo de dicho virus y podrán ayudar a recuperar documentos cifrados. Además, el costo de la restauración será mucho más económico que el extorsionado por los atacantes.

El último mes ha sido bastante productivo para el ciberransomware, con una gran cantidad de nuevas "soluciones" creadas para cifrar los datos de los usuarios y luego exigir un rescate. La mayoría de ellos están diseñados para los mercados occidental y asiático (víctimas más solventes), pero también en el mercado de la CEI, los laboratorios antivirus monitorean el crecimiento en el número de ataques y PC infectados con datos encriptados.

A continuación, hablaremos sobre las versiones más comunes de ransomware y los posibles métodos para descifrar sus datos (al menos parcialmente). Te recordamos que PAGAR A LOS CRAFTERS NO GARANTIZA QUE LE ENVIARÁN LA CLAVE DE DESCRIPTACIÓN. Registramos docenas de casos en los que, después del pago, los "hackers" simplemente dejaron de comunicarse.

Seleccionamos el ransomware más común en noviembre de 2016. Algunos de ellos son modificaciones diferentes de malware anterior.

• Trojan.encoder.567- encripta bases de datos 1C. Infecta PC a través de correo electrónico. Cambia las extensiones de archivo a otras aleatorias (.qqr. .xbz. .fgh..). Para contactar con el correo electrónico de los atacantes: [correo electrónico protegido] .
• Trojan.Encoder.94- Cambia las extensiones de archivo a otras aleatorias. Para comunicarse con el correo de los intrusos [correo electrónico protegido]
• Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae ( [correo electrónico protegido], [correo electrónico protegido], e0cr2 [correo electrónico protegido], [correo electrónico protegido], 30cr1ptss77 @gma4l.com etc.) Además de cifrar archivos, a veces los coloca en un archivo protegido por contraseña.
• Criptógrafo llorar ( [correo electrónico protegido] 1.2.0.0) – cambia las extensiones de los archivos cifrados a .cbf. El correo se utiliza para la comunicación. [correo electrónico protegido]
• TR/Ransom.Xorist.EJ y Trojan-Ransom.Win32.Xorist.ln- cifrar bases de datos 1C y algunos otros tipos de bases de datos.
• HEUR:Trojan.Win32.Generic diferentes versiones - comunicación con intrusos por correo [correo electrónico protegido], [correo electrónico protegido] o [correo electrónico protegido] . Cambia las extensiones de archivo a .errorfi, .erfile o .archivos de error. Cifra más de 40 tipos de archivos, incluidas bases de datos y archivos.
• HEUR:Trojan.Script.Agent.gen o .kukaracha porque cambia el nombre de las extensiones de archivo con un nombre tan extraño. [correo electrónico protegido] para ponerse en contacto con los piratas informáticos.
• Trojan.Win32.Dimnie.gh– mejor conocido como (cambia las extensiones de archivo a .neutrino). Comunicación por correo [correo electrónico protegido]
• [correo electrónico protegido] - uno de los clones de ransomware previamente conocido que utiliza el algoritmo RSA-2048 resistente al descifrado
• .dosfile (dosfile.exe)– comunicación con intrusos por correo [correo electrónico protegido] . Un ransomware muy común que no se puede descifrar. Cifra documentos y tablas xls en minutos.
• Trojan.Encoder.6674 (ISHTAR) es otra opción Menos común en la CEI.
• Cripton- (para comunicarse con intrusos [correo electrónico protegido], [correo electrónico protegido] ). Cambia las extensiones de archivo a .cpt
• .filezx- una variante del cifrador, que es común en Bielorrusia.
• [correo electrónico protegido], [correo electrónico protegido] - encripta bases de datos 1C y algunos otros tipos de archivos
• [correo electrónico protegido] es una de las variantes de malware distribuidas a través de archivos adjuntos de correo electrónico.
• .matriz- un cifrador poco difundido.
• Cripttt- un antiguo criptógrafo que ha sobrevivido a varias modificaciones. Cifra principalmente archivos de fotos y videos, así como documentos. Extensión de archivo .cripttt.

Estos no son todos los ransomware que aparecieron en noviembre de 2016. Hemos seleccionado los más comunes. Cabe señalar que los atacantes constantemente presentan nuevas tácticas y métodos de infección. Por ejemplo, el archivo ejecutable del virus se disfraza como una demanda o una notificación de la oficina de impuestos. Y se enmascaran con bastante habilidad, a juzgar por la cantidad de PC infectadas.

Además, los atacantes a menudo recurren al chantaje directo, lo que obliga a los usuarios a pagar durante 24-48 horas (¡a veces incluso 8 horas!).

Opción de amenaza sobre la imposibilidad de descifrar archivos en caso de impago

Opciones de mensajes del ransomware más común:

Puede solicitar el costo de un descifrador escribiendo una carta a la dirección: [correo electrónico protegido]
En el ASUNTO de la carta, indica tu DNI: 9309624421
Las letras sin ID se ignoran.
Le pedimos amablemente que no intente descifrar archivos con herramientas de terceros.
Puede arruinarlos por completo e incluso el descifrador original no ayudará.
Puedes comprar un descifrador hasta el 18/11/2016
Las solicitudes son procesadas por un sistema automático.

Sus archivos han sido encriptados.
Para descifrar ux, debe descifrar el código:
1597D5599D6549465E7F|0
a la dirección de correo electrónico [correo electrónico protegido].
Además, recibirá todas las instrucciones necesarias.
Un intento de descifrarlo usted mismo no conducirá a nada, excepto a la pérdida irrecuperable de información.
Si aún desea husmear, primero debe hacer copias de seguridad de los archivos; de lo contrario, en casos
sus cambios, el descifrado será imposible bajo ninguna circunstancia.
Si no ha recibido una respuesta a la dirección anterior dentro de las 48 horas (¡y solo en este caso!),
utilice el formulario de comentarios. Esto se puede hacer de dos formas:
1) Descargue e instale Tor Browser desde el enlace: https://www.torproject.org/download/…d-easy.html.en
En la barra de direcciones de Tor Browser, ingrese la dirección:
http://cryptsen7fo43rr6.onion/
u presiona Enter. La página con el formulario de comentarios se está cargando.
2) En cualquier navegador, vaya a una de las direcciones:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

¡¡¡ATENCIÓN, SUS ARCHIVOS, DOCUMENTOS, FOTOS, ARCHIVOS Y OTRA INFORMACIÓN ESTÁN CIFRADOS!!!
================================================== ================================
PARA DESCIFRAR LOS ARCHIVOS, NECESITA ESCRIBIRNOS POR CORREO
[correo electrónico protegido] o (si no ha recibido una respuesta durante más de un día) aquí [correo electrónico protegido]
========
¡¡¡LOS INTENTOS DE DESCIFRAR LOS ARCHIVOS SIN LA CLAVE ORIGINAL CAUSARÁN DAÑOS A LOS ARCHIVOS!!!
TAMBIÉN, EL DESCIFRADO ES POSIBLE A MÁS TARDAR 96 HORAS DESDE EL MOMENTO DEL CIFRADO DE SUS ARCHIVOS.
================================================== ==================================
¡¡¡NI LA ​​REINSTALACIÓN DE WINDOWS, NI EL DESCIFRADO DEL ANTIVIRUS YA TUS ARCHIVOS!!!
================================================== ==================================
PARA GARANTIZAR EL DESCIFRADO, PODEMOS DESCIFRAR UN ARCHIVO QUE USTED NOS ENVÍE Y NOSOTROS LO ENVIAREMOS
VUELVE!!!

Eliminar ransomware con limpiador automático

Un método extremadamente eficaz para tratar el malware en general y el ransomware en particular. El uso de un complejo protector probado garantiza la minuciosidad de la detección de cualquier componente de virus, su eliminación completa con un solo clic. Tenga en cuenta que estamos hablando de dos procesos diferentes: desinstalar la infección y restaurar archivos en su PC. Sin embargo, la amenaza ciertamente debe eliminarse, ya que hay información sobre la introducción de otros troyanos informáticos con su ayuda.

1. . Después de iniciar el software, haga clic en el botón Iniciar escaneo de la computadora(Iniciar escaneo).
2. El software instalado proporcionará un informe sobre las amenazas detectadas durante el análisis. Para eliminar todas las amenazas encontradas, seleccione la opción Reparar amenazas(Remover amenazas). El malware en cuestión se eliminará por completo.

Restaurar el acceso a archivos cifrados con diferentes extensiones

Como se señaló, el ransomware bloquea los archivos con un algoritmo de cifrado fuerte, de modo que los datos cifrados no se pueden restaurar con un movimiento de varita mágica, si no se tiene en cuenta el pago de un rescate inaudito. Pero algunos métodos realmente pueden convertirse en un salvavidas que lo ayudarán a recuperar datos importantes. A continuación puede familiarizarse con ellos.

Decryptor - programa de recuperación automática de archivos

Se conoce una circunstancia muy inusual. Esta infección borra los archivos originales en forma no cifrada. El exorbitante proceso de encriptación tiene como objetivo copias de ellos. Esto hace posible que las herramientas de software como la recuperación de objetos eliminados, incluso si se garantiza la fiabilidad de su eliminación. Es muy recomendable recurrir al procedimiento de recuperación de archivos, cuya eficacia ha sido comprobada en más de una ocasión.

Instantáneas de volumen

El enfoque se basa en un procedimiento de copia de seguridad de archivos basado en Windows que se repite en cada punto de restauración. Una condición importante para que este método funcione: la función "Restaurar sistema" debe estar activada antes de la infección. Sin embargo, los cambios realizados en el archivo después del punto de restauración no se reflejarán en la versión restaurada del archivo.

Respaldo

Este es el mejor entre todos los métodos de no compra. Si el procedimiento para hacer una copia de seguridad de los datos en un servidor externo se usó antes de que el ransomware atacara su computadora, para restaurar los archivos cifrados, simplemente debe ingresar a la interfaz adecuada, seleccionar los archivos necesarios e iniciar el mecanismo de recuperación de datos desde la copia de seguridad. Antes de realizar la operación, debe asegurarse de que el ransomware se haya eliminado por completo.

Compruebe la posible presencia de componentes residuales del virus ransomware

La limpieza manual conlleva el riesgo de perder piezas de ransomware que pueden evitar la eliminación en forma de objetos ocultos del sistema operativo o entradas de registro. Para eliminar el riesgo de preservación parcial de elementos maliciosos individuales, escanee su computadora usando un complejo antivirus universal confiable.