Расшифровка файлов вирус. Почему именно «попытаться расшифровать»? Что такое вирус-шифровальщик

Читайте, как защититься от заражения вирусом шифровальщиком и удалить XTBL с компьютера. Стоит ли платить выкуп, и как восстановить зашифрованные шифровальщиком файлы . Вирусы вымогатели – одна из худших кибер-инфекций, с которыми вы можете столкнуться. Они не зря пользуются такой репутацией на просторах интернета, так как это действительно страшный инструмент.

Все вымогатели спроектированы по одинаковому принципу. Проскальзывая в вашу систему не замеченными, они начинают шифровать ваши файлы, чтобы в последствии требовать у вас выкуп за доступ к ним.

Содержание:

Вирус шифровальщик

Если вы вдруг обнаружите один или все из ваших файлов переименованы с расширением XTBL или другим неизвестным расширением файла, вам не повезло – вы столкнулись с вирусом-шифровальщиком . Вскоре вы получите сообщение с предложением оплатить возможность разблокировки ваших файлов. Иногда это может быть окно с текстом, иногда текстовый документ Readme на рабочем столе или даже в каждой папке с файлами. Обращение к пользователю может быть продублировано на нескольких языках кроме английского и содержит все требования злоумышленников создателей вируса.

Казалось бы, проще заплатить, чтобы избавиться от такого вируса, но это не так. Независимо от требований вируса, не соглашайтесь на них – он нанесет по вам двойной удар. Ваши заблокированные файлы скорее всего не поддадутся восстановлению – примите это, и не пересылайте деньги для разблокировки файлов. В противном случае кроме файлов вы потеряете еще и деньги.

Вы можете получить сообщение с таким содержанием:

«Все файлы вашего компьютера включая видео, фото и документы были зашифрованы. Шифрование было произведено с использованием уникального публичного ключа сгенерированного для этого компьютера. Для расшифровки файлов необходимо использовать приватный ключ.
Единственная копия этого ключа сохранена на секретном сервере в интернете. Ключ будет автоматически уничтожен по прошествии 7 дней, и никто не сможет получить доступ к файлам.»

Как компьютер мог заразиться вирусом шифровальщиком

Вирус вымогатель не может появиться на компьютере с помощью магии. Он состоит из нескольких элементов установка которых должна была быть обязательно одобрена вами лично. Конечно же вирус не делал этого в открытой форме, это было с делано с помощью уловок и обмана.

Например, один из наиболее популярных методов проникновения, это использование бесплатных программ, поврежденных сайтов или ссылок. Также инфицирование может быть замаскировано под обновление Java или Flash Player. Вы будете уверены в том, что ставите обновления известной вам программы и дадите зеленый свет на установку опасной и вредной инфекции.

Что бы не попасть в неприятную ситуацию, будьте внимательны и аккуратны. Не спешите принимать какие-либо действия, если вы не уверены в них. Основная причина заражения вирусом – небрежность пользователя.

Удаление расширения XTBL или изменение имени файлов

Почему расширение файлов XTBL так опасно? Программа вымогатель найдет все ваши файлы, включая изображения, видео, музыку, документы и проведет процедуру шифрования с ними. Будут зашифрованы файлы любого формата: doc, .docx, .docm, .wps, .xls, .xlsx, .ppt, .pptx, .pptm, .pdd, .pdf, .eps, .ai, .indd, .cdr, .dng, .mp3, .lnk, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt. Ничего не защитит их. После завершения шифрования расширения всех файлов будет изменено на XTBL и они больше не будут открываться.

Процедура изменения имени файла или удаления расширения XBTL не вернут доступ к файлам. Для этого их нужно расшифровать с помощью приватного ключа. Для получения этого ключа нужно выполнить все условия вымогателей. Но задайте себе вопрос: Вы можете довериться злоумышленникам, которые заразили ваш компьютер? Конечно же нет, учтите, правила игры изначально не в вашу пользу.

Стоит ли платить за ключ для расшифровки

На какой лучший сценарий вы можете рассчитывать? Вы заплатите выкуп и допустим вы получите ключ для расшифровки файлов, допустим он сработает и ваши файлы будут разблокированы. Но что дальше? Что защитит ваши данные от повторного шифрования на следующий день? Ничего.

Оплатив доступ к файлам, вы потеряете не только деньги, но и откроете доступ к вашей персональной и финансовой информации мошенникам, разработавшим вирус. Не позволяйте никому вмешиваться в вашу личную жизнь. Сумма, которую просят за ключ расшифровки, часто превышает $500. Ответьте себе на вопрос – вы готовы открыть ваши личные данные и банковскую информацию мошенникам, и дополнительно потерять $500 в обмен на призрачное обещание расшифровать файлы? Расставьте приоритеты правильно!

Инструкция по удалению вируса шифровальщика

Удалите зловредный процесс с помощью менеджера процессов;
Отобразите скрытые файлы

Удалите зловредный процесс с помощью Менеджера процессов

Отобразите скрытые файлы

Перейдите в любую папку
Выберите Файл – Изменить параметры папок и поиска.
Перейдите на закладку «Вид» .
Включите опцию «Показать скрытые файлы и папки» .
Выключите опцию «Скрывать защищенные системные файлы» .
Нажмите кнопку Применить к папкам, затем Применить и Ок .

Установите место нахождения вируса

Сразу после загрузки операционной системы нажмите сочетание клавиш Windows + R.
В диалоговом окне введите Regedit. Будьте внимательны при редактировании реестра Windows, это может сделать систему не работоспособной.
В зависимости от вашей ОС (x86 или x64) перейдите в ветку
или
или
и удалите параметр с автоматически сгенерированным именем.

В качестве альтернативы вы можете запустить msconfig и дополнительно перепроверить точку запуска вируса. Имейте ввиду, что имена процессов, папок и исполняемых файлов будут сгенерированы автоматически для вашего компьютера и будут отличаться от показанных примеров. Поэтому стоит использовать профессиональную программу антивирус для идентификации и удаления вируса, если вы не уверены в своих силах.

Восстановите зашифрованные XTBL вирусом файлы

Если у вас осталась резервная копия важных файлов – вы счастливчик, восстановите файлы из копии после лечения от вируса. Резервное копирование могло проходить как с помощью настроенной вами программой, так и без вашего вмешательства с помощью одного из инструментов ОС Windows: история файлов, точки восстановления, резервное копирование образа системы.

Если вы работаете на компьютере, подключенном к сети предприятия, то обратитесь за помощью к сетевому администратору. Скорее всего резервное копирование было настроено им. Если поиски резервной копии не увенчались успехом, опробуйте программу для восстановления данных.

Во время шифрования вирус создает новый файл и записывает в него зашифрованное содержимое оригинального файла. После чего оригинальный файл удаляется, поэтому его можно попробовать восстановить. Загрузите и установите

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Теперь по порядку.

Негативное отступление.

Попытка №1

Попытка №2

Попытка №3

Все счастливы, THE END.

Новые сведенья!

Приветствую вас уважаемый читатель!

Буквально на днях имел неосторожность "подцепить очень интересный вирус" :))
Я таких, если честно, ещё не встречал.

Такие вирусы называют шифровщиками или шифровальщиками, в среде аналитиков часто называют Encoder"ы
Антивирус NOD32 зовёт его MSIL/Injector.IPX или что-то в этом роде.

Но суть не в этом.
Суть в том, что этот вирус, подло и без спроса, начинает шифровать документы на вашем компьютере.
Это файлы в форматах.jpg, .txt, .rtf, .doc, .xls, .zip
В общем все форматы в которых чаще всего хранятся важные документы. Да, и в том числе даже базы 1С (владельцы инет-магазинов тоже могут влететь).

Шифрует он специальным алгоритмом, и заодно переименовывает файл во что-то типа: README.txt.Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Для расшифровки нужен специальный дешифратор, найти который не всегда просто.

В итоге папки на моём компьютере стали выглядеть примерно таким образом.

А раньше это были фотографии

В общем их не открыть, не расшифровать, не переименовать просто так нельзя.

Как поймать себе такого же вирика?

Это очень просто.
Способ №1.
Например, вам или вашим сотрудникам приходит письмо с темой: "Уведомление от налоговой" или "Письмо от судебных приставов" или что то в этом духе.
В письме есть вложение, открыв которое запускается вирус.

Способ №2.
Вам приходит письмо на почту или сообщение в социальных сетях, типа: "Олег, привет, слушай я тут нашёл классную вещь, посмотри-ка: ссылка куда-то "
После перехода по ссылке вирус пробирается на ваш компьютер.

Способ №3.
Вы решили скачать какой-нибудь файлик с неизвестного сайта или трекера.
Распаковав его, запускается вирус.

И что примечательно, практически ни один антивирус не может его остановить. Надеюсь, это временно.
Потому что посмотрев форумы по безопасности, встречаются пользователи и Dr.Web, и NOD32 и Касперского и т.д.
Кстати, бесплатные антивирусы даже не могут удалить такие вирусы-шифраторы.

В моём случае, вирус попал 2-ым способом.
Пришло письмо от подписчика, с просьбой посмотреть какие-то опционы.
Сам я критично отношусь ко всяким опционам, лохотронам и подобным вещам.
Но чёрт дёрнул меня посмотреть и открыть ссылку, я естественно от подписчика не ожидал такого подвоха...

Но как я понял, скорее всего его почту взломали и просто рассылали спам.
Потому что с этим человеком мы часто вели переписку.

Что делать, если вирус-шифровальщик попал на ваш компьютер?

Определить его работу, в принципе не сложно.
У компьютера сразу появляются тормоза, страницы загружаются очень медленно, если на рабочем столе есть какие то документы, то они станут переименовываться.

Если у вас подключено облачное хранилище файлов, типа Яндекс.Диска, то первым признаком может стать начало внезапной синхронизации.
Так было и у меня. Поэтому и вызвало недоумение...
Вроде ничего не сохранял, а синхронизация началась.

Если такие признаки обнаружены, то первым делом вырубайте интернет (кабель или Wi-Fi)
После этого быстро выключайте или перезагружайте компьютер.
Это поможет сохранить хотя бы какие-то файлы.

При включении компьютера заново, возможно будет какое-то системное сообщение, типа чем открыть файл EA.tmp
Вам нужно отменить его открытие.

После этого сразу запускайте сканирование антивирусом.
При нахождении угроз, не удаляйте их, а поместите в карантин (Очистить / Изолировать)

Чего делать нельзя?

нельзя изменять расширение закодированных файлов
удалять закодированные файлы и самостоятельно лечить их антивирусом
очищать кеш браузера и папки с временными файлами
переустанавливать операционную систему
самостоятельно использовать дешифраторы с форумов
платить злоумышленникам (не факт, что они пришлют дешифратор)

Куда обращаться?

Первым делом нужно написать в техническую поддержку разработчиков вашего антивируса.
Там вам должны сказать что делать дальше. По крайней мере в NOD32 и Dr.Web точно скажут.
Им нужно будет прислать зашифрованные файлы, тело вируса и реестр, как это сделать вам расскажут в техподдержке.

Также желательно написать заявление в полицию, потому что это преступление.
Но в этом случае ваш компьютер могут изъять на какое то время, для анализа.
Тут дело ваше (фрилансеры конечно, вряд ли согласятся на это).

Как обезопасить себя?

Самое первое и самое важное - это регулярно производить резервное копирование данных с вашего компьютера.
Дело даже НЕ в том что можно подхватить вирус шифровальщик, и он уничтожит всю вашу информацию.
Дело в том, что современные жёсткие диски живут не очень долго.
2-3 года и им может прийти кирдык. И все важные данные, фотографии, документы, базы 1С, отчёты и т.д., могут потеряться в один миг.

Резервное копирование процесс немного замороченный, но лучше потратить пару часов на решении этого вопроса, чем потом потерять дни, месяцы и даже годы своей работы.
Как правильно делать резервное копирование вы можете посмотреть у моего коллеги, он посвятил этому много времени:
Резервное копирование: как за 15-20 минут восстановить Windows

И второе - не переходите по ссылкам в письмах от незнакомых адресатов, и в письмах со странным содержанием.
Не открывайте вложения в письмах, особенно всякие уведомления от налоговых инспекций, прокуратур и т.д.
Они не присылают письма по электронной почте, они шлют обычной почтой. Даже отдел "К" МВД РФ.
К тому же в письме можно посмотреть адрес отправителя и сравнить его с реальным адресом той службы от которой якобы пришло письмо.

Чем всё закончилось...

Сейчас лаборатория NOD32 работает над созданием дешифратора, сколько времени на это уйдёт и будет ли результат - я не знаю.
В моём случае потери не велики, т.к. я делал частичное резервное копирование, но всё же некоторые файлы, которые для меня имеют значение, были повреждены.
Я конечно, мог бы махнуть на них рукой, но немного жалко.
Поэтому придётся ждать дешифратор.

Об итогах напишу...

UPD: Что в итоге получилось.

В итоге лаборатория ESET NOD32 не сделала ничего. Они даже забыли про моё обращение, пришлось писать им заново.
Сказали что работают над дешифратором, а когда он будет готов неизвестно.
Из переписки стало понятно, что им не хочется со мной возиться.

В Dr.Web кстати решили проблему буквально за несколько дней, а в NOD 32 решают уже 4-ый месяц.
Но покупать лицензию и продукты Dr.Web, чтобы расшифровать свои файлы, я не горю желанием.
Ещё NOD32 не кончился.

А зашифрованные файлы пришлось удалить.
Хорошо что среди них не было очень важных. Правда кое какие потери были, но они не такие страшные, как могли бы быть.

Желаю вам успехов! Не попадайтесь, будьте бдительны.
Сейчас такие письма стали рассылать ещё чаще.
Предупреждён - значит вооружён!

С уважением, Олег Касьянов.

Печать

Также интересно:

Как выбрать центральный процессор, и зачем это нужно?

Восстановления раздела recovery ASUS

Где взять биткоин бесплатно?

Рекомендуем почитать:

2024-04-11 00:07:07

Как защитить свой форум на Simple Machines (SMF) от спама

2024-04-11 00:07:07

Установка виндовс с флешки через биос

2024-04-09 00:06:08

Тестирование web сервисов

В продолжение темы:

Android

Расширение VK Helper – ваш незаменимый помощник

Популярная социальная сеть ВКонтакте позволяет находить новых друзей и держать контакт со всеми близкими. Помимо этого, каждый пользователь может делиться собственными...

Новые статьи