「ご迷惑をおかけして申し訳ありませんが...あなたのファイルは暗号化されています。 復号化キーを取得するには、一定額の金額をウォレットに緊急に送金してください。そうしないと、データが永久に破壊されてしまいます。 残り時間は 3 時間ですが、時間が過ぎてしまいました。」 そして、それは冗談ではありません。 暗号化ウイルスは単なる脅威ではありません。

今日は、近年蔓延しているランサムウェアとは何なのか、感染した場合の対処法、コンピュータを修復する方法とその可能性、そしてランサムウェアから身を守る方法についてお話します。

すべてを暗号化します!

ランサムウェア ウイルス (エンクリプター、クリプター) は、ユーザーのファイルを暗号化し、復号ツールに対する身代金を要求する特別な種類の悪意のあるランサムウェアです。 身代金の額は200ドルから始まり、数万枚、数十万枚の緑色の紙に達します。

数年前、このクラスのマルウェアによる攻撃を受けたのは Windows ベースのコンピューターだけでした。 現在、その範囲は、一見十分に保護されているように見える Linux、Mac、Android にまで拡大しています。 さらに、暗号化装置の種類は増え続けており、世界を驚かせる新製品が次々と登場しています。 したがって、このウイルスは、古典的な暗号化トロイの木馬とネットワーク ワーム (ユーザーの積極的な参加なしにネットワーク全体に拡散する悪意のあるプログラム) が「交差」することによって発生しました。

WannaCry の後、同様に洗練された Petya と Bad Rabbit が登場しました。 そして、「暗号化ビジネス」は所有者に良い収入をもたらすので、彼らが最後ではないことを確信できます。

ますます多くの暗号化プログラム、特にここ 3 ～ 5 年でリリースされた暗号化プログラムでは、ブルート フォースやその他の既存の手段では解読できない強力な暗号アルゴリズムが使用されています。 データを回復する唯一の方法は、攻撃者が購入を申し出た元のキーを使用することです。 ただし、必要な金額を送金しても、キーの受け取りが保証されるわけではありません。 犯罪者は急いで秘密を暴露し、潜在的な利益を失うことはありません。 そして、すでにお金があるのに約束を守ることに何の意味があるのでしょうか？

暗号化ウイルスの配布経路

マルウェアが個人ユーザーや組織のコンピュータに侵入する主な経路は電子メール、より正確には電子メールに添付されたファイルとリンクです。

「法人顧客」を対象としたこのようなレターの例:

• 「ローンの借金をすぐに返済してください。」
• 「申し立ては裁判所に提出されました。」
• 「罰金/手数料/税金を支払ってください。」
• 「公共料金の追加料金がかかります。」
• 「ああ、写真に写っているのはあなたですか？」
• 「レナからこれを急いで渡してほしいと頼まれました」など。

同意します。このような手紙を慎重に扱うのは知識のあるユーザーだけです。 ほとんどの人は、ためらうことなく添付ファイルを開いて、悪意のあるプログラムを自分で起動します。 ちなみに、ウイルス対策ソフトの叫びにもかかわらず。

以下もランサムウェアの配布に積極的に使用されています。

• ソーシャル ネットワーク (友人や見知らぬ人のアカウントからのメール)。
• 悪意のある感染した Web リソース。
• バナー広告。
• ハッキングされたアカウントからメッセンジャー経由でメールが送信される。
• Vareznik のサイトと keygen とクラックの配布者。
• アダルトサイト。
• アプリケーションおよびコンテンツ ストア。

暗号化ウイルスは、他の悪意のあるプログラム、特に広告デモンストレーターやバックドア型トロイの木馬によって運ばれることがよくあります。 後者は、システムとソフトウェアの脆弱性を利用して、犯罪者が感染したデバイスにリモート アクセスできるようにします。 このような場合の暗号化プログラムの起動は、潜在的に危険なユーザーのアクションと常に一致するとは限りません。 バックドアがシステム内に残っている限り、攻撃者はいつでもデバイスに侵入して暗号化を開始できます。

組織のコンピューターを感染させるため (結局のところ、家庭ユーザーからより多くの情報を抽出できるため)、特に高度な手法が開発されています。 たとえば、Petya トロイの木馬は、MEDoc 税務会計プログラムの更新モジュールを通じてデバイスに侵入しました。

ネットワーク ワームの機能を持つ暗号化プログラムは、すでに述べたように、プロトコルの脆弱性を通じてインターネットを含むネットワーク全体に拡散します。 そして、何もしなくても感染する可能性があります。 めったに更新されない Windows オペレーティング システムのユーザーは、更新によって既知の抜け穴が塞がれるため、最大のリスクにさらされます。

WannaCry などの一部のマルウェアは、ゼロデイ脆弱性、つまりシステム開発者がまだ気づいていない脆弱性を悪用します。 残念ながら、この方法で感染に完全に抵抗することは不可能ですが、あなたが犠牲者になる可能性は 1% にも達しません。 なぜ？ はい、マルウェアはすべての脆弱なマシンに一度に感染することはできないためです。 そして、新たな犠牲者を計画している間に、システム開発者は命を救うアップデートをリリースすることに成功しました。

感染したコンピュータ上でランサムウェアがどのように動作するか

暗号化プロセスは通常、気づかれずに開始され、その兆候が明らかになった時点ではデータを保存するには手遅れです。その時までに、マルウェアは到達可能なすべてのものを暗号化しています。 開いているフォルダー内のファイルの拡張子が変更されていることにユーザーが気づく場合があります。

ファイルに新しい、場合によっては 2 番目の拡張子が不当に表示され、その後ファイルが開かなくなるということは、暗号化攻撃の影響を確実に示しています。 ちなみに、通常は、被害を受けたオブジェクトが受け取る拡張子によってマルウェアを特定することが可能です。

暗号化されたファイルの拡張子の例は次のとおりです。 xtbl、.kraken、.cesar、.da_vinci_code、.codercsu@gmail_com、.crypted000007、.no_more_ransom、.decoder GlobeImposter v2、.ukrain、.rn など。

オプションはたくさんあり、明日には新しいオプションが登場するので、すべてをリストするのは意味がありません。 感染の種類を判断するには、検索エンジンにいくつかの拡張機能をフィードするだけで十分です。

暗号化の開始を間接的に示すその他の症状:

• コマンド ライン ウィンドウが画面に一瞬表示されます。 ほとんどの場合、これはシステムやプログラムのアップデートをインストールするときの正常な現象ですが、放置しない方がよいでしょう。
• UAC は、ユーザーが開くつもりのなかったプログラムの起動を要求します。
• コンピュータが突然再起動され、その後システム ディスク チェック ユーティリティの動作がシミュレートされます (他のバリエーションも可能です)。 「検証」中に暗号化プロセスが発生します。

悪意のある操作が正常に完了すると、身代金の要求とさまざまな脅威を示すメッセージが画面に表示されます。

ランサムウェアは、写真、音楽、ビデオ、テキスト文書、アーカイブ、メール、データベース、プログラム拡張子の付いたファイルなど、ユーザー ファイルの大部分を暗号化します。ただし、攻撃者は感染したコンピュータに暗号化を行う必要がないため、オペレーティング システム オブジェクトには影響しません。仕事をやめて、仕事をしてください。 一部のウイルスは、ディスクやパーティションのブート レコードを置き換えます。

暗号化後は、通常、すべてのシャドウ コピーと回復ポイントがシステムから削除されます。

ランサムウェアからコンピュータを修復する方法

感染したシステムからマルウェアを削除するのは簡単です。ほとんどすべてのウイルス対策プログラムは、ほとんどのマルウェアを問題なく処理できます。 しかし！ 犯人を排除すれば問題が解決すると考えるのは単純です。ウイルスを削除しても削除しなくても、ファイルは暗号化されたままになります。 さらに、場合によっては、可能であれば、その後の復号化が複雑になります。

暗号化を開始するときの正しい手順

• 暗号化の兆候に気付いたら、 ボタンを押したままにして、すぐにコンピューターの電源を切ります。3～4秒間電源を入れます。 これにより、少なくとも一部のファイルが保存されます。
• 別のコンピュータ上にウイルス対策プログラムを含むブート ディスクまたはフラッシュ ドライブを作成します。 例えば、 カスペルスキー レスキュー ディスク 18、 DrWebライブディスク ESET NOD32 LiveCD等
• このディスクから感染したマシンを起動し、システムをスキャンします。 見つかったウイルスをすべて削除し、隔離して保管します (復号化に必要な場合に備えて)。 その後だけ ハードドライブからコンピュータを起動できます.
• システム ツールまたはサードパーティの を使用して、シャドウ コピーから暗号化されたファイルを回復してみてください。

ファイルがすでに暗号化されている場合の対処方法

• 希望を失わないでください。 ウイルス対策製品開発者の Web サイトには、さまざまな種類のマルウェア用の無料の復号化ユーティリティが含まれています。 特に、からのユーティリティ アバストそして カスペルスキー研究所。
• エンコーダのタイプを決定したら、適切なユーティリティをダウンロードします。 絶対にそうする コピー 破損したファイルそしてそれらを解読してみてください。 成功したら残りを解読します。

ファイルが復号化されていない場合

どのユーティリティも役に立たない場合は、まだ治療法のないウイルスに感染している可能性があります。

この場合にできることは次のとおりです。

• 有料のウイルス対策製品を使用している場合は、そのサポート チームにお問い合わせください。 破損したファイルのコピーをいくつか研究室に送信し、応答を待ちます。 技術的に可能であれば、サポートしてくれるでしょう。

ところで、 ドクターウェブは、ユーザーだけでなく影響を受けるすべての人々を支援する数少ない研究所の 1 つです。 このページでファイルを復号化するリクエストを送信できます。

• ファイルが絶望的に​​破損していることが判明したが、それらがあなたにとって非常に価値がある場合は、いつか救済策が見つかることを期待して待つことしかできません。 最善の策は、システムとファイルをそのままにしておく、つまり完全にシャットダウンしてハードドライブを使用しないことです。 マルウェア ファイルの削除、オペレーティング システムの再インストール、さらにはアップデートを行うと、機能が失われる可能性があります。 そしてこのチャンス暗号化/復号化キーを生成するときに、一意のシステム識別子とウイルスのコピーがよく使用されるためです。

キーを受け取る可能性はゼロに近いため、身代金を支払うという選択肢はありません。 そして、犯罪ビジネスに資金を提供することに意味はありません。

この種のマルウェアから身を守る方法

読者の皆さんが何百回も聞いてきたアドバイスを繰り返したくはありません。 はい、適切なウイルス対策をインストールし、疑わしいリンクやブラブラブラをクリックしないことが重要です。 しかし、これまでの人生が示しているように、100% の安全を保証する魔法の薬は今日存在しません。

この種のランサムウェアから保護する唯一の効果的な方法は、 データバックアップクラウド サービスを含む他の物理メディアへ。 バックアップ、バックアップ、バックアップ...

通常の意味でのウイルスの数はますます少なくなり、その理由は、適切に機能してユーザーのコンピュータを保護する無料のウイルス対策ソフトのおかげです。 同時に、誰もが自分のデータのセキュリティを気にしているわけではなく、マルウェアだけでなく標準的なウイルスにも感染する危険性があり、その中で最も一般的なのは引き続きトロイの木馬です。 これはさまざまな形で現れる可能性がありますが、最も危険なものの 1 つはファイルの暗号化です。 ウイルスによってコンピュータ上のファイルが暗号化された場合、データを取り戻せるという保証はありませんが、いくつかの効果的な方法があり、それについては以下で説明します。

暗号化ウイルス: その正体と仕組み

インターネット上では、ファイルを暗号化する何百もの種類のウイルスが見つかります。 彼らの行動は 1 つの結果をもたらします。それは、コンピュータ上のユーザーのデータが、標準のプログラムでは開けない未知の形式を受信するということです。 ここでは、ウイルスの影響でコンピュータ上のデータが暗号化される可能性のある形式の一部を示します: .locked、.xtbl、.kraken、.cbf、.oshit など。 場合によっては、ウイルス作成者の電子メール アドレスがファイル拡張子に直接書き込まれます。

ファイルを暗号化する最も一般的なウイルスには次のようなものがあります。 Trojan-Ransom.Win32.Auraそして Trojan-Ransom.Win32.Rakhni。 ウイルスにはさまざまな形式があり、トロイの木馬 (CryptoLocker など) とさえ呼ばれない場合もありますが、その動作は実質的に同じです。 暗号化ウイルスの新しいバージョンは定期的にリリースされ、ウイルス対策アプリケーションの作成者が新しい形式に対処するのがより困難になります。

暗号化ウイルスがコンピュータに侵入した場合、ファイルをブロックするだけでなく、金銭を支払ってファイルのロックを解除することをユーザーに提案するという形で確実に現れます。 ファイルのロックを解除するにはどこに送金する必要があるかを示すバナーが画面に表示される場合があります。 このようなバナーが表示されない場合は、デスクトップ上でウイルス開発者からの「手紙」を探す必要があります。ほとんどの場合、そのようなファイルは ReadMe.txt と呼ばれます。

ウイルスの開発者によっては、ファイル復号化の料金が異なる場合があります。 同時に、ウイルスの作成者にお金を送れば、ロック解除方法が送り返されるということも事実ではありません。 ほとんどの場合、お金は「どこにも」行きませんし、コンピュータのユーザーは復号化方法を受け取りません。

コンピュータにウイルスが感染し、復号化プログラムを受け取るために特定のアドレスに送信する必要があるコードが画面に表示された場合は、これを実行しないでください。 まず、新しく作成されたファイルも暗号化されている可能性があるため、このコードを紙にコピーします。 この後、ウイルスの開発者から情報を隠し、特定のケースに応じてファイル暗号化プログラムを削除する方法をインターネット上で見つけることができます。 以下に、ウイルスの除去とファイルの復号化を可能にする主なプログラムを紹介しますが、それらは万能とは言えず、ウイルス対策ソフトウェアの作成者は定期的にソリューションのリストを拡張しています。

ファイル暗号化ウイルスを駆除するのは、無料バージョンのウイルス対策プログラムを使用するのが非常に簡単です。 ファイル暗号化ウイルスにうまく対処できる 3 つの無料プログラム:

• Malwarebytes マルウェア対策。
• Dr.Web キュア・イット ;
• カスペルスキー インターネット セキュリティ。

上記のアプリは完全に無料、または試用版があります。 Malwarebytes Antimalware でシステムをスキャンした後、Dr.Web または Kespersky のソリューションを使用することをお勧めします。 コンピューターに 2 つ以上のウイルス対策ソフトウェアを同時にインストールすることはお勧めできません。そのため、新しいソリューションをインストールする前に、以前のウイルス対策ソフトウェアを削除する必要があります。

上で述べたように、この状況における問題の理想的な解決策は、問題に具体的に対処できる指示を選択することです。 このような手順は、ほとんどの場合、ウイルス対策開発者の Web サイトに掲載されています。 以下に、さまざまな種類のトロイの木馬やその他の種類の暗号化プログラムに対処できる最新のウイルス対策ユーティリティをいくつか紹介します。

上記は、感染したファイルを復号化できるウイルス対策ユーティリティのほんの一部にすぎません。 データを単に戻そうとすると、逆にデータが永久に失われることに注意してください。これは行わないでください。

今日、コンピューターやラップトップのユーザーは、ファイルをその暗号化されたコピーに置き換えるマルウェアに直面することが増えています。 本質的に、これらはウイルスです。 XTBL ランサムウェアは、このシリーズの中で最も危険なものの 1 つであると考えられています。 この害虫は何ですか? どのようにしてユーザーのコンピュータに侵入するのでしょうか? 損傷した情報を復元することは可能ですか?

XTBL ランサムウェアとは何ですか? どのようにしてコンピュータに侵入しますか?

コンピューターまたはラップトップ上で長い名前と拡張子 .xtbl を持つファイルが見つかった場合は、危険なウイルス、つまり XTBL ランサムウェアがシステムに侵入したと自信を持って言えます。 Windows OS のすべてのバージョンに影響します。 プログラムはキーの選択がまったく不可能なハイブリッド モードを使用しているため、このようなファイルを自分で復号化することはほとんど不可能です。

システム ディレクトリは感染したファイルでいっぱいです。 OS が起動するたびにウイルスを自動的に起動するエントリが Windows レジストリに追加されます。

グラフィック、テキスト、アーカイブ、電子メール、ビデオ、音楽など、ほぼすべての種類のファイルが暗号化されます。Windows での作業は不可能になります。

どのように機能するのでしょうか? Windows 上で実行される XTBL ランサムウェアは、最初にすべての論理ドライブをスキャンします。 これには、コンピュータ上にあるクラウド ストレージやネットワーク ストレージが含まれます。 その結果、ファイルは拡張子ごとにグループ化され、暗号化されます。 したがって、ユーザーのフォルダーにあるすべての貴重な情報にアクセスできなくなります。

これは、おなじみのファイル名のアイコンの代わりにユーザーに表示される画像です。

XTBL ランサムウェアの影響により、ファイル拡張子が変更されます。 Word では、画像やテキストの代わりに、空白のシートのアイコンと .xtbl で終わる長いタイトルが表示されます。 さらに、デスクトップに、暗号化された情報を復元するための指示のようなメッセージが表示され、ロックを解除するために料金を支払うよう求められます。 これは身代金を要求する脅迫にほかなりません。

このメッセージはコンピュータのデスクトップ ウィンドウに表示されます。

XTBL ランサムウェアは通常、電子メールを介して配布されます。 メールにウイルスに感染したファイルや文書が添付されています。 詐欺師はカラフルな見出しでユーザーを惹きつけます。 たとえば、100 万を獲得したというメッセージが確実にオープンになるように、あらゆることが行われます。 このようなメッセージには応答しないでください。応答しないと、ウイルスが OS に侵入する危険性が高くなります。

情報を復元することは可能ですか?

特別なユーティリティを使用して情報の復号化を試みることができます。ただし、ウイルスを駆除し、破損したファイルを復元できるという保証はありません。

現在、XTBL ランサムウェアは、Windows OS を実行しているすべてのコンピュータに否定できない脅威をもたらしています。 ウイルスとの戦いで定評のあるリーダーである Dr.Web や Kaspersky Lab でさえ、この問題に対する 100% の解決策を持っていません。

ウイルスの駆除と暗号化されたファイルの復元

XTBL 暗号化を使用できるようにするさまざまな方法とプログラムがあります。ウイルス自体を削除するものもあれば、ロックされたファイルを復号化するか、以前のコピーを復元しようとするものもあります。

コンピューターの感染を阻止する

幸運にも、.xtbl 拡張子を持つファイルがコンピュータ上に表示され始めていることに気付いた場合は、さらなる感染のプロセスを中断する可能性が十分にあります。

XTBL ランサムウェアを削除する Kaspersky ウイルス削除ツール

このようなプログラムはすべて、ネットワーク ドライバーを読み込むオプションを備えたセーフ モードで事前に起動された OS で開く必要があります。 この場合、Windows の起動に必要な最小限のシステム プロセスが接続されるため、ウイルスの削除がはるかに簡単になります。

システム起動中に Windows XP 7 でセーフ モードをロードするには、F8 キーを押し続け、メニュー ウィンドウが表示された後、適切な項目を選択します。 Windows 8、10をお使いの場合は、Shiftキーを押しながらOSを再起動してください。 起動プロセス中に、必要なセキュア ブート オプションを選択できるウィンドウが開きます。

ネットワークドライバーをロードしてセーフモードを選択する

Kaspersky Virus Removal Tool プログラムは、XTBL ランサムウェアを完全に認識し、このタイプのウイルスを削除します。 ユーティリティをダウンロードした後、適切なボタンをクリックしてコンピュータ スキャンを実行します。 スキャンが完了したら、見つかった悪意のあるファイルを削除します。

Windows OS に XTBL ランサムウェアが存在するかどうかのコンピュータ スキャンを実行し、ウイルスを削除します。

Dr.Web CureIt!

ウイルスのチェックと削除のアルゴリズムは、以前のバージョンとほとんど変わりません。このユーティリティを使用して、すべての論理ドライブをスキャンします。 これを行うには、プログラムの起動後にプログラムのコマンドに従うだけです。 プロセスの最後に、「除染」ボタンをクリックして感染ファイルを削除します。

Windowsをスキャンした後に悪意のあるファイルを無効化します

Malwarebytes マルウェア対策

このプログラムは、コンピュータに悪意のあるコードが存在するかどうかを段階的にチェックし、それらを破壊します。

1. マルウェア対策ユーティリティをインストールして実行します。
2. 開いたウィンドウの下部にある「スキャンの実行」を選択します。
3. プロセスが完了するまで待ち、感染したファイルのチェックボックスをオンにします。
4. 選択範囲を削除します。

スキャン中に検出された悪意のある XTBL ランサムウェア ファイルの削除

Dr.Web のオンライン復号スクリプト

Dr.Web の公式 Web サイトのサポートセクションには、オンラインファイル復号化用のスクリプトを含むタブがあります。 この開発者のウイルス対策ソフトウェアをコンピュータにインストールしているユーザーのみがオンラインで復号化プログラムを使用できることに注意してください。

説明を読み、必要事項をすべて記入して「送信」ボタンをクリックしてください

Kaspersky Lab の RectorDecryptor 復号化ユーティリティ

Kaspersky Lab はファイルの復号化も行います。公式 Web サイトで、メニュー リンク「サポート - ファイルの駆除と復号化 - RectorDecryptor - ファイルの復号化方法」に従って、Windows Vista、7、8 のバージョン用の RectorDecryptor.exe ユーティリティをダウンロードできます。 プログラムを実行し、スキャンを実行し、適切なオプションを選択して暗号化されたファイルを削除します。

XTBL ランサムウェアに感染したファイルのスキャンと復号化

暗号化されたファイルをバックアップから復元する

Windows 7 以降では、バックアップからファイルを復元できるようになりました。

暗号化されたファイルを回復するためのShadowExplorer

このプログラムはポータブル版であり、あらゆるメディアからダウンロードできます。

Qフォトレック

このプログラムは、破損したファイルや削除されたファイルを回復するために特別に作成されました。このユーティリティは、組み込みのアルゴリズムを使用して、失われた情報をすべて見つけて元の状態に戻します。

QPhotoRecは無料です。

残念ながら、QPhotoRec は英語版しかありませんが、設定を理解することはまったく難しくなく、インターフェイスは直感的です。

1. プログラムを起動します。
2. 論理ドライブに暗号化された情報をマークします。
3. 「ファイル形式」ボタンをクリックして「OK」をクリックします。
4. 開いたウィンドウの下部にある「参照」ボタンを使用して、ファイルを保存する場所を選択し、「検索」をクリックして回復手順を開始します。

QPhotoRec は、XTBL ランサムウェアによって削除され、独自のコピーに置き換えられたファイルを回復します

ファイルを復号化する方法 - ビデオ

してはいけないこと

1. 完全に確信が持てない行動は決して取らないでください。サービスセンターの専門家を招待するか、自分でコンピューターを持ち込むことをお勧めします。
2. 不明な送信者からの電子メール メッセージを開かないでください。
3. いかなる状況であっても、脅迫者の指示に従い、脅迫者に送金することに同意してはなりません。 これではおそらく結果は得られません。
4. 暗号化されたファイルの拡張子の名前を手動で変更したり、急いで Windows を再インストールしたりしないでください。 状況を修正する解決策を見つけることができるかもしれません。

防止

XTBL ランサムウェアおよび類似のランサムウェア ウイルスのコンピュータへの侵入に対する信頼性の高い保護をインストールするようにしてください。 そのようなプログラムには次のようなものがあります。

• Malwarebytes アンチランサムウェア。
• BitDefender アンチランサムウェア。
• WinAntiRansom;
• クリプトプリベント。

これらはすべて英語であるという事実にもかかわらず、このようなユーティリティの操作は非常に簡単です。 プログラムを起動し、設定で保護レベルを選択します。

プログラムの起動と保護レベルの選択

コンピューター上のファイルを暗号化するランサムウェア ウイルスに遭遇した場合でも、もちろん、すぐに絶望する必要はありません。 破損した情報を復元するために推奨された方法を試してください。 多くの場合、これにより良い結果が得られます。 XTBL ランサムウェアを削除するために、不明な開発者による未検証のプログラムを使用しないでください。 結局のところ、これは状況を悪化させるだけです。 可能であれば、ウイルスの実行を防ぐプログラムの 1 つを PC にインストールし、悪意のあるプロセスがないか Windows を定期的にスキャンしてください。

新たなウイルスの脅威 - ランサムウェアとの戦い

私たちは最近、ランサムウェア ウイルス、またはより広範にはファイル暗号化ウイルスなど、新たな脅威がインターネット上で蔓延しているという事実について書きました。それらについての詳細は、このリンクにある当社の Web サイトで読むことができます。

このトピックでは、ウイルスによって暗号化されたデータを返す方法について説明します。このために、Kaspersky および Doctor Web アンチウイルスの 2 つの復号ツールを使用します。これらは、暗号化された情報を返すための最も効果的な方法です。

1. リンクからファイルを復号化するためのユーティリティをダウンロードします: Kaspersky および Dr.WEB

または、特定の種類の暗号化されたファイルの復号化ツール。

2. まず、Kaspersky のプログラムを使用してファイルの復号化を試みます。

2.1. Kaspersky 復号化プログラムを起動する、起動の許可などのアクションを要求された場合は起動し、更新を要求された場合は更新します。これにより、暗号化されたデータが返される可能性が高くなります。

2.2. ファイルを復号化するために表示されるプログラム ウィンドウには、いくつかのボタンが表示されます。 詳細設定を構成し、スキャンを開始します。

2.3. 必要に応じて、追加のオプションを選択し、暗号化されたファイルを検索する場所を指定し、必要に応じて復号化後に削除します。ファイルが常に正しく復号化されるとは限らないため、このオプションを選択することはお勧めしません。

2.4. スキャンを開始し、ウイルスで暗号化されたデータが復号化されるのを待ちます。

3. 最初の方法が機能しなかった場合。 博士のプログラムを使用してファイルを復号化してみましょう。 ウェブ

3.1. 復号化アプリケーションをダウンロードしたら、たとえば「C:」ドライブのルートに置きます。したがって、ファイル「te102decrypt.exe」は「c:\te102decrypt.exe」にあるはずです。

3.2. 今 コマンドラインに移動します(スタート - 検索 - 引用符なしで「CMD」と入力 - Enter キーを押して実行)

3.3. ファイルの復号化を開始するには コマンド「c:\te102decrypt.exe -k 86 -e (暗号化コード)」を書き込みます。。 ランサムウェア コードは、ファイルの末尾に追加される拡張子です。例: [メールで保護されています] _45jhj" - 引用符や括弧を使用せず、スペースに注意して記述します。 c:\te102decrypt.exe -k 86 -e のような結果が得られます。 [メールで保護されています] _45jhj

3.4. Enter キーを押して、ファイルが復号化されるまで待ちます場合によっては、復号化されたファイルのコピーが複数作成される場合があります。それらを実行して、正常に開く復号化されたファイルのコピーを保存すると、残りは削除できます。

他のファイル復号ツールをダウンロードします。

注意：必ず暗号化されたファイルのコピーを外部ドライブまたは別の PC に保存してください。 以下に示す復号化ツールはファイルを復号化せず、ファイルを破損するだけである可能性があります。

最初にいくつかのファイルをダウンロードした後、仮想マシンまたは特別に準備されたコンピュータ上で復号化ツールを実行するのが最善です。

以下に示す復号化プログラムは次のように動作します。たとえば、ファイルが amba 暗号化ツールで暗号化されており、そのファイルが「Agreement.doc.amba」または「Account.xls.amba」のようになっている場合、amba ファイルの復号化ツールをダウンロードして実行するだけで、次のようなファイルがすべて検索されます。この拡張機能を使用して復号化しますが、繰り返しますが、まず自分自身を保護してください。 暗号化されたファイルのコピーを作成する、そうしないと、誤って復号化されたデータが永久に失われる可能性があります。

リスクを負いたくない場合は、フィードバック フォームを使用して当社にご連絡いただいた後、いくつかのファイルを当社に送信してください。当社は、インターネットから隔離された特別に用意されたコンピュータ上で復号ツールを起動します。

提示されたファイルは、Kaspersky アンチウイルスの最新バージョンと最新のデータベース更新でチェックされました。

ファイルが暗号化されていることを知らせるテキスト メッセージがコンピュータに表示されても、慌てる必要はありません。 ファイル暗号化の症状は何ですか? 通常の拡張子は *.vault、*.xtbl、* に変更されます。 [メールで保護されています] _XO101など ファイルを開くことができません。キーが必要です。キーは、メッセージで指定されたアドレスに手紙を送信することで購入できます。

暗号化されたファイルをどこから入手しましたか?

コンピュータがウイルスに感染し、情報へのアクセスがブロックされました。 ウイルス対策プログラムは通常、無害な無料の暗号化ユーティリティに基づいているため、これらを見逃すことがよくあります。 ウイルス自体はすぐに削除できますが、情報の復号化で重大な問題が発生する可能性があります。

Kaspersky Lab、Dr.Web、およびウイルス対策ソフトウェアを開発しているその他の有名企業の技術サポートは、データの復号化を求めるユーザーの要求に応じて、許容可能な時間内に復号化を行うことは不可能であると報告しています。 コードを取得できるプログラムはいくつかありますが、それらは以前に研究されたウイルスに対してのみ機能します。 新たな変更があった場合、情報へのアクセスを復元できる可能性は非常に低くなります。

ランサムウェア ウイルスはどのようにしてコンピュータに侵入するのでしょうか?

90% のケースでは、ユーザー自身が自分のコンピュータ上でウイルスをアクティブ化します。、未知の手紙を開きます。 その後、「召喚状」、「ローンの負債」、「税務署からの通知」などの挑発的な件名が付いたメッセージが電子メールに送信されます。 偽の手紙の中には添付ファイルがあり、ダウンロード後、ランサムウェアがコンピュータに侵入し、ファイルへのアクセスを徐々にブロックし始めます。

暗号化は即座には行われないため、ユーザーはすべての情報が暗号化される前にウイルスを削除する時間があります。 悪意のあるスクリプトは、クリーニング ユーティリティの Dr.Web CureIt、Kaspersky Internet Security、Malwarebytes Antimalware を使用して破壊できます。

ファイルの回復方法

コンピュータでシステム保護が有効になっている場合は、ランサムウェア ウイルスの影響を受けた後でも、ファイルのシャドウ コピーを使用してファイルを通常の状態に戻す可能性があります。 ランサムウェアは通常、それらを削除しようとしますが、管理者権限がないために削除に失敗する場合があります。

以前のバージョンの復元:

以前のバージョンを保存するには、システム保護を有効にする必要があります。

重要: ランサムウェアが出現する前にシステム保護を有効にする必要があります。有効にすると、ランサムウェアは役に立たなくなります。

1. コンピューターのプロパティを開きます。
2. 左側のメニューから「システムの保護」を選択します。
   
3. ドライブCを選択し、「構成」をクリックします。
4. 設定とファイルの以前のバージョンを復元することを選択します。 「OK」をクリックして変更を適用します。

ファイル暗号化ウイルスが出現する前にこれらの手順を実行していれば、コンピュータから悪意のあるコードを駆除した後、情報を回復できる可能性が高くなります。

特別なユーティリティを使用する

Kaspersky Lab は、ウイルスを除去した後に暗号化されたファイルを開くのに役立ついくつかのユーティリティを用意しました。 最初に試す必要がある復号化ツールは、Kaspersky RectorDecryptor です。

1. Kaspersky Lab の公式 Web サイトからプログラムをダウンロードします。
2. 次に、ユーティリティを実行し、「スキャンの開始」をクリックします。 暗号化されたファイルへのパスを指定します。

悪意のあるプログラムがファイルの拡張子を変更していない場合、ファイルを復号化するには、ファイルを別のフォルダーに収集する必要があります。 ユーティリティが RectorDecryptor の場合は、カスペルスキーの公式 Web サイトからさらに 2 つのプログラム、XoristDecryptor と RakhniDecryptor をダウンロードします。

Kaspersky Lab の最新ユーティリティは、Ransomware Decryptor と呼ばれます。 CoinVault ウイルスはまだ RuNet 上ではあまり広まっていませんが、間もなく他のトロイの木馬に取って代わられる可能性があります。