Новости

Як розшифрувати файли з дозволом xtbl і відновити інформацію

  1. Причина проблеми: вірус xtbl
  2. Як працює вірус xtbl
  3. Чому не варто платити здирникам
  4. Як захистити систему від вірусу
  5. Чи можливо відновити зашифровану інформацію
  6. Відновлюємо зашифровані файли
  7. Якщо шифрування завершилося
  8. Dr.Web
  9. Касперський
  10. інші сервіси
  11. Програми-дешифратори
  12. Як розшифрувати файли за допомогою лабораторії Касперського - відео
  13. Відновлення видалених файлів
  14. ShadowExplorer
  15. PhotoRec
  16. видалення вірусу
  17. Kaspersky Virus Removal Tool
  18. Malwarebytes Anti-malware
  19. Чого робити не слід

Зазвичай робота шкідливих програм спрямована на отримання контролю над комп'ютером, включення його в зомбі-мережа або розкрадання особистих даних. Неуважний користувач може довго не помічати, що система заражена. Але віруси-шифрувальники, зокрема xtbl, працюють зовсім інакше. Вони роблять непридатними для користувача файли, шифруючи їх складним алгоритмом і вимагаючи від власника великої суми за можливість відновити інформацію.

Причина проблеми: вірус xtbl

Вірус-шифрувальник xtbl отримав свою назву через те, що зашифровані їм призначені для користувача документи отримують розширення .xtbl. Зазвичай кодировщики залишають в тілі файлу ключ для того, щоб універсальна програма-дешифратор могла відновити інформацію в початковому вигляді. Однак вірус призначений для інших цілей, тому замість ключа на екрані з'являється пропозиція заплатити деяку суму за анонімними реквізитами.

Як працює вірус xtbl

Вірус потрапляє на комп'ютер за допомогою розсилаються по електронній пошті листів з зараженими вкладеннями, що представляють собою файли офісних додатків. Після того як користувач відкрив вміст повідомлення, шкідлива програма починає пошук фотографій, ключів, відео, документів і так далі, а потім за допомогою оригінального складного алгоритму (гібридне шифрування) перетворює їх в xtbl-сховища.

Для зберігання своїх файлів вірус використовує системні папки.

Вірус вносить себе в список автозавантаження. Для цього він додає записи в реєстрі Windows в розділах:

  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Заражений комп'ютер працює стабільно, система не «падає», але в оперативній пам'яті постійно знаходиться невеликий додаток (або два) з незрозумілою назвою. А папки з робочими файлами користувача набувають дивний вигляд.

А папки з робочими файлами користувача набувають дивний вигляд

Файли, зашифровані вірусом xtbl, змінюють свої назви

На робочому столі замість заставки з'являється повідомлення:

Ваші файли були зашифровані. Щоб розшифрувати їх, вам необхідно відправити код на електронну адресу: [email protected] (далі йде код). Після цього ви отримаєте подальші інструкції. Самостійні спроби розшифрувати файли приведуть до їх повного знищення.

Самостійні спроби розшифрувати файли приведуть до їх повного знищення

Вірус xtbl неможливо не помітити: зовнішній вигляд змінюють не тільки призначені для користувача файли, але і заставка на робочий стіл

Той же текст міститься в створеному файлі How to decrypt your files.txt. Адреса електронної пошти, код, запитувана сума можуть змінюватися.

Досить часто одні шахраї заробляють на інших - в тіло вірусу вставляється номер електронного гаманця здирників, які не мають ніякої можливості розшифрувати файли. Так що довірливий користувач, відправивши гроші, нічого не отримує натомість.

Чому не варто платити здирникам

Погоджуватися на співпрацю з вимагачами не можна не тільки через моральних принципів. Це нерозумно і з практичної точки зору.

  1. Шахрайство. Не факт, що зловмисники зможуть розшифровувати ваші файли. Чи не є доказом і повернена вам одна з нібито розшифрованих фотографій - це може бути просто вкрадений до шифрування оригінал. Заплачені гроші підуть без користі.
  2. Можливість повтору. Підтвердивши свою готовність платити, ви станете більш бажаною здобиччю для повторної атаки. Можливо, наступного разу ваші файли будуть мати інше розширення, а на заставці з'явиться інше повідомлення, але гроші відправляться тим же людям.
  3. Конфіденційність. Поки файли хоч і зашифровані, але знаходяться на вашому комп'ютері. Домовившись з «чесними злочинцями», ви будете змушені відправити їм всю свою особисту інформацію. Алгоритм не передбачає отримання ключа і самостійну розшифровку, тільки пересилання файлів декодувальнику.
  4. Зараження комп'ютера. Ваш комп'ютер все ще заражений, тому розшифровка файлів не є повним вирішенням проблеми.

Як захистити систему від вірусу

Універсальні правила захисту від шкідливих програм і мінімізації збитку допоможуть і в цьому випадку.

  1. Остерігатися випадкових зв'язків. Не потрібно відкривати листи, що надійшли від відправників, включаючи рекламу і бонусні пропозиції. В крайньому випадку можна їх прочитати, попередньо зберігши вкладення на диску і перевіривши його антивірусом.
  2. Користуватися захистом. Антивірусні програми постійно поповнюють бібліотеки шкідливих кодів, тому актуальна версія захисника не пропустить більшість вірусів на комп'ютер.
  3. Розподіляти доступ. Вірус завдасть значно більшої шкоди, якщо проникне через обліковий запис адміністратора. Краще працювати від імені користувача, тим самим різко звужуючи можливості зараження.
  4. Створювати резервні копії. Важливу інформацію необхідно регулярно копіювати на зовнішні носії, що зберігаються окремо від комп'ютера. Також не слід забувати про створення резервних точок відновлення Windows.

Чи можливо відновити зашифровану інформацію

Хороша новина: відновити дані можливо. Погана: самостійно це зробити не вдасться. Причиною тому є особливість алгоритму шифрування, підбір ключа до якого вимагає набагато більше ресурсів і накопичених знань, ніж є у звичайного користувача. На щастя, розробники антивірусів вважають справою честі розібратися з кожною шкідливою програмою, тому навіть якщо в даний час вони не зможуть впоратися з вашим шифрувальником, через місяць-два обов'язково знайдуть рішення. Доведеться запастися терпінням.

Через необхідність звернення до фахівців змінюється алгоритм роботи з зараженим комп'ютером. Загальне правило: чим менше змін, тим краще. Антивіруси визначають метод лікування за «родовими ознаками» шкідливої ​​програми, тому інфіковані файли для них є джерелом важливої ​​інформації. Видаляти їх потрібно тільки після вирішення основної проблеми.

Друге правило: будь-яку ціну перервати роботу вірусу. Можливо, він ще не всю інформацію зіпсував, а також залишилися в оперативній пам'яті сліди шифрувальника, за допомогою яких можна його визначити. Тому потрібно відразу ж вимикати комп'ютер з мережі, а ноутбук відключати довгим натисканням мережевий кнопки. На цей раз не підійде стандартна «дбайлива» процедура виключення, що дає можливість коректно завершитися всім процесам, оскільки один з них - кодування вашої інформації.

Відновлюємо зашифровані файли

Якщо ви встигли вимкнути комп'ютер

Якщо ви встигли вимкнути комп'ютер до закінчення процесу шифрування, то не треба його включати самостійно. Несіть «хворого» відразу до фахівців, перервана кодування значно збільшує шанси зберегти особисті файли. Тут же можна в безпечному режимі перевірити ваші носії інформації і створити резервні копії. З високою ймовірністю і сам вірус виявиться відомим, тому лікування від нього буде успішним.

Якщо шифрування завершилося

На жаль, ймовірність успішного переривання процесу шифрування дуже мала. Зазвичай вірус встигає закодувати файли і видалити зайві сліди з комп'ютера. І тепер у вас дві проблеми: Windows все ще заражена, а особисті файли перетворилися в набір символів. Для вирішення другого завдання необхідно скористатися допомогою виробників антивірусного програмного забезпечення.

Dr.Web

Лабораторія Dr.Web надає свої послуги дешифрування безкоштовно тільки власникам комерційних ліцензій. Іншими словами, якщо ви ще не їхній клієнт, але хочете відновити свої файли, доведеться купити програму. З огляду на ситуацію, що склалася, це потрібне вкладення.

Наступний крок - перехід на сайт виробника і заповнення вхідний форми.

Заповніть форму на офіційному сайті Dr.Web

Якщо серед зашифрованих файлів є такі, копії яких збереглися на зовнішніх носіях, їх передача значно полегшить роботу декодувальник.

Касперський

Лабораторія Касперського розробила власну утиліту для дешифрування, що називається RectorDecryptor, яку можна завантажити на комп'ютер з офіційного сайту компанії.

Лабораторія Касперського розробила власну утиліту для дешифрування, що називається RectorDecryptor, яку можна завантажити на комп'ютер з офіційного сайту компанії

Скачайте файл, призначений для вашої версії Windows, і почніть перевірку

Для кожної версії операційної системи, включаючи Windows 7, передбачена своя утиліта. Після її завантаження натисніть екранну кнопку «Почати перевірку».

Робота сервісів може затягнутися на деякий час, якщо вірус відносно новий. У такому випадку компанія зазвичай надсилає відповідне повідомлення. Іноді розшифровка здатна зайняти кілька місяців.

інші сервіси

Сервісів з аналогічними функціями стає все більше, що говорить про затребуваність послуги дешифрування. Алгоритм дій той же: заходимо на сайт (наприклад, https://decryptcryptolocker.com/ ), Реєструємося і відправляємо зашифрований файл.

com/ ), Реєструємося і відправляємо зашифрований файл

Сервіс не гарантує стовідсоткового результату, але спробувати можна

Програми-дешифратори

Пропозицій «універсальних дешифраторів» (зрозуміло, платних) в мережі дуже багато, однак користь від них сумнівна. Звичайно, якщо самі виробники вірусу напишуть дешифратор, він буде працювати успішно, але та ж програма виявиться марною для іншого шкідливого програми. Крім того, фахівці, регулярно зіштовхуються з вірусами, зазвичай мають повний пакет необхідних утиліт, тому всі працюючі програми у них є з високою ймовірністю. Купівля такого дешифратора, швидше за все, виявиться марною тратою грошей.

Як розшифрувати файли за допомогою лабораторії Касперського - відео

Самостійне відновлення інформації

Якщо з якихось причин не можна звернутися до сторонніх фахівців, можна спробувати відновити інформацію своїми силами. Обмовимося, що в разі невдачі файли можуть бути втрачені остаточно.

Відновлення видалених файлів

Після шифрування вірус видаляє вихідні файли. Однак Windows 7 деякий час зберігає всю вилучену інформацію у вигляді так званої тіньової копії.

ShadowExplorer

ShadowExplorer - це утиліта, призначена для відновлення файлів з їх тіньових копій.

  1. Для установки зайдіть на сайт розробника і скачайте архів, після розпакування якого виконуваний модуль буде зберігатися в папці ShadowExplorerPortable з такою ж назвою. На робочому столі з'явиться ярлик для швидкого запуску.

    Відкрийте програму, клікнувши на ShadowExplorerPortable

  2. Далі всі дії інтуїтивно зрозумілі. Запустіть програму і у вікні зліва вгорі виберіть диск, на якому зберігалися дані, і дату створення тіньової копії. Вам потрібна найсвіжіша дата.

    Виберіть диск і дату тіньової копії

  3. Тепер знайдіть розділ, в якому містилися робочі файли, і клацніть по ньому правою кнопкою миші. У розкрився контекстному меню виберіть Export, потім вкажіть шлях збереження відновлених файлів. Програма знайде всі наявні тіньові копії в цій папці і експортує їх за призначенням.

Виберіть каталог для відновлених файлів

PhotoRec

Безкоштовна утиліта PhotoRec працює за таким же принципом, але в пакетному режимі.

  1. Скачайте архів з сайту розробника і розпакуйте його на диск. Виконуваний файл називається QPhotoRec_Win.

    Виконуваний файл має назву QPhotoRec_Win

  2. Після запуску додаток в діалоговому вікні покаже список всіх доступних дискових пристроїв. Виберіть те, в якому зберігалися зашифровані файли, і вкажіть шлях для збереження відновлених копій.

    Для зберігання краще використовувати зовнішній носій, наприклад, USB-флешку, оскільки кожен запис на диск небезпечна стиранням тіньових копій.

  3. Вибравши потрібні каталоги, натисніть екранну кнопку File Formats.

    Виберіть каталог призначення, натиснувши на кнопку Browse

  4. Розкрилося меню являє собою перелік типів файлів, які може відновити додаток. За замовчуванням навпроти кожного стоїть позначка, однак для прискорення роботи можна зняти зайві «пташки», залишивши тільки відповідні типам відновлюваних файлів. Закінчивши вибір, натисніть екранну кнопку «ОК».

    Зніміть зайві позначки для збільшення швидкості роботи

  5. Після завершення вибору стає доступною екранна кнопка Search. Натисніть її. Процедура відновлення - це трудомісткий процес, тому запасіться терпінням.

    Звіт досить лаконічний

  6. Дочекавшись завершення процесу, натисніть екранну кнопку Quit і вийдіть з програми.
  7. Відновлені файли розміщені в зазначеному раніше каталозі і розкладені по папках з однаковими назвами recup_dir.1, recup_dir.2, recup_dir.3 і так далі. Послідовно перегляньте кожну і поверніть їм колишні імена.

    Тепер вручну переберіть папки і поверніть їм колишні назви

видалення вірусу

Оскільки вірус потрапив на комп'ютер, встановлені захисні програми не впоралися зі своїм завданням. Можна спробувати скористатися сторонньою допомогою.

Важливо! Видалення вірусу лікує комп'ютер, але не відновлює зашифровані файли. Крім того, установка нового програмного забезпечення може пошкодити або стерти деякі тіньові копії файлів, необхідні для їх відновлення. Тому краще інсталювати додатки на інші диски.

Kaspersky Virus Removal Tool

Безкоштовна програма відомого розробника антивірусного програмного забезпечення, яку можна завантажити на сайті Лабораторії Касперського. Після запуску Kaspersky Virus Removal Tool відразу пропонує почати перевірку.

Після запуску Kaspersky Virus Removal Tool відразу пропонує почати перевірку

Програма готова працювати негайно

Після натискання великий екранної кнопки «Почати перевірку» програма запускає сканування комп'ютера.

Програмі буде потрібно якийсь час для перевірки системи

Залишилося дочекатися закінчення сканування і видалити знайдених непрошених гостей.

Malwarebytes Anti-malware

Ще один розробник антивірусного програмного забезпечення, що надає безкоштовну версію сканера. Алгоритм дій той же:

  1. Скачайте з офіційної сторінки виробника інсталяційний файл для Malwarebytes Anti-malware, після чого запустіть програму установки, відповідаючи на питання і натискаючи кнопку «Далі».

    Натискаємо «Далі» і продовжуємо погоджуватися з монтажником

  2. Основне вікно запропонує відразу ж оновити програму (корисна процедура, освіжаюча бази вірусів). Після цього запустіть перевірку, натиснувши на відповідну кнопку.

    Варто оновити бази перед перевіркою

  3. Malwarebytes Anti-malware поетапно сканує систему, виводячи на екран проміжні результати роботи.

    Проміжні результати дуже наочні

  4. Знайдені віруси, включаючи шифрувальників, демонструються в фінальному вікні. Позбавтеся від них, натиснувши екранну кнопку «Видалити вибране».

    Для коректного видалення деяких шкідливих додатків Malwarebytes Anti-malware запропонує здійснити перезавантаження системи, з цим потрібно погодитися. Після відновлення роботи Windows антивірус продовжить чистку.

    Після відновлення роботи Windows антивірус продовжить чистку

    Залишилося видалити небезпечні файли

Чого робити не слід

Вірус XTBL, як і інші віруси-шифрувальники, завдає шкоди і системі, і призначеної для користувача інформації. Тому для зменшення можливого збитку слід дотримуватися деяких заходів:

  1. Не чекати закінчення шифрування. Якщо на ваших очах почалося шифрування файлів, не варто чекати, чим все закінчиться, або намагатися перервати процес програмними засобами. Відразу ж відключайте живлення комп'ютера і телефонуйте фахівцям.
  2. Не намагатися видалити вірус самостійно, якщо є можливість довіритися професіоналам.
  3. Чи не встановлювати заново систему до закінчення лікування. Вірус благополучно заразить і нову систему.
  4. Чи не перейменовувати зашифровані файли. Це тільки ускладнить роботу дешифратора.
  5. Не намагатися прочитати заражені файли на іншому комп'ютері до видалення вірусу. Це може призвести до поширення зараження.
  6. Не платити здирникам. Це марно, і заохочує творців вірусів і шахраїв.
  7. Не забувати про профілактику. Установка антивіруса, регулярне резервне копіювання, створення контрольних точок відновлення значно зменшать можливу шкоду від шкідливих програм.

Лікування комп'ютера, зараженого вірусом-шифрувальником, є довгою і далеко не завжди успішною процедурою. Тому так важливо дотримуватися запобіжних заходів при отриманні інформації з мережі і роботі з неперевіреними зовнішніми носіями.

Доброго дня! Мене звуть Олександр, 45 років. Освіта подвійне - економіст, математик. Оцініть статтю: Поділіться з друзями!

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции