„Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.

Astăzi vom vorbi despre ce este malware-ul ransomware care s-a răspândit în ultimii ani, ce să faceți dacă este infectat, cum să vă vindecați computerul și dacă este chiar posibil și cum să vă protejați de ele.

Criptăm totul!

Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.

În urmă cu câțiva ani, numai computerele bazate pe Windows au fost atacate de această clasă de malware. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

După WannaCry, au apărut Petya și Bad Rabbit, nu mai puțin sofisticați. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.

Din ce în ce mai mulți criptori, în special cei care au fost lansati în ultimii 3-5 ani, folosesc algoritmi criptografici puternici care nu pot fi sparți nici prin forța brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală, pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?

Căile de distribuție a virușilor de criptare

Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este e-mailul sau, mai precis, fișierele și linkurile atașate la e-mailuri.

Un exemplu de astfel de scrisoare destinată „clienților corporativi”:

• „Rambursează-ți imediat datoria de împrumut.”
• „Cererea a fost depusă în instanță”.
• „Plătește amenda/taxa/taxa.”
• „Taxă suplimentară pentru facturile de utilități.”
• „Oh, tu ești în fotografie?”
• „Lena mi-a cerut să-ți dau asta urgent” etc.

De acord, doar un utilizator informat ar trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.

Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:

• Rețele sociale (e-mailuri din conturile prietenilor și străinilor).
• Resurse web rău intenționate și infectate.
• Banner publicitar.
• Trimitere prin mesagerie din conturi piratate.
• Site-uri Vareznik și distribuitori de keygen și crack-uri.
• Site-uri pentru adulți.
• Magazine de aplicații și conținut.

Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilități din sistem și software, ajută criminalul să obțină acces de la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde oricând dispozitivul și poate iniția criptarea.

Pentru a infecta computerele organizațiilor (la urma urmei, din ele se poate extrage mai mult decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.

Criptatorii cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows care sunt rar actualizate sunt expuși celui mai mare risc, deoarece actualizările închid lacune cunoscute.

Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare salvatoare.

Cum se comportă ransomware-ul pe un computer infectat

Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, un utilizator poate observa că extensia fișierelor dintr-un folder deschis s-a schimbat.

Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, prin extensia pe care o primesc obiectele deteriorate, de obicei este posibil să se identifice malware-ul.

Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.

Alte simptome care indică indirect începutul criptării:

• Ferestrele din linia de comandă apar pe ecran pentru o fracțiune de secundă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
• UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
• O repornire bruscă a computerului urmată de simularea funcționării utilitarului de verificare a discului de sistem (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.

După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

Ransomware-ul criptează o parte semnificativă a fișierelor utilizatorului: fotografii, muzică, videoclipuri, documente text, arhive, e-mail, baze de date, fișiere cu extensii de program etc. Cu toate acestea, nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a încetează să lucreze.muncă. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.

După criptare, toate copiile umbre și punctele de recuperare sunt de obicei șterse din sistem.

Cum să vindeci un computer de ransomware

Eliminarea programelor malware dintr-un sistem infectat este ușoară — aproape toate programele antivirus le pot gestiona fără dificultate pe majoritatea acestora. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

Procedura corectă la pornirea criptării

• Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
• Creați un disc de pornire sau o unitate flash cu un program antivirus pe alt computer. De exemplu, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD etc.
• Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
• Încercați să recuperați fișierele criptate din copii umbra utilizând instrumente de sistem sau utilizând o terță parte.

Ce trebuie să faceți dacă fișierele sunt deja criptate

• Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru diferite tipuri de malware. În special, utilități din AvastȘi Kaspersky Lab.
• După ce ați determinat tipul de codificator, descărcați utilitarul corespunzător, cu siguranță fă-o copii fișiere deteriorateși încearcă să le descifrezi. Dacă reușiți, descifrați restul.

Dacă fișierele nu sunt decriptate

Dacă niciunul dintre utilitare nu ajută, este posibil să fi suferit de un virus pentru care nu există încă un tratament.

Ce poți face în acest caz:

• Dacă utilizați un produs antivirus plătit, contactați echipa de asistență a acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. Dacă este posibil din punct de vedere tehnic, ei vă vor ajuta.

Apropo, Dr.Web este unul dintre puținele laboratoare care îi ajută nu doar pe utilizatorii săi, ci pe toți cei afectați. Puteți trimite o solicitare de decriptare a fișierului pe această pagină.

• Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică să închideți complet și să nu utilizați hard diskul. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece la generarea cheilor de criptare/decriptare se folosesc adesea identificatori unici de sistem și copii ale virusului.

Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.

Cum să te protejezi de acest tip de malware

Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, este important să instalați un antivirus bun, să nu faceți clic pe linkuri suspecte și blablabla. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.

Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este copia de rezerva a datelor către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...

Numărul de viruși în sensul lor obișnuit devine din ce în ce mai mic, iar motivul pentru aceasta este antivirusurile gratuite care funcționează bine și protejează computerele utilizatorilor. În același timp, nu tuturor le pasă de securitatea datelor lor și riscă să se infecteze nu numai cu malware, ci și cu viruși standard, printre care cei mai des întâlniți continuă să fie troianul. Se poate manifesta în multe feluri, dar una dintre cele mai periculoase este criptarea fișierelor. Dacă un virus are fișiere criptate pe computer, nu este garantat că veți putea recupera datele, dar există câteva metode eficiente și vor fi discutate mai jos.

Virusul de criptare: ce este și cum funcționează

Pe Internet puteți găsi sute de varietăți de viruși care criptează fișierele. Acțiunile lor duc la o consecință - datele utilizatorului de pe computer primesc un format necunoscut care nu poate fi deschis folosind programe standard. Iată doar câteva dintre formatele în care datele de pe un computer pot fi criptate ca urmare a virușilor: .locked, .xtbl, .kraken, .cbf, .oshit și multe altele. În unele cazuri, adresa de e-mail a creatorilor de viruși este scrisă direct în extensia fișierului.

Printre cei mai obișnuiți viruși care criptează fișierele sunt Trojan-Ransom.Win32.AuraȘi Troian-Ransom.Win32.Rakhni. Ele vin în multe forme, iar virusul poate nici măcar să nu poată fi numit troian (de exemplu, CryptoLocker), dar acțiunile lor sunt practic aceleași. Noi versiuni de viruși de criptare sunt lansate în mod regulat pentru a face mai dificil pentru creatorii de aplicații antivirus să se ocupe de noile formate.

Dacă un virus de criptare a pătruns într-un computer, cu siguranță se va manifesta nu numai prin blocarea fișierelor, ci și oferind utilizatorului să le deblocheze contra unei taxe bănești. Pe ecran poate apărea un banner care vă spune unde trebuie să transferați bani pentru a debloca fișierele. Când un astfel de banner nu apare, ar trebui să căutați o „scrisoare” de la dezvoltatorii de viruși pe desktop; în cele mai multe cazuri, un astfel de fișier se numește ReadMe.txt.

În funcție de dezvoltatorii virusului, prețurile pentru decriptarea fișierelor pot varia. În același timp, este departe de a fi un fapt că atunci când trimiți bani creatorilor virusului, aceștia vor trimite înapoi o metodă de deblocare. În cele mai multe cazuri, banii nu ajung „nicăieri”, iar utilizatorul computerului nu primește o metodă de decriptare.

Odată ce un virus a apărut pe computer și vedeți un cod pe ecran care trebuie trimis la o anumită adresă pentru a primi un decriptor, nu ar trebui să faceți acest lucru. În primul rând, copiați acest cod pe o bucată de hârtie, deoarece fișierul nou creat poate fi și criptat. După aceasta, puteți ascunde informații de la dezvoltatorii virusului și puteți încerca să găsiți pe Internet o modalitate de a scăpa de criptorul de fișiere în cazul dvs. Mai jos vă prezentăm principalele programe care vă permit să eliminați un virus și să decriptați fișierele, dar nu pot fi numite universale, iar creatorii de software antivirus extind în mod regulat lista de soluții.

A scăpa de un virus de criptare a fișierelor este destul de simplă folosind versiuni gratuite de programe antivirus. 3 programe gratuite fac față bine virușilor de criptare a fișierelor:

• Malwarebytes Antimalware;
• Dr.Web Cure It;
• Kaspersky Internet Security.

Aplicațiile menționate mai sus sunt complet gratuite sau au versiuni de încercare. Vă recomandăm să utilizați o soluție de la Dr.Web sau Kespersky după ce vă scanați sistemul cu Malwarebytes Antimalware. Permiteți-ne să vă reamintim încă o dată că instalarea a 2 sau mai multe antivirusuri pe computer nu este recomandată în același timp, așa că înainte de a instala fiecare soluție nouă, trebuie să o eliminați pe cea anterioară.

După cum am menționat mai sus, soluția ideală la problema în această situație ar fi să selectați instrucțiuni care vă permit să vă ocupați în mod specific de problema dvs. Astfel de instrucțiuni sunt cel mai adesea postate pe site-urile web ale dezvoltatorilor de antivirus. Vă prezentăm mai jos câteva utilitare antivirus actuale care pot face față diferitelor tipuri de troieni și alte tipuri de criptoare.

Cele de mai sus sunt doar o mică parte din utilitatile antivirus care vă permit să decriptați fișierele infectate. Este demn de remarcat faptul că, dacă încercați pur și simplu să recuperați datele, acestea vor fi, dimpotrivă, pierdute pentru totdeauna - nu ar trebui să faceți acest lucru.

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copii criptate ale acestora. În esență, aceștia sunt viruși. Ransomware-ul XTBL este considerat unul dintre cele mai periculoase din această serie. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se restabilească informațiile deteriorate?

Ce este ransomware-ul XTBL și cum intră acesta în computer?

Dacă găsiți fișiere pe computer sau laptop cu un nume lung și extensia .xtbl, atunci puteți spune cu încredere că un virus periculos a intrat în sistemul dvs. - un ransomware XTBL. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid în care selectarea unei chei este pur și simplu imposibilă.

Directoarele de sistem sunt pline cu fișiere infectate. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Un ransomware XTBL care rulează pe Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situată pe un computer. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase aflate în folderele utilizatorului devin inaccesibile.

Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare

Sub influența ransomware-ului XTBL, extensia fișierului se modifică. Acum utilizatorul vede o pictogramă foaie goală și un titlu lung care se termină în .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru restaurarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj pentru a cere răscumpărare.

Acest mesaj apare în fereastra de desktop a computerului dvs.

Ransomware-ul XTBL este de obicei distribuit prin e-mail. E-mailul conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru a se asigura că mesajul, care spune că tu, de exemplu, ai câștigat un milion, este deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca virusul să ajungă în sistemul de operare.

Este posibil să recuperați informații?

Puteți încerca să decriptați informațiile folosind utilitare speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea restaura fișierele deteriorate.

În prezent, ransomware-ul XTBL reprezintă o amenințare incontestabilă pentru toate computerele care rulează sistemul de operare Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Există diferite metode și programe care vă permit să lucrați cu criptarea XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Oprirea unei infecții la computer

Dacă aveți norocul să observați că fișierele cu extensia .xtbl încep să apară pe computer, atunci este foarte posibil să întrerupeți procesul de infecție ulterioară.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui să fie deschise într-un sistem de operare care a fost lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows este conectat.

Pentru a încărca modul sigur în Window XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, ar trebui să reporniți sistemul de operare în timp ce apăsați tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.

Selectarea modului sigur cu încărcarea driverelor de rețea

Programul Kaspersky Virus Removal Tool recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după descărcarea utilitarului. Odată ce scanarea este finalizată, ștergeți toate fișierele rău intenționate găsite.

Rularea unei scanări a computerului pentru prezența ransomware-ului XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru verificarea și eliminarea unui virus nu este practic diferit de versiunea anterioară. Utilizați utilitarul pentru a scana toate unitățile logice. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Decontaminare”.

Neutralizați fișierele rău intenționate după scanarea Windows

Malwarebytes Anti-malware

Programul va efectua o verificare pas cu pas a computerului pentru prezența codurilor rău intenționate și le va distruge.

1. Instalați și rulați utilitarul Anti-malware.
2. Selectați „Run scan” în partea de jos a ferestrei care se deschide.
3. Așteptați finalizarea procesului și bifați casetele cu fișiere infectate.
4. Ștergeți selecția.

Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Script de decriptare online de la Dr.Web

Pe site-ul oficial Dr.Web în secțiunea de asistență există o filă cu un script pentru decriptarea fișierelor online. Vă rugăm să rețineți că numai acei utilizatori care au un antivirus de la acest dezvoltator instalat pe computerele lor vor putea folosi decriptorul online.

Citiți instrucțiunile, completați tot ce este necesar și faceți clic pe butonul „Trimite”.

Utilitar de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial puteți descărca utilitarul RectorDecryptor.exe pentru versiunile de Windows Vista, 7, 8 urmând linkurile de meniu „Suport - Dezinfectare și decriptare fișiere - RectorDecryptor - Cum să decriptați fișierele”. Rulați programul, efectuați o scanare și apoi ștergeți fișierele criptate selectând opțiunea corespunzătoare.

Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.

ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.

QPhotoRec

Programul este creat special pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și readuce toate informațiile pierdute la starea inițială.

QPhotoRec este gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar înțelegerea setărilor nu este deloc dificilă, interfața este intuitivă.

1. Lansa programul.
2. Marcați unitățile logice cu informații criptate.
3. Faceți clic pe butonul Formate de fișiere și OK.
4. Folosind butonul Răsfoire situat în partea de jos a ferestrei deschise, selectați locația pentru a salva fișierele și începeți procedura de recuperare făcând clic pe Căutare.

QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

1. Nu faceți niciodată acțiuni de care nu sunteți complet sigur. Este mai bine să invitați un specialist de la centrul de service sau să duceți singur computerul acolo.
2. Nu deschideți mesaje de e-mail de la expeditori necunoscuți.
3. În niciun caz nu trebuie să urmați exemplul șantajatorilor acceptând să le transferați bani. Cel mai probabil, acest lucru nu va da niciun rezultat.
4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Este posibil să găsiți o soluție care să corecteze situația.

Prevenirea

Încercați să instalați o protecție fiabilă împotriva pătrunderii ransomware-ului XTBL și a virușilor ransomware similari pe computer. Astfel de programe includ:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

În ciuda faptului că toate sunt în limba engleză, lucrul cu astfel de utilități este destul de simplu. Lansați programul și selectați nivelul de protecție din setări.

Lansarea programului și selectarea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele sugerate pentru restaurarea informațiilor deteriorate. Adesea, acest lucru dă un rezultat pozitiv. Nu utilizați programe neverificate de la dezvoltatori necunoscuți pentru a elimina XTBL ransomware. La urma urmei, acest lucru nu poate decât să înrăutățească situația. Dacă este posibil, instalați pe computer unul dintre programele care împiedică rularea virusului și efectuați scanări regulate de rutină ale Windows pentru procese rău intenționate.

Combaterea noilor amenințări viruși - ransomware

Am scris recent despre faptul că pe Internet se răspândesc noi amenințări - viruși ransomware sau, mai pe larg, viruși de criptare a fișierelor; puteți citi despre ele mai detaliat pe site-ul nostru, la acest link.

În acest subiect vă vom spune cum puteți returna datele criptate de un virus; pentru aceasta vom folosi două decriptoare, de la antivirusurile Kaspersky și Doctor Web, acestea sunt cele mai eficiente metode de returnare a informațiilor criptate.

1. Descărcați utilitare pentru decriptarea fișierelor din linkurile: Kaspersky și Dr.WEB

Sau decriptoare pentru un anumit tip de fișiere criptate care sunt .

2. În primul rând, vom încerca să decriptăm fișierele folosind un program de la Kaspersky:

2.1. Lansați programul de decriptare Kaspersky, dacă cere niște acțiuni, de exemplu permisiunea de lansare, îl lansăm, dacă cere actualizarea, îl actualizăm, acest lucru va crește șansele de a returna date criptate

2.2. În fereastra programului care apare pentru decriptarea fișierelor, vedem mai multe butoane. Configurați setările avansate și începeți scanarea.

2.3. Dacă este necesar, selectați opțiuni suplimentare și indicați unde să căutați fișierele criptate și, dacă este necesar, ștergeți după decriptare.Nu recomand să alegeți această opțiune, fișierele nu sunt întotdeauna decriptate corect!

2.4. Lansăm scanarea și așteptăm ca datele noastre criptate cu viruși să fie decriptate.

3. Dacă prima metodă nu a funcționat. Să încercăm să decriptăm fișierele folosind un program de la Dr. WEB

3.1. După ce ați descărcat aplicația de decriptare, puneți-o, de exemplu, în rădăcina unității „C:”., așa că fișierul „te102decrypt.exe” ar trebui să fie disponibil la „c:\te102decrypt.exe”

3.2. Acum accesați linia de comandă(Start-Căutare-Type „CMD” fără ghilimele-rulați apăsând Enter)

3.3. Pentru a începe decriptarea fișierelor scrieți comanda „c:\te102decrypt.exe -k 86 -e (cod de criptare)”. Codul ransomware este o extensie adăugată la sfârșitul fișierului, de exemplu " [email protected] _45jhj" - scrieți fără ghilimele și paranteze, observând spațiile. Ar trebui să obțineți ceva de genul c:\te102decrypt.exe -k 86 -e [email protected] _45jhj

3.4. Apăsați Enter și așteptați ca fișierele să fie decriptate care au fost criptate, în unele cazuri sunt create mai multe copii ale fișierelor decriptate, încercați să le rulați, salvați copia fișierului decriptat care se deschide normal, restul se poate șterge.

Descărcați alte decriptoare de fișiere:

Atenţie: asigurați-vă că salvați o copie a fișierelor criptate pe o unitate externă sau pe alt computer. Decriptoarele prezentate mai jos pot să nu decripteze fișierele, ci doar să le corupă!

Cel mai bine este să rulați decriptorul pe o mașină virtuală sau pe un computer special pregătit, după ce ați descărcat mai întâi mai multe fișiere pe ele.

Decriptoarele prezentate mai jos funcționează după cum urmează: De exemplu, fișierele dvs. sunt criptate cu amba encryptor și fișierele arată ca „Agreement.doc.amba” sau „Account.xls.amba”, apoi descărcați decriptorul pentru fișierele amba și rulați-l, va găsi toate fișierele cu această extensie și decriptați-o, dar repet, protejați-vă și mai întâi faceți o copie a fișierelor criptate, altfel puteți pierde pentru totdeauna datele decriptate incorect!

Dacă nu doriți să vă asumați riscuri, atunci trimiteți-ne mai multe fișiere, după ce ne-ați contactat folosind formularul de feedback, vom lansa decriptorul pe un computer special pregătit, izolat de Internet.

Fișierele prezentate au fost verificate cu cea mai recentă versiune de Kaspersky antivirus și cu cele mai recente actualizări ale bazei de date.

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe un computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după efectul unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc acest lucru din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după curățarea computerului de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.