„Elnézést a zavarásért, de... a fájljai titkosítottak. A visszafejtő kulcs megszerzéséhez sürgősen utaljon át egy bizonyos összeget a pénztárcájába... Ellenkező esetben az adatok örökre megsemmisülnek. 3 órád van, elment az idő." És ez nem vicc. A titkosító vírus több mint valós fenyegetés.

Ma arról fogunk beszélni, hogy mi az az elmúlt években elterjedt zsarolóvírus, mi a teendő, ha megfertőződött, hogyan lehet meggyógyítani számítógépét, és egyáltalán lehetséges-e, és hogyan védekezhet ellenük.

Mindent titkosítunk!

A ransomware vírus (titkosító, titkosító) a rosszindulatú zsarolóprogramok egy speciális típusa, amelynek tevékenysége a felhasználó fájljainak titkosításából, majd váltságdíj követeléséből áll a visszafejtő eszközért. A váltságdíj összege valahol 200 dollártól kezdődik, és eléri a több tíz- és százezer zöld papírdarabot.

Néhány évvel ezelőtt csak a Windows-alapú számítógépeket támadták meg az ilyen típusú rosszindulatú programok. Mára a választékuk a látszólag jól védett Linuxra, Macre és Androidra bővült. Ráadásul a titkosítók választéka folyamatosan növekszik – sorra jelennek meg az új termékek, amelyekkel meglepheti a világot. Így egy klasszikus titkosítású trójai és egy hálózati féreg „kereszteződése” miatt merült fel (egy rosszindulatú program, amely a felhasználók aktív részvétele nélkül terjed hálózatokon).

A WannaCry után nem kevésbé kifinomult Petya és Bad Rabbit jelent meg. És mivel a „titkosítási üzlet” jó bevételt hoz a tulajdonosoknak, biztos lehet benne, hogy nem ők az utolsók.

Egyre több kriptográfus, különösen az elmúlt 3-5 évben megjelent kriptográfus használ olyan erős kriptográfiai algoritmusokat, amelyeket sem nyers erővel, sem más létező eszközökkel nem lehet feltörni. Az adatok helyreállításának egyetlen módja az eredeti kulcs használata, amelyet a támadók felajánlanak. Azonban még a szükséges összeg átutalása sem garantálja a kulcs átvételét. A bűnözők nem sietnek felfedni titkaikat, és elvesztik a potenciális nyereséget. És mi értelme betartani az ígéreteiket, ha már megvan a pénz?

A titkosító vírusok terjesztési útvonalai

A rosszindulatú programok fő módja a magánfelhasználók és szervezetek számítógépére az e-mailek, pontosabban az e-mailekhez csatolt fájlok és hivatkozások.

Példa egy ilyen „vállalati ügyfeleknek” szánt levélre:

• – Azonnal fizesse vissza a hiteltartozását.
• – A keresetet benyújtották a bíróságon.
• „Fizetd be a bírságot/díjat/adót.”
• „Közüzemi díjak felár.”
• – Ó, te vagy a képen?
• „Lena megkért, hogy sürgősen adjam ezt neked” stb.

Egyetértek, csak egy hozzáértő felhasználó kezelné óvatosan egy ilyen levelet. A legtöbb ember habozás nélkül megnyitja a mellékletet és elindítja a rosszindulatú programot. Egyébként a vírusirtó kiáltásai ellenére.

A következőket is aktívan használják a zsarolóvírusok terjesztésére:

• Közösségi hálózatok (levélküldés barátok és idegenek fiókjaiból).
• Rosszindulatú és fertőzött webes források.
• Banner reklám.
• Levelezés üzenetküldőn keresztül feltört fiókokból.
• Vareznik kulcsgensek és repedések telephelyei és forgalmazói.
• Felnőtt oldalak.
• Alkalmazás- és tartalomboltok.

A vírusok titkosításának vezetői gyakran más rosszindulatú programok, különösen a reklámtüntetők és a hátsó ajtós trójaiak. Utóbbiak a rendszer és a szoftver sérülékenységeit felhasználva segítik a bűnözőt távolról hozzáférni a fertőzött eszközhöz. A titkosító elindítása ilyen esetekben nem mindig esik egybe időben a potenciálisan veszélyes felhasználói műveletekkel. Amíg a hátsó ajtó a rendszerben marad, a támadó bármikor behatolhat az eszközbe, és titkosítást kezdeményezhet.

A szervezetek számítógépeinek megfertőzésére (elvégre többet tudnak kinyerni belőlük, mint otthoni felhasználóktól) különösen kifinomult módszereket fejlesztenek ki. Például a Petya trójai a MEDoc adószámviteli program frissítési modulján keresztül hatolt be az eszközökbe.

A hálózati férgek funkcióival rendelkező titkosítók, amint már említettük, a protokoll-sérülékenységek révén a hálózatok között terjednek, beleértve az internetet is. És megfertőződhet velük anélkül, hogy bármit is tenne. A ritkán frissített Windows operációs rendszerek felhasználói vannak a legnagyobb veszélyben, mivel a frissítések bezárják az ismert kiskapukat.

Egyes rosszindulatú programok, mint például a WannaCry, kihasználják a 0 napos sebezhetőségeket, vagyis azokat, amelyekről a rendszerfejlesztők még nem tudnak. Sajnos így lehetetlen teljesen ellenállni a fertőzésnek, de annak a valószínűsége, hogy az áldozatok közé kerül, még az 1%-ot sem éri el. Miért? Igen, mert a rosszindulatú programok nem képesek egyszerre megfertőzni az összes sérülékeny gépet. És miközben új áldozatokat tervez, a rendszerfejlesztőknek sikerül kiadniuk egy életmentő frissítést.

Hogyan viselkedik a ransomware egy fertőzött számítógépen

A titkosítási folyamat általában észrevétlenül kezdődik, és amikor a jelei nyilvánvalóvá válnak, már késő az adatok mentése: addigra a kártevő mindent titkosított, amit elérhet. Néha a felhasználó észreveheti, hogy a megnyitott mappában lévő fájlok kiterjesztése megváltozott.

Egy új és néha egy második kiterjesztés indokolatlan megjelenése a fájlokon, amelyek után leállnak a megnyitásuk, egyértelműen jelzi a titkosító támadás következményeit. Mellesleg, a sérült objektumok által kapott kiterjesztéssel általában azonosítható a kártevő.

Példa arra, hogy mik lehetnek a titkosított fájlok kiterjesztései: xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn stb.

Rengeteg lehetőség van, és holnap újak jelennek meg, így nincs értelme mindent felsorolni. A fertőzés típusának meghatározásához elegendő több bővítményt táplálni a keresőmotorba.

Egyéb tünetek, amelyek közvetve jelzik a titkosítás kezdetét:

• A képernyőn a másodperc töredékére megjelennek a parancssori ablakok. Leggyakrabban ez normális jelenség rendszer- és programfrissítések telepítésekor, de jobb, ha nem hagyja felügyelet nélkül.
• Az UAC olyan program elindítását kéri, amelyet nem szándékozott megnyitni.
• A számítógép hirtelen újraindítása, majd a rendszerlemez-ellenőrző segédprogram működésének szimulálása (más változatok is lehetségesek). Az „ellenőrzés” során megtörténik a titkosítási folyamat.

A rosszindulatú művelet sikeres befejezése után egy üzenet jelenik meg a képernyőn váltságdíj követelésével és különféle fenyegetésekkel.

A Ransomware titkosítja a felhasználói fájlok jelentős részét: fényképeket, zenéket, videókat, szöveges dokumentumokat, archívumokat, leveleket, adatbázisokat, programkiterjesztésekkel rendelkező fájlokat stb. Azonban nem érintik meg az operációs rendszer objektumait, mert a támadóknak nincs szükségük a fertőzött számítógépre hagyja abba a munkát. Egyes vírusok lecserélik a lemezek és partíciók rendszerindító rekordjait.

A titkosítás után általában minden árnyékmásolat és helyreállítási pont törlődik a rendszerből.

Hogyan lehet megvédeni a számítógépet a zsarolóprogramoktól

A rosszindulatú programok eltávolítása a fertőzött rendszerről egyszerű – szinte minden víruskereső program nehézség nélkül kezeli a legtöbbjüket. De! Naivitás azt hinni, hogy a tettestől való megszabadulás megoldja a problémát: akár eltávolítja a vírust, akár nem, a fájlok továbbra is titkosítva maradnak. Ezenkívül bizonyos esetekben ez megnehezíti a későbbi visszafejtést, ha lehetséges.

Helyes eljárás a titkosítás indításakor

• Ha a titkosítás jeleit észleli, Azonnal kapcsolja ki a számítógépet a gomb lenyomásával és nyomva tartásávalKapcsolja be 3-4 másodpercig. Ezzel a fájlok legalább egy részét elmenti.
• Hozzon létre egy indítólemezt vagy flash meghajtót egy víruskereső programmal egy másik számítógépen. Például, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD stb.
• Indítsa el a fertőzött gépet erről a lemezről, és ellenőrizze a rendszert. Távolítsa el a talált vírusokat, és tartsa karanténban (ha szükséges lenne a visszafejtéshez). Csak ezután indíthatja számítógépét a merevlemezről.
• Próbálja meg visszaállítani a titkosított fájlokat árnyékmásolatokból rendszereszközök vagy harmadik fél segítségével.

Mi a teendő, ha a fájlok már titkosítva vannak

• Ne veszítse el a reményt. A víruskereső termékek fejlesztőinek webhelyei ingyenes visszafejtő segédprogramokat tartalmaznak különféle rosszindulatú programok számára. Különösen a közműveket AvastÉs Kaspersky Lab.
• A kódoló típusának meghatározása után töltse le a megfelelő segédprogramot, mindenképpen tedd meg másolatokat sérült fájlokés próbálja megfejteni őket. Ha sikerült, fejtse meg a többit.

Ha a fájlok nincsenek visszafejtve

Ha egyik segédprogram sem segít, akkor valószínűleg olyan vírusban szenvedett, amelyre még nincs gyógymód.

Mit tehet ebben az esetben:

• Ha fizetős víruskereső terméket használ, lépjen kapcsolatba a támogatási csapatával. Küldjön több másolatot a sérült fájlokról a laboratóriumba, és várja meg a választ. Ha technikailag lehetséges, segítenek.

Mellesleg Dr.Web azon kevés laboratóriumok egyike, amely nemcsak felhasználóinak, hanem minden érintettnek segít. Ezen az oldalon kérelmet küldhet a fájl visszafejtésére.

• Ha kiderül, hogy a fájlok reménytelenül megsérültek, de nagy értéket képviselnek az Ön számára, akkor csak reménykedhet és várhat, hogy egyszer megtalálják a mentőszert. A legjobb, amit tehet, ha a rendszert és a fájlokat úgy hagyja, ahogy van, azaz teljesen leállítja, és nem használja a merevlemezt. A rosszindulatú programok törlése, az operációs rendszer újratelepítése és akár frissítése is megfoszthatja Önt és ezt a lehetőséget, mivel a titkosítási/dekódolási kulcsok generálásakor gyakran egyedi rendszerazonosítókat és a vírus másolatait használják fel.

A váltságdíj kifizetése nem lehetséges, mivel annak valószínűsége, hogy megkapja a kulcsot, közel nulla. A bűnözői üzlet finanszírozásának pedig semmi értelme.

Hogyan védekezhet az ilyen típusú rosszindulatú programok ellen

Nem szeretném megismételni azt a tanácsot, amelyet az olvasók mindegyike több százszor hallott. Igen, fontos egy jó vírusirtó telepítése, nem a gyanús hivatkozásokra kattintás és a blablabla. Azonban, ahogy az élet megmutatta, ma már nem létezik olyan varázstabletta, amely 100%-os biztonságot adna.

Az ilyen típusú zsarolóvírusok elleni védekezés egyetlen hatékony módja az adatmentés más fizikai adathordozókra, beleértve a felhőszolgáltatásokat is. Biztonsági mentés, biztonsági mentés, biztonsági mentés...

A szokásos értelemben vett vírusok száma egyre kevesebb, ennek oka a jól működő ingyenes vírusirtó, amely védi a felhasználók számítógépét. Ugyanakkor nem mindenki törődik adatainak biztonságával, és nem csak rosszindulatú programokkal, hanem szabványos vírusokkal is megfertőződik, amelyek között továbbra is a trójai a leggyakoribb. Sokféleképpen megnyilvánulhat, de az egyik legveszélyesebb a fájltitkosítás. Ha egy vírus titkosított fájlokat tartalmaz a számítógépén, akkor nem garantált, hogy vissza tudja kapni az adatokat, de van néhány hatékony módszer, amelyeket az alábbiakban tárgyalunk.

Titkosító vírus: mi ez és hogyan működik

Az interneten több száz fajta vírust találhat, amelyek titkosítják a fájlokat. Tevékenységük egy következményhez vezet - a felhasználó számítógépen lévő adatai ismeretlen formátumot kapnak, amelyet nem lehet megnyitni szabványos programokkal. Íme néhány formátum, amelybe a számítógépen lévő adatok titkosíthatók a vírusok következtében: .locked, .xtbl, .kraken, .cbf, .oshit és még sok más. Egyes esetekben a vírus létrehozóinak e-mail címe közvetlenül a fájlkiterjesztésbe van írva.

A fájlokat titkosító leggyakoribb vírusok közé tartozik Trojan-Ransom.Win32.AuraÉs Trojan-Ransom.Win32.Rakhni. Sokféle formában vannak, és lehet, hogy a vírust nem is trójainak hívják (például CryptoLocker), de a működésük gyakorlatilag ugyanaz. A titkosító vírusok új verziói rendszeresen megjelennek, hogy megnehezítsék a víruskereső alkalmazások készítői számára az új formátumok kezelését.

Ha egy titkosító vírus behatolt a számítógépbe, az minden bizonnyal nemcsak a fájlok blokkolásával nyilvánul meg, hanem azzal is, hogy felajánlja a felhasználónak, hogy pénzdíj ellenében feloldja azokat. Megjelenhet egy szalaghirdetés a képernyőn, amely közli, hogy hol kell pénzt utalnia a fájlok zárolásának feloldásához. Ha egy ilyen szalagcím nem jelenik meg, akkor a legtöbb esetben a vírusfejlesztők „levelét” kell keresni, az ilyen fájl neve ReadMe.txt.

A vírus fejlesztőitől függően a fájlok visszafejtésének ára eltérő lehet. Ugyanakkor távolról sem tény, hogy amikor pénzt küld a vírus létrehozóinak, akkor visszaküldik a feloldó módszert. A legtöbb esetben a pénz „semmire” megy, és a számítógép-felhasználó nem kap visszafejtési módszert.

Ha egyszer egy vírus jelent meg a számítógépén, és egy kódot lát a képernyőn, amelyet el kell küldeni egy adott címre, hogy megkapja a visszafejtőt, ezt ne tegye. Először is másolja ezt a kódot egy papírra, mivel az újonnan létrehozott fájl is titkosított lehet. Ezt követően elrejtheti az információkat a vírus fejlesztői elől, és megpróbálhatja megtalálni az interneten a módját, hogy az adott esetben megszabaduljon a fájltitkosítótól. Az alábbiakban bemutatjuk azokat a főbb programokat, amelyek lehetővé teszik a vírus eltávolítását és a fájlok visszafejtését, de nem nevezhetők univerzálisnak, és a vírusirtó szoftverek készítői rendszeresen bővítik a megoldások listáját.

A fájltitkosító vírusok megszabadulása meglehetősen egyszerű a víruskereső programok ingyenes verzióival. 3 ingyenes program jól megbirkózik a fájltitkosító vírusokkal:

• Malwarebytes Antimalware;
• Dr.Web Cure It ;
• Kaspersky Internet Security.

A fent említett alkalmazások teljesen ingyenesek, vagy próbaverziójuk van. Javasoljuk a Dr.Web vagy a Kespersky megoldásának használatát, miután átvizsgálta a rendszert a Malwarebytes Antimalware programmal. Emlékeztetjük még egyszer, hogy 2 vagy több vírusirtó egyidejű telepítése a számítógépére nem ajánlott, ezért minden új megoldás telepítése előtt el kell távolítania az előzőt.

Ahogy fentebb megjegyeztük, ebben a helyzetben az ideális megoldás a problémára az lenne, ha olyan utasításokat választunk, amelyek lehetővé teszik, hogy konkrétan kezelje a problémát. Az ilyen utasításokat leggyakrabban a víruskereső fejlesztők webhelyein teszik közzé. Az alábbiakban bemutatunk néhány jelenlegi víruskereső segédprogramot, amelyek képesek megbirkózni a különféle típusú trójaikkal és más típusú titkosítókkal.

A fentiek csak egy kis része azoknak a víruskereső segédprogramoknak, amelyek lehetővé teszik a fertőzött fájlok visszafejtését. Érdemes megjegyezni, hogy ha egyszerűen megpróbálja visszaszerezni az adatokat, akkor éppen ellenkezőleg, örökre elveszik - ezt nem szabad megtennie.

Manapság a számítógép- és laptopfelhasználók egyre gyakrabban szembesülnek olyan rosszindulatú programokkal, amelyek a fájlokat titkosított másolatukra cserélik. Lényegében ezek vírusok. Az XTBL ransomware-t az egyik legveszélyesebbnek tartják ebben a sorozatban. Mi ez a kártevő, hogyan kerül be a felhasználó számítógépébe, és lehetséges-e visszaállítani a sérült információkat?

Mi az az XTBL ransomware, és hogyan kerül be a számítógépbe?

Ha hosszú névvel és .xtbl kiterjesztésű fájlokat talál számítógépén vagy laptopján, akkor magabiztosan kijelentheti, hogy veszélyes vírus lépett be a rendszerébe - egy XTBL ransomware.

Ez a Windows operációs rendszer összes verzióját érinti. Szinte lehetetlen önállóan visszafejteni az ilyen fájlokat, mivel a program hibrid módot használ, amelyben a kulcs kiválasztása egyszerűen lehetetlen.

A rendszerkönyvtárak tele vannak fertőzött fájlokkal. A Windows rendszerleíró adatbázisába bejegyzések kerülnek, amelyek automatikusan elindítják a vírust az operációs rendszer minden indításakor.

Szinte minden típusú fájl titkosítva van - grafikus, szöveges, archív, e-mail, videó, zene stb. Lehetetlenné válik a munka a Windows rendszerben.

Hogyan működik? A Windows rendszeren futó XTBL ransomware először minden logikai meghajtót megvizsgál. Ide tartozik a számítógépen elhelyezett felhő- és hálózati tárhely. Ennek eredményeként a fájlok kiterjesztések szerint csoportosítva, majd titkosítva lesznek. Így a felhasználó mappáiban található összes értékes információ elérhetetlenné válik.

Az XTBL ransomware hatására a fájl kiterjesztése megváltozik. A felhasználó most egy üres lap ikont és egy hosszú, .xtbl-re végződő címet lát kép vagy szöveg helyett a Wordben. Ezenkívül egy üzenet jelenik meg az asztalon, egyfajta utasítás a titkosított információk visszaállításához, és fizetni kell a feloldásért. Ez nem más, mint váltságdíjat követelő zsarolás.

Ez az üzenet a számítógép asztali ablakában jelenik meg.

Az XTBL ransomware-t általában e-mailben terjesztik. Az e-mail csatolt fájlokat vagy vírussal fertőzött dokumentumokat tartalmaz. A csaló egy színes címsorral vonzza a felhasználót. Mindent megtesznek annak érdekében, hogy az üzenet, amely azt mondja, hogy Ön például milliót nyert, nyitva legyen. Ne válaszoljon az ilyen üzenetekre, különben nagy a kockázata annak, hogy a vírus az operációs rendszerébe kerül.

Lehetséges-e visszaállítani az információkat?

Megpróbálhatja visszafejteni az információkat speciális segédprogramok segítségével. Azonban nincs garancia arra, hogy képes lesz megszabadulni a vírustól és helyreállítani a sérült fájlokat.

Jelenleg az XTBL ransomware tagadhatatlan veszélyt jelent minden Windows operációs rendszert futtató számítógépre. Még a vírusok elleni küzdelem elismert vezetőinek – a Dr.Webnek és a Kaspersky Labnak – sincs 100%-os megoldása erre a problémára.

Vírus eltávolítása és titkosított fájlok visszaállítása

Különféle módszerek és programok léteznek, amelyek lehetővé teszik az XTBL titkosítással való munkát. Egyesek magát a vírust távolítják el, mások megpróbálják visszafejteni a zárolt fájlokat vagy visszaállítani korábbi másolataikat.

A számítógépes fertőzés leállítása

Ha elég szerencséje van, és észreveszi, hogy az .xtbl kiterjesztésű fájlok megjelennek a számítógépén, akkor teljesen megszakíthatja a további fertőzés folyamatát.

Kaspersky Virus Removal Tool az XTBL ransomware eltávolításához

Az összes ilyen programot olyan operációs rendszerben kell megnyitni, amelyet korábban csökkentett módban indítottak el, hálózati illesztőprogramok betöltésének lehetőségével.

Ebben az esetben sokkal könnyebb eltávolítani a vírust, mivel a Windows indításához szükséges minimális számú rendszerfolyamat csatlakoztatva van.

A Windows XP, 7 csökkentett mód betöltéséhez a rendszer indításakor folyamatosan nyomja meg az F8 billentyűt, és a menüablak megjelenése után válassza ki a megfelelő elemet. Windows 8, 10 használatakor a Shift billentyű lenyomva tartása mellett indítsa újra az operációs rendszert. Az indítási folyamat során megnyílik egy ablak, ahol kiválaszthatja a szükséges biztonságos rendszerindítási lehetőséget.

A Kaspersky Virus Removal Tool program tökéletesen felismeri az XTBL ransomware-t, és eltávolítja az ilyen típusú vírusokat. A segédprogram letöltése után a megfelelő gombra kattintva futtassa a számítógép vizsgálatát. A vizsgálat befejezése után törölje a talált rosszindulatú fájlokat.

Számítógépes vizsgálat futtatása XTBL ransomware jelenlétére a Windows operációs rendszerben, majd a vírus eltávolítása

Dr.Web CureIt!

A vírus ellenőrzésének és eltávolításának algoritmusa gyakorlatilag nem különbözik az előző verziótól. A segédprogram segítségével ellenőrizze az összes logikai meghajtót. Ehhez csak a program indítása utáni parancsait kell követnie. A folyamat végén távolítsa el a fertőzött fájlokat a „Dekontaminálás” gombra kattintva.

Semlegesítse a rosszindulatú fájlokat a Windows ellenőrzése után

Malwarebytes Anti-malware

A program lépésről lépésre ellenőrzi a számítógépet a rosszindulatú kódok jelenlétére, és megsemmisíti azokat.

1. Telepítse és futtassa az Anti-malware segédprogramot.
2. Válassza a „Vizsgálat futtatása” lehetőséget a megnyíló ablak alján.
3. Várja meg, amíg a folyamat befejeződik, és jelölje be a fertőzött fájlokat tartalmazó jelölőnégyzeteket.
4. Törölje a kijelölést.

A vizsgálat során észlelt rosszindulatú XTBL ransomware fájlok eltávolítása

Online visszafejtő szkript a Dr.Webtől

A hivatalos Dr.Web webhely támogatási részében található egy lap az online fájlok visszafejtésére szolgáló szkripttel. Kérjük, vegye figyelembe, hogy csak azok a felhasználók használhatják a visszafejtőt online, akiknek számítógépükre telepítve van a fejlesztő víruskeresője.

Olvassa el az utasításokat, töltse ki a szükséges információkat, és kattintson a „Küldés” gombra

RectorDecryptor visszafejtő segédprogram a Kaspersky Lab-tól

A Kaspersky Lab a fájlokat is visszafejti. A hivatalos webhelyről letöltheti a RectorDecryptor.exe segédprogramot a Windows Vista, 7, 8 verzióihoz a „Támogatás - Fájlok fertőtlenítése és visszafejtése - RectorDecryptor - Hogyan lehet visszafejteni a fájlokat” menü hivatkozásait követve. Futtassa a programot, végezzen vizsgálatot, majd törölje a titkosított fájlokat a megfelelő opció kiválasztásával.

XTBL ransomware-rel fertőzött fájlok vizsgálata és visszafejtése

Titkosított fájlok visszaállítása biztonsági másolatból

A Windows 7-től kezdve megpróbálhatja visszaállítani a fájlokat a biztonsági másolatokból.

ShadowExplorer a titkosított fájlok helyreállításához

A program hordozható verzió, bármilyen adathordozóról letölthető.

QPhotoRec

A program kifejezetten a sérült és törölt fájlok helyreállítására készült. A beépített algoritmusok segítségével a segédprogram megtalálja és visszaállítja az összes elveszett információt az eredeti állapotába.

A QPhotoRec ingyenes.

Sajnos a QPhotoRec-nek csak angol nyelvű változata van, de a beállítások megértése egyáltalán nem nehéz, a felület intuitív.

1. Indítsa el a programot.
2. Jelölje meg a logikai meghajtókat titkosított információkkal.
3. Kattintson a Fájlformátumok gombra, majd az OK gombra.
4. A megnyíló ablak alján található Tallózás gombbal válassza ki a fájlok mentési helyét, és indítsa el a helyreállítási eljárást a Keresés gombra kattintva.

A QPhotoRec helyreállítja az XTBL ransomware által törölt és saját másolataival helyettesített fájlokat

Hogyan lehet visszafejteni a fájlokat - videó

Mit ne tegyen

1. Soha ne tegyen olyan műveleteket, amelyekben nem vagy teljesen biztos. Jobb, ha meghív egy szakembert a szervizközpontból, vagy maga viszi oda a számítógépet.
2. Ne nyissa meg az ismeretlen feladóktól származó e-mail üzeneteket.
3. Semmilyen körülmények között ne kövesse a zsarolók példáját azzal, hogy vállalja, hogy pénzt utal át nekik. Ez nagy valószínűséggel semmilyen eredményt nem hoz.
4. Ne nevezze át kézzel a titkosított fájlok kiterjesztését, és ne rohanjon a Windows újratelepítésével. Lehetséges olyan megoldást találni, amely javítja a helyzetet.

Megelőzés

Próbáljon megbízható védelmet telepíteni az XTBL ransomware és hasonló ransomware vírusok számítógépére való behatolása ellen.

• Ilyen programok a következők:
• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;

CryptoPrevent.

Annak ellenére, hogy mindegyik angol nyelvű, az ilyen segédprogramokkal való munka meglehetősen egyszerű. Indítsa el a programot, és válassza ki a védelmi szintet a beállításokban.

A program indítása és a védelmi szint kiválasztása

Ha találkozott egy ransomware vírussal, amely titkosítja a fájlokat a számítógépén, akkor természetesen nem kell azonnal kétségbe esnie. Próbálja meg a javasolt módszereket használni a sérült információk helyreállítására. Ez gyakran pozitív eredményt ad. Ne használjon ismeretlen fejlesztőktől származó ellenőrizetlen programokat az XTBL ransomware eltávolítására. Hiszen ez csak ronthat a helyzeten. Ha lehetséges, telepítse a számítógépére az egyik programot, amely megakadályozza a vírus futását, és rendszeresen ellenőrizze a Windows rendszert a rosszindulatú folyamatok keresésére.

Küzdelem az új vírusfenyegetések ellen – ransomware

Ebben a témában elmondjuk, hogyan küldhet vissza vírus által titkosított adatokat, ehhez két dekódolót fogunk használni, a Kaspersky és a Doctor Web vírusirtóból, ezek a titkosított információk visszaküldésének leghatékonyabb módjai.

1. Töltse le a fájlok visszafejtésére szolgáló segédprogramokat a következő hivatkozásokról: Kaspersky és Dr.WEB

Vagy dekódolók egy bizonyos típusú titkosított fájlokhoz, amelyek .

2. Először is megpróbáljuk visszafejteni a fájlokat a Kaspersky programjával:

2.1. Indítsa el a Kaspersky decryptor programot, ha valamilyen műveletet kér, például engedélyt az indításra, elindítjuk, ha frissítést kér, frissítjük, ez növeli a titkosított adatok visszaküldésének esélyét

2.2. A fájlok visszafejtéséhez megjelenő programablakban több gombot látunk. Adja meg a speciális beállításokat, és indítsa el a szkennelést.

2.3. Ha szükséges, válasszon további opciókat, és adja meg, hogy a titkosított fájlokat hol keresse, és ha szükséges, törölje a visszafejtés után.

2.4. Elindítjuk a vizsgálatot, és megvárjuk a vírus által titkosított adataink visszafejtését.

3. Ha az első módszer nem működött. Próbáljuk meg visszafejteni a fájlokat a Dr. WEB

3.1. Miután letöltötte a visszafejtő alkalmazást, helyezze azt például a "C:" meghajtó gyökérkönyvtárába., így a "te102decrypt.exe" fájlnak elérhetőnek kell lennie a "c:\te102decrypt.exe" címen.

3.2. Jelenleg lépjen a parancssorba(Start-Search-Idézőjelek nélkül írja be a „CMD”-t – futtassa az Enter megnyomásával)

3.3. A fájlok visszafejtésének megkezdéséhez írja ki a "c:\te102decrypt.exe -k 86 -e (titkosító kód)" parancsot. A ransomware kód a fájl végéhez hozzáadott kiterjesztés, például " [e-mail védett] _45jhj" - írja idézőjelek és zárójelek nélkül, szóközt figyelve. Valami ilyesmit kell kapnia: c:\te102decrypt.exe -k 86 -e [e-mail védett] _45jhj

3.4. Nyomja meg az Enter billentyűt, és várja meg, amíg a fájlok visszafejtésre kerülnek amelyek titkosítva lettek, esetenként több másolat is létrejön a visszafejtett fájlokból, ezeket megpróbálod futtatni, elmented a visszafejtett fájl rendesen megnyíló másolatát, a többi törölhető.

Más fájl dekódolók letöltése:

Figyelem: mindenképpen mentse a titkosított fájlok másolatát egy külső meghajtóra vagy egy másik számítógépre. Az alábbiakban bemutatott dekódolók nem dekódolhatják a fájlokat, csak megrongálhatják azokat!

A legjobb, ha a visszafejtőt virtuális gépen vagy egy speciálisan előkészített számítógépen futtatja, miután először letöltött rájuk több fájlt.

Az alább bemutatott dekódolók a következőképpen működnek: Például a fájlok titkosítva vannak az amba titkosítóval, és a fájlok így néznek ki: „Agreement.doc.amba” vagy „Account.xls.amba”, majd töltse le az amba fájlok visszafejtőjét, és csak futtassa, az összes fájlt megtalálja ezt a kiterjesztést és visszafejteni, de ismétlem, védje meg magát, és először készítsen másolatot a titkosított fájlokról, különben örökre elveszítheti hibásan visszafejtett adatait!

Ha nem szeretne kockáztatni, küldjön nekünk több fájlt, miután a visszajelzési űrlap segítségével felvette velünk a kapcsolatot, elindítjuk a visszafejtőt egy speciálisan erre a célra előkészített, az internettől elszigetelt számítógépen.

A bemutatott fájlokat a Kaspersky antivirus legújabb verziójával és a legújabb adatbázis-frissítésekkel ellenőriztük.

Ha egy szöveges üzenet jelenik meg a számítógépén, amely szerint a fájlok titkosítva vannak, ne essen pánikba. Milyen tünetei vannak a fájltitkosításnak? A szokásos kiterjesztés *.vault, *.xtbl, * [e-mail védett] _XO101 stb. A fájlok nem nyithatók meg - kulcs szükséges, amelyet az üzenetben megadott címre küldött levélben vásárolhat meg.

Honnan szerezted a titkosított fájlokat?

A számítógép elkapott egy vírust, amely blokkolta az információkhoz való hozzáférést. A víruskereső programok gyakran hiányoznak ezekről, mert a program általában valamilyen ártalmatlan, ingyenes titkosító segédprogramon alapul. Magát a vírust elég gyorsan eltávolítja, de komoly problémák adódhatnak az információ visszafejtésével.

A Kaspersky Lab, a Dr.Web és más ismert, vírusirtó szoftvereket fejlesztő cégek technikai támogatása, válaszul a felhasználóknak az adatok visszafejtésére irányuló kérésére, arról számolt be, hogy ezt nem lehet elfogadható időn belül megtenni. Több program is képes felvenni a kódot, de ezek csak a korábban vizsgált vírusokkal működnek. Ha új módosítással találkozik, akkor az információhoz való hozzáférés visszaállításának esélye rendkívül alacsony.

Hogyan kerül egy ransomware vírus a számítógépre?

Az esetek 90%-ában a felhasználók maguk aktiválják a vírust a számítógépükön, ismeretlen betűket nyit. Ezután üzenetet küldenek az e-mailre provokatív témával - „Idézés”, „Kölcsöntartozás”, „Adóhivatal értesítése” stb. A hamis levél belsejében van egy melléklet, amelynek letöltése után a zsarolóprogram a számítógépre kerül, és fokozatosan blokkolja a hozzáférést a fájlokhoz.

A titkosítás nem történik meg azonnal, így a felhasználóknak van idejük eltávolítani a vírust az összes információ titkosítása előtt. Egy rosszindulatú szkriptet megsemmisíthet a Dr.Web CureIt, a Kaspersky Internet Security és a Malwarebytes Antimalware tisztító segédprogramokkal.

Fájl-helyreállítási módszerek

Ha a rendszervédelem be van kapcsolva a számítógépen, akkor még egy zsarolóvírus hatása után is megvan a lehetőség, hogy a fájlok árnyékmásolatai segítségével visszaállítsák a fájlokat normál állapotukba. A Ransomware rendszerint megpróbálja eltávolítani őket, de néha nem sikerül a rendszergazdai jogok hiánya miatt.

Egy korábbi verzió visszaállítása:

A korábbi verziók mentéséhez engedélyeznie kell a rendszervédelmet.

Fontos: a rendszervédelmet engedélyezni kell a ransomware megjelenése előtt, ezután már nem segít.

1. Nyissa meg a Számítógép tulajdonságai.
2. A bal oldali menüben válassza a Rendszervédelem lehetőséget.
   
3. Válassza ki a C meghajtót, és kattintson a "Konfigurálás" gombra.
4. Válassza a beállítások és a fájlok korábbi verzióinak visszaállítását. Alkalmazza a módosításokat az „OK” gombra kattintva.

Ha ezeket a lépéseket a fájltitkosító vírus megjelenése előtt tette meg, akkor miután megtisztította számítógépét a rosszindulatú kódoktól, jó eséllyel vissza tudja állítani adatait.

Speciális segédprogramok használata

A Kaspersky Lab számos segédprogramot készített a titkosított fájlok megnyitásához a vírus eltávolítása után. Az első dekódoló, amelyet érdemes kipróbálni, a Kaspersky RectorDecryptor.

1. Töltse le a programot a Kaspersky Lab hivatalos webhelyéről.
2. Ezután futtassa a segédprogramot, és kattintson a „Vizsgálat indítása” gombra. Adja meg bármely titkosított fájl elérési útját.

Ha a rosszindulatú program nem változtatta meg a fájlok kiterjesztését, akkor a visszafejtéshez külön mappába kell gyűjtenie őket. Ha a segédprogram a RectorDecryptor, töltsön le még két programot a Kaspersky hivatalos webhelyéről: a XoristDecryptor és a RakhniDecryptor.

A Kaspersky Lab legújabb segédprogramja a Ransomware Decryptor. Segít a fájlok visszafejtésében a CoinVault vírus után, amely még nem túl elterjedt a RuNeten, de hamarosan más trójaiakat válthat fel.