Contacte
principalul

Toate fișierele de pe computer sunt criptate ce să facă. Virusuri Encifras (Filecoder). Cum să vă protejați de virusul criptorului

Astăzi, utilizatorii și laptop-urile și laptopurile se confruntă din ce în ce mai mult cu programe rău intenționate care înlocuiesc fișierele prin copiile criptate. În esență, acestea sunt viruși. Unul dintre cele mai periculoase din această serie este considerat criptarea XTBL. Ce reprezintă acest dăunător, cum intră utilizatorul computerului și este posibil să restaurați informațiile deteriorate?

Care este criptătorul XTBL și cum intră în computer

Dacă ați găsit pe computerul dvs. sau într-un fișier laptop cu un nume lung, având o extensie. XTBL, puteți afirma cu încredere că virusul periculos a intrat în sistem - codul de criptare XTBL. Aceasta afectează toate versiunile de ferestre. Numai pentru a decripta astfel de fișiere este aproape nerealistă, deoarece programul utilizează un mod hibrid la care selecția cheii este pur și simplu imposibilă.

Cataloagele de sistem sunt umplute cu fișiere infectate. Înregistrările sunt adăugate la Registrul Windows, lansând automat virusul cu fiecare operare de operare.

Aproape toate tipurile de fișiere sunt criptate - grafic, text, arhivat, poștă, video, muzical, etc. Lucrarea în ferestre devine imposibilă.

Cum functioneazã? Lansat în Windows XTBL Encrypter scanează mai întâi toate discurile logice. Acestea includ distanțiere de stocare a norului și a rețelei situate pe computer. Ca rezultat, fișierele sunt grupate prin expansiune și apoi criptați. Astfel, toate informațiile valoroase postate în folderele de utilizator devin inaccesibile.


Această imagine va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare.

Sub influența criptării XTBL, se schimbă extensia fișierului. Acum, utilizatorul vede pictograma foaie goală și numele lung cu sfârșitul. YTBL în loc de o imagine sau text în cuvânt. În plus, pe desktop apare un mesaj, un fel de instruire pentru restabilirea informațiilor criptate care vă impun să plătiți deblocarea. Nu este nimic mai mult decât șantajarea răscumpărării exigente.


Acest mesaj este evidențiat în fereastra desktop a computerului

Distribuția criptării XTBL apare de obicei prin e-mail. Scrisoarea conține fișiere sau documente investite infectate cu virusul. Fraudulul atrage utilizatorul cu o poziție colorată. Totul se face pentru ca mesajul să spună că, de exemplu, ați câștigat un milion, a fost deschis. Nu reacționați la mesaje similare, altfel există un risc mare ca virusul să fie în sistemul dvs. de operare.

Este posibil să se restabilească informațiile

Puteți încerca să descifrați informații utilizând utilități speciale. Cu toate acestea, nu există nicio garanție că puteți scăpa de virus și să restaurați fișierele deteriorate.

În prezent, criptarea XTBL reprezintă o amenințare fără îndoială pentru toate computerele cu ferestre instalate. Chiar și liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - Nu există o soluție de 100% la această problemă.

Scoaterea virusului și restabilirea fișierelor criptate

Există diferite metode și programe pentru a lucra cu codul de criptare XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișiere blocate sau să-și restabilească copiile anterioare.

Întreruperea infecției computerului

Dacă sunteți destul de norocoși să observați începutul apariției fișierelor de pe computer cu o extensie. XTBL, atunci procesul de infecție suplimentară este destul de întreruptă.

Instrumentul de îndepărtare a virusului Kaspersky pentru a elimina un cod de criptare XTTBL

Toate aceste programe ar trebui deschise în sistemul de operare, care rulează anterior în modul securizat, cu opțiunea de descărcare a driverelor de rețea. În acest caz, virusul este mult mai ușor de șters, deoarece numărul minim de procese de sistem necesare pentru pornirea ferestrelor sunt conectate.

Pentru a descărca modul Secure în fereastra XP, 7 În timpul pornirii sistemului, apăsați în mod constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10 trebuie repornit ținând tasta Shift. În timpul procesului de pornire, o fereastră se va deschide unde puteți selecta opțiunea dorită pentru a descărca în siguranță în siguranță.


Selectați un mod securizat cu descărcarea driverelor de rețea

Programul de scule de eliminare a virusului Kaspersky este mare recunoaște criptarea XTBL și șterge acest tip de virus. Rulați verificarea computerului prin apăsarea butonului corespunzător după încărcarea utilitarului. La sfârșitul scanării, ștergeți fișierele rău intenționate.


Pornirea unui computer Verificați pentru prezența în Windows XTBL Encrypter cu eliminarea ulterioară a virușilor

Dr.Web Cureit Utility!

Algoritmul pentru verificarea și eliminarea virusului este practic diferit de versiunea anterioară. Scanați cu utilitarul tuturor discurilor logice. Pentru aceasta, este suficient doar să urmați comenzile programului după ce ați executat-o. La sfârșitul procesului, scăpați de fișierele infectate apăsând butonul "Neutralizare".


Neutralizarea fișierelor rău intenționate după scanarea ferestrelor

Malwarebytes anti-malware

Programul va implementa un control etaziat al calculatorului dvs. pentru coduri rău intenționate și le distruge.

  1. Instalați și lansați utilitarul anti-malware.
  2. Selectați verificarea "Run" de mai jos.
  3. Așteptați până la sfârșitul procesului și verificați casetele de selectare cu fișiere infectate.
  4. Scoateți unul selectat.


Ștergerea detectată la verificarea fișierelor rău intenționate XTBL-criptare

Scriptul online Decafranger de la Dr.Web

Pe site-ul oficial DR.WEB din secțiunea de asistență există o filă cu un script de decriptare online de fișiere. Ar trebui să se țină cont de faptul că numai acei utilizatori sunt instalați pe computerele în care antivirusul acestui dezvoltator este instalat pe computere.


Citiți instrucțiunile, completați tot ce aveți nevoie și faceți clic pe butonul "Trimitere"

Rectordecryptor Decafranger Utility de la Laboratorul Kaspersky

Decodarea fișierelor este, de asemenea, angajată în Laboratorul Kaspersky. Pe site-ul oficial, puteți descărca utilitarul Rectordecrypttor.exe pentru versiunile Windows Vista, 7, urmând linkurile de meniuri "Suport - tratament și decodare fișiere" - Rectordecryptor - Cum să decripteze fișierele. " Rulați programul, verificați, apoi ștergeți fișierele criptate selectând elementul corespunzător.


Verificați și decriptați fișierele infectate cu XTBL-Encrypter

Restaurarea fișierelor criptate de la Backup

Începând cu versiunea Windows 7, puteți încerca să restaurați fișierele de la backup-uri.


ShadowExplorer pentru a restabili fișierele criptate

Programul este o versiune portabilă, poate fi descărcată de pe orice suport media.


Qphotorec.

Programul este creat în mod specific pentru a restabili fișierele deteriorate și șterse. Folosind algoritmii încorporați, utilitatea găsește și returnează toate informațiile pierdute la starea inițială.

QPhotorec este gratuit.

Din păcate, există numai versiunea în limba engleză a QPhotorec, dar este complet ușor să înțelegeți setările, interfața este intuitivă.

  1. Rulați programul.
  2. Marcați discurile logice cu informații criptate.
  3. Faceți clic pe Formate de fișiere și OK.
  4. Selectați butonul Răsfoiți în partea de jos a ferestrei Deschidere, locația fișierelor și executați procedura de recuperare făcând clic pe Căutare.


Qphotorec restabilește fișierele șterse de criptarea XTBL și înlocuită cu propriile lor copii

Cum să decriptați fișierele - video

Ce nu trebuie făcut

  1. Nu luați niciodată acțiuni care nu sunt destul de siguri. Este mai bine să invitați un specialist din centrul de service sau să luați singuri computerul.
  2. Nu deschideți mesajele de e-mail de la expeditorii necunoscuți.
  3. În nici un caz nu mergeți la atacatorii de șantaj, de acord cu lista de bani. Rezultatul este, cel mai probabil nu va da.
  4. Nu redenumiți manual extinderea fișierelor criptate și nu vă grăbiți să reinstalați Windows. Poate că va fi posibilă găsirea unei soluții care să remedieze situația.

Prevenirea

Încercați să setați o protecție fiabilă împotriva penetrantă a virușilor de criptare XTBL și a virușilor de extorcare similare. Aceste programe includ:

  • Malwarebytes anti-ransomware;
  • BitDefender anti-ransomware;
  • Winanterinsom;
  • Criptoprevent.

În ciuda faptului că toți sunt englezi, lucrați cu astfel de utilități este suficient de simplu. Rulați programul și selectați nivelul de protecție din setări.


Rularea programului și selectați nivelul de protecție

Dacă ați fi trebuit să vă confruntați cu un fișier de criptare a virusului, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele propuse pentru restaurarea informațiilor stricate. Adesea dă un rezultat pozitiv. Nu utilizați programe necunoscute de dezvoltatori necunoscuți pentru a elimina criptarea XTBL. La urma urmei, acesta nu poate decât să agraveze situația. Dacă este posibil, instalați unul dintre programele care împiedică virusul pe PC și efectuați o scanare programată planificată a ferestrelor pentru procese rău intenționate.

Virușii înșiși ca o amenințare pe calculator astăzi nu surprind pe nimeni. Dar, dacă au influențat mai devreme sistemul în ansamblu, provocând eșecuri în performanța sa, astăzi, cu apariția unui astfel de varietate, cum ar fi o criptare a virușilor, acțiunile amenințării penetrante se referă la mai multe date despre utilizatori. Este, probabil, chiar o mare amenințare decât aplicațiile executive ale Windows sau Applets Spy.

Ce este criptătorul de virus?

Prin ea însăși, codul prescris la virusul de auto-copiere presupune criptarea aproape a tuturor datelor de utilizator cu algoritmi specifici criptografici care nu afectează fișierele sistemului de operare.

La început, logica influenței virusului nu a fost complet clară pentru mulți. Totul sa dovedit numai atunci când hackerii, creând astfel de appleturi, au început să necesite restaurarea structurii inițiale a fișierului. În același timp, virusul penetrator-criptare în sine decriptați fișierele în virtutea caracteristicilor lor nu permite. Acest lucru necesită un decodor special dacă doriți, cod, parolă sau algoritm necesar pentru a restabili conținutul dorit.

Principiul pătrunderii în sistemul și la locul de muncă al codului virusului

De regulă, este dificil să "ridicați" o astfel de muck pe Internet. Principala sursă de distribuție a "infecției" este un e-mail la nivelul de pe un anumit terminal de programe de calculator, cum ar fi Outlook, Thunderbird, BAT, etc. Notă Imediat: Serverele de e-mail Internet nu se referă deoarece au un grad suficient de ridicat de protecție, iar datele personalizate sunt posibile, cu excepția nivelului

Un alt lucru este o aplicație pe un terminal de calculator. Aici, pentru acțiunea virușilor, câmpul este atât de larg încât este imposibil de imaginat. Adevărat, aici merită să faceți o rezervare: În majoritatea cazurilor, virușii vizează companiile mari din care puteți "disprețui" bani pentru furnizarea codului de transcriere. Acest lucru este de înțeles, deoarece nu numai pe terminalele de calculator local, dar și pe servere, astfel de firme nu pot fi stocate complet, dar fișierele, astfel încât să spunem, într-o singură copie care nu poate fi distrusă în nici un fel. Și apoi decodarea fișierelor după virusul criptare devine destul de problematică.

Desigur, utilizatorul obișnuit poate fi supus unui astfel de atac, dar în majoritatea cazurilor este puțin probabil să respectați cele mai simple recomandări privind deschiderea investițiilor cu extinderea tipului necunoscut. Chiar dacă clientul de poștă electronică determină atașamentul cu extensia. JPG ca fișier grafic standard, mai întâi este necesar să verificați standardul instalat în sistem.

Dacă nu faceți acest lucru, atunci când deschideți un clic pe dublu (metoda standard), activarea codului va începe, iar procesul de criptare va începe, după care același Breaking_Bad (virus-criptare) nu numai că va putea să ștergă, ci Dosarele după eliminarea amenințării nu vor putea restabili.

Consecințele generale ale penetrarii tuturor virușilor de acest tip

După cum sa menționat deja, majoritatea virușilor de acest tip pătrund în sistem prin e-mail. Ei bine, să spunem unei organizații mari, o scrisoare la o scrisoare recomandată este cu conținut, cum ar fi "Am schimbat contractul, scanarea în investiții" sau "ați trimis o factură pentru expedierea de bunuri (o copie acolo)." Bineînțeles, nimic suspect angajat deschide dosarul și ...

Toate fișierele de utilizator la documentele Office, Multimedia, proiecte de AutoCAD specializate sau orice alte date de arhivare sunt instantaneu criptate și dacă terminalul computerului se află într-o rețea locală, virusul poate fi transmis și alte date de criptare pe alte mașini (devine vizibil imediat "Frână" a sistemului și iluminarea programelor sau în momentul aplicațiilor).

La sfârșitul procesului de criptare în sine, virusul în sine, se pare că se referă la un raport ciudat, după care compania poate ajunge la un mesaj că o astfel de amenințare a pătruns în sistem și că numai o astfel de organizație o poate descifra. De obicei se referă la virus [E-mail protejat] Cerința suplimentară de a plăti serviciile de decriptare cu o propunere de trimitere a mai multor fișiere la e-mailul client, care este cel mai adesea fictiv.

Sanger de la expunere la cod

Dacă cineva nu a înțeles încă: decriptarea fișierelor după virusul criptare este un proces mai degrabă consumator de timp. Chiar dacă nu "păstrați" la cerințele intrușilor și încercați să angajați structurile guvernamentale oficiale privind combaterea crimelor informatice și a prevenirii acestora, de obicei nimic nu este posibil.

Dacă ștergeți toate fișierele, faceți și chiar copiați datele originale de pe suportul detașabil (în mod natural, dacă există o copie), toate acestea cu virusul activat, totul va fi criptat din nou. Deci, nu este deosebit de dedicat, mai ales că atunci când introduceți aceeași unitate flash la un port USB, utilizatorul nu va observa nici măcar modul în care virusul criptează datele și pe acesta. Asta e chiar nu există probleme.

Întâi născut în familie

Acum acordați atenție primului virus-criptare. Cum de a vindeca și decripta fișiere după expunerea la codul executabil închis într-un atașament prin e-mail cu o descoperire de dating, în momentul apariției sale nimeni nu sa gândit. Conștientizarea unui dezastru a venit doar cu timpul.

Virusul a avut numele romantic "Te iubesc". Nimic bănuit utilizatorul a deschis atașamentul în mestemeter "Elemers" și a primit fișiere multimedia complet non-reproduse (grafică, video și audio). Apoi, totuși, astfel de acțiuni păreau mai distructive (daune pentru bibliotecile media personalizate) și nimeni nu a cerut bani pentru asta.

Cele mai noi modificări

După cum puteți vedea, evoluția tehnologiilor a devenit destul de profitabilă, mai ales dacă considerăm că mulți lideri ai organizațiilor mari rulează instantaneu pentru a plăti acțiuni pe decriptare, fără a gândi că este posibil să pierzi bani și informații.

Apropo, nu privi la toate aceste postări "stânga" pe internet, spun ei: "Am plătit / am plătit suma necesară, am fost trimis un cod, totul a fost restaurat". Prostii! Toate acestea sunt scrise de dezvoltatorii de viruși înșiși pentru a atrage potențialul, îmi pare rău, "Lokhov". Dar, prin standardele utilizatorului obișnuit, sumele de plată sunt destul de grave: de la sute la câteva mii sau zeci de mii de euro sau de dolari.

Acum, să ne uităm la cele mai noi tipuri de viruși de acest tip care au fost înregistrate relativ recent. Toate acestea sunt practic similare și aparțin nu numai categoriei de criptare, ci și grupului de așa-numitele extortiști. În unele cazuri, acestea acționează mai corect (cum ar fi Paycrypt), se pare că trimite o ofertă oficială de afaceri sau raportează că cineva are grijă de securitatea utilizatorului sau a organizației. Un astfel de criptare de virus introduce pur și simplu o mila pentru o mizerie. Dacă el ia cel puțin cea mai mică acțiune de plată, totul - "divorțul" va fi plin.

Virusul XTBL.

Relativ recent părea a fi atribuită variantei clasice a criptării. De regulă, acesta pătrunde în sistem prin mesaje de e-mail care conțin atașamente sub formă de fișiere cu care este standard pentru screensaver Windows. Sistemul și utilizatorul cred că totul este în ordine și activează vizionarea sau salvarea atașamentelor.

Din păcate, aceasta duce la consecințe triste: numele fișierelor sunt convertite într-un set de caractere și altul este adăugat la extensia principală. XTBL se adaugă la extensia principală, după care un mesaj este primit cu privire la posibilitatea de decriptare după plata Suma specificată (de obicei 5 mii de ruble).

Virusul CBF.

Acest tip de virus se referă, de asemenea, la clasicul genului. Acesta apare în sistem după deschiderea unui atașament prin e-mail, apoi redenumiți fișierele utilizator prin adăugarea unei extensii cum ar fi .Nocance or.perfect.

Din păcate, descifrarea virusului de criptare a acestui tip pentru a analiza conținutul codului, chiar și în stadiul apariției sale în sistem, nu este posibil, deoarece după finalizarea acțiunilor sale, produce auto-distrugere. Chiar și așa, cât mai mulți oameni consideră instrumentul universal, ca Rectorcaptor, nu ajută. Din nou, utilizatorul vine o scrisoare care solicită o plată, care este dată de două zile.

Virus breaking_bad.

Acest tip de amenințări funcționează în aceeași schemă, dar redenumiți fișierele ca standard adăugând la extensie.barking_bad.

Această situație nu este limitată. Spre deosebire de virușii anteriori, aceasta poate crea o altă extensie - .heisenberg, deci nu este întotdeauna posibilă găsirea tuturor fișierelor infectate. Deci, Breaking_Bad (virus-criptare) este o amenințare gravă. Apropo, există cazuri că chiar și pachetul licențiat de Securitate Kaspersky Endpoint 10 lipsește amenințarea de acest tip.

Virus [E-mail protejat]

Aici este o altă amenințare cea mai gravă, care este îndreptată în cea mai mare parte pentru organizațiile comerciale mari. De regulă, o scrisoare vine la un departament, care pare a fi modificat la contractul de aprovizionare sau chiar la doar o cheltuială. Atașamentul poate conține un fișier normal.jpg (tip de imagine), dar mai des - script-uri executabile (Java Applet).

Cum de a decripta virusul-criptare de acest tip? Judecând de faptul că există un anumit algoritm RSA-1024 necunoscut, în orice mod. Dacă continuați de la numele, puteți presupune că acesta este un sistem de criptare de 1024 biți. Dar, dacă cineva își amintește, astăzi cel mai perfect este AES de 256 de biți.

Virus-criptare: Cum de a vindeca și decripta fișierele utilizând software-ul antivirus

Astăzi, nu a fost încă găsit pentru decriptarea amenințărilor de acest tip de soluții. Chiar chestiuni în protecția anti-virus ca Kaspersky, Dr. Web și ESET, nu pot găsi cheia pentru a rezolva problema atunci când virusul-criptare a fost în sistem. Cum de a vindeca fișierele? În cele mai multe cazuri, se propune trimiterea unei cereri către site-ul oficial al dezvoltatorului antivirusului (apropo, numai dacă există un dezvoltator licențiat în sistem).

În același timp, trebuie să atașați mai multe fișiere criptate, precum și originalele lor "sănătoase", dacă există. În general, în general, puțini oameni salvează copii ale datelor, astfel încât problema absenței lor agravează doar situația deja imparțială.

Modalități posibile de identificare și eliminare a amenințării manual

Da, scanarea amenințării antivirusurilor convenționale determină și chiar le elimină din sistem. Dar ce să faceți cu informațiile?

Unii încearcă să utilizeze programe de decodor, cum ar fi Utilitatea Recordordordcryptor deja menționată (RakhnideCryptor). Notă Imediat: Nu va ajuta. Și în cazul virusului Breaking_bad, acesta poate dăuna doar. Si de aceea.

Faptul este că oamenii care creează astfel de viruși încearcă să se protejeze și să scrie altora. Când utilizați utilitățile de decriptare, virusul poate răspunde în așa fel încât întregul sistem "muște" și cu distrugerea deplină a tuturor datelor stocate pe hard disk sau în secțiuni logice. Acest lucru, ca să spunem, o lecție indicativă în găsirea tuturor celor care nu vor să plătească. Rămâne de speranța numai la laboratoarele oficiale antivirus.

Metode cardinale

Cu toate acestea, dacă lucrurile sunt complet rele, va trebui să sacrificați informații. Pentru a scăpa complet de amenințare, trebuie să formatați întregul hard disk, inclusiv secțiunile virtuale, apoi să instalați din nou "Operațiunea".

Din păcate, nu există altă cale de ieșire. Chiar înainte de un anumit punct de recuperare salvat nu ajută. Virusul poate dispărea, de asemenea,, dar fișierele vor rămâne criptate.

În loc de preșcolar

În concluzie, merită remarcat faptul că situația este după cum urmează: criptarea virusului va pătrunde în sistem, face afacerea sa neagră și nu este tratată cu moduri cunoscute. Echipamentele de protecție anti-virus s-au dovedit a fi pregătite pentru un astfel de tip de amenințări. Este de la sine înțeles că este posibil să se detecteze virusul după ce este influențat sau șters. Dar informațiile criptate vor rămâne într-o formă inestetică. Așadar, vreau să sper că cele mai bune Ume ale dezvoltatorilor de software anti-virus va găsi încă o soluție, deși, judecând prin algoritmi de criptare, va fi foarte greu de făcut. Amintiți-vă cel puțin o mașină de criptare Enigma, care în timpul celui de-al doilea război mondial a fost în flota germană. Cele mai bune criptografii nu au putut rezolva problema algoritmului pentru a decripta mesajele până când au primit dispozitivul în mâinile lor. Deci situația este aici.

Faptul că pe Internet este plin de viruși, nu surprinde pe nimeni astăzi. Mulți utilizatori percep situațiile asociate cu expunerea lor la sisteme sau date personale, pentru ao pune ușor, privindu-se prin degete, dar numai până când virusul virus-criprihiphik devine exact în sistem. Cum de a vindeca și decripta datele stocate pe un hard disk, cei mai mulți utilizatori obișnuiți nu știu. Prin urmare, acest contingent și "întreținut" cerințelor invocate de intruși. Dar să vedem ce poate fi luat în caz de detectare a unei astfel de amenințate sau de a preveni pătrunderea în sistem.

Ce este criptătorul de virus?

Amenințarea acestui tip utilizează algoritmi standard și non-standard de criptare a fișierelor care își schimbă complet conținutul și blochează accesul. De exemplu, deschideți un fișier criptat text pentru citire sau editare, precum și reproducerea conținutului multimedia (grafică, video sau audio), după expunerea la virus va fi absolut imposibil. Chiar și acțiunile standard pentru copierea sau în mișcare obiecte sunt inaccesibile.

Completarea virușilor în sine este mijlocul care criptează datele în așa fel încât nu este întotdeauna posibil să se restabilească starea lor inițială chiar și după eliminarea amenințării din sistem, nu este întotdeauna posibilă. În mod obișnuit, astfel de programe rău intenționate își creează propriile copii și se stabilesc foarte profund în sistem, astfel încât fișierele de criptare a virusului pot fi îndepărtate complet imposibil. Dezinstalarea programului de bază sau eliminarea corpului de bază al virusului, utilizatorul nu scapă de impactul amenințării, de a nu menționa restaurarea informațiilor criptate.

Cum pătrunde amenințarea în sistem?

De regulă, amenințările de acest tip se concentrează în cea mai mare parte asupra structurilor comerciale mari și pot pătrunde calculatoarele prin programe poștale atunci când un angajat deschide documentul presupus a investit în e-mail, reprezentând, spun, în plus față de un acord privind cooperarea sau pentru a planifica Furnizarea de bunuri (oferte comerciale cu investiții din surse dubioase - prima bandă pentru virus).

Problema este că criptarea virusului de pe mașină având acces la rețeaua locală este capabilă să se adapteze și în ea, creând propriile copii nu numai în mediul de rețea, ci și pe terminalul de administrator, dacă nu are mijloacele necesare de protecție sub formă de software antivirus. FireVol sau BrandMeera.

Uneori, astfel de amenințări pot pătrunde în sisteme informatice ale utilizatorilor obișnuiți, care, în general, nu își imaginează interesele pentru intruși. Acest lucru se întâmplă la momentul instalării unor programe încărcate cu resurse de internet dubioase. Mulți utilizatori la pornirea descărcării ignoră avertismentele sistemului de protecție împotriva virusului și în timpul procesului de instalare nu acordă atenție furnizării de software, panouri sau plug-in-uri suplimentare pentru browsere și apoi ceea ce se numește, mușcările .

Varietăți de viruși și o mică poveste

În cea mai mare parte, amenințarea de acest tip, în special cel mai periculos criptare de virus NO_MORE_RANSOM, sunt clasificate nu numai ca instrumente de criptare a datelor sau blocarea accesului la acestea. De fapt, toate aceste aplicații rău intenționate aparțin categoriilor de extortioniști. Cu alte cuvinte, atacatorii necesită un MZD definit pentru decodificarea informațiilor, având în vedere că acest proces va fi imposibil fără programul inițial. Parțial modul în care este.

Dar, dacă vă coborâți în istorie, puteți vedea că unul dintre primii viruși de acest tip, adevărul care nu a prezentat cerințele de bani, a fost appletul infamos pe care îl iubesc, care criptează pe deplin fișierele multimedia (cea mai mare parte muzicală piese). Descifrarea fișierelor după o criptare a virusului la acel moment a fost imposibilă. Acum este cu această amenințare că puteți lupta elementar.

Dar, la urma urmei, dezvoltarea virușilor înșiși sau a algoritmilor de criptare folosită nu merită. Ceea ce nu este numai printre viruși - aici și XTBL și CBF și Breking_Bad și [E-mail protejat], Și o mulțime de urât.

Metode de impact asupra fișierelor de utilizator

Și dacă, până de curând, cele mai multe atacuri au fost făcute folosind algoritmii RSA-1024 bazați pe criptarea AES cu aceeași mușcătură, același virus NO_MORE_Rensom este prezentat astăzi în mai multe interpretări utilizând cheile de criptare a tehnologiei RSA-2048 și chiar RSA-3072.

Probleme ale algoritmilor utilizați de decriptare

Problema este că sistemele moderne de decriptare în fața unui astfel de pericol s-au dovedit a fi neputincioși. Decripalizarea fișierelor după ce un virus-criptare bazată pe AES256 este încă acceptată și prevăzută cu o tăietură de cheie mai mare, aproape toți dezvoltatorii sunt pur și simplu crescuți de mâini. Aceasta, apropo, a fost confirmată oficial de experți de la Laboratorul Kaspersky și ESET.

În cea mai primitivă versiune, utilizatorul a apelat la serviciul de asistență este invitat să trimită un fișier criptat și originalul său pentru a compara și a efectua operațiuni suplimentare pentru a determina algoritmul de criptare și metodele de recuperare. Dar, de regulă, în majoritatea cazurilor acest rezultat nu dă. Dar criptarea virușilor este de a decripta fișierele însă în sine, așa cum se crede, cu condiția ca victima să fie de acord cu termenii atacatorilor și să plătească o anumită sumă în echivalentul monetar. Cu toate acestea, o astfel de întrebare cauzează îndoieli legitime. Si de aceea.

Virus-criptare: Cum de a vindeca și decripta fișierele și se poate face?

După cum se menționează, după plată, hackerii activează decriptarea prin acces la distanță la virusul lor, care se află în sistem sau printr-un applet suplimentar dacă corpul virusului este îndepărtat. Se pare mai mult decât îndoielnic.

Aș dori să menționez faptul că pe internet este plin de posturi false care, spun ei, suma necesară a fost plătită, iar datele au fost restaurate cu succes. Este o minciună! Și adevărul - unde este garanția că după plată, criptarea virusului nu este activată din nou? Nu este greu de înțeles psihologia hackerilor: plătită o dată - plătiți din nou. Și dacă vorbim despre informații deosebit de importante, cum ar fi evoluțiile comerciale, științifice sau militare specifice, proprietarii acestor informații sunt gata să plătească la fel de mult ca și cum fișierele rămân în siguranță și conservare.

Primul instrument pentru eliminarea amenințării

Acest lucru se datorează naturii virus-criptare. Cum de a vindeca și decripta fișierele după ce a afectat amenințarea? Da, dacă nu există remedii, care, de asemenea, nu vă ajută întotdeauna. Dar puteți încerca.

Să presupunem că virusul de criptare a apărut în sistem. Cum de a vindeca fișierele infectate? Pentru a începe, este necesar să se facă o scanare aprofundată a sistemului fără a utiliza tehnologia s.a.a.r.t., care prevede detectarea amenințărilor exclusiv în deteriorarea sectoarelor de boot și a fișierelor de sistem.

Este recomandabil să nu utilizați scanerul regulat existent, care a ratat deja amenințarea și aplicarea utilităților portabile. Opțiunea optimă va porni de la discul de rescue Kaspersky, care poate începe înainte de începerea sistemului de operare.

Dar aceasta este doar jumătate din caz, pentru că în acest fel puteți scăpa de virusul în sine. Dar cu decodorul va fi mai dificil. Dar mai târziu mai târziu.

Există o altă categorie în care au scăzut virușii de criptare. Cum să descifrați informațiile vor fi declarate separat, dar totuși să ne concentrăm asupra faptului că acestea pot exista complet în mod deschis în sistem sub formă de programe și aplicații instalate oficial (aroganța atacatorilor nu cunoaște limita, deoarece amenințarea nu chiar încercați să deghizați).

În acest caz, ar trebui să utilizați secțiunea de programe și componente în care se efectuează eliminarea standard. Cu toate acestea, trebuie să acordați atenție faptului că standardul Windows-Systems Uninstaller complet Toate fișierele programului nu se șterge. În particular, criptarea virusului răscumpărării este capabilă să creeze propriile dosare în directorii rădăcinii sistemului (de obicei, directoarele CSRSS sunt prezente în cazul în care este prezent fișierul executabil executabil CSRSS.EXE). Ca locație principală, Windows, System32 sau director personalizat (utilizatorii de pe discul sistemului) sunt selectați.

În plus, criptarea virusului NO_MORE_RANSOM își prescrie propriile chei-cheie sub formă de link-uri, cum ar fi subsistemul oficial de funcționare a serviciului de servicii client, care este înșelătoare, deoarece acest serviciu trebuie să fie responsabil pentru interacțiunea software-ului client și server. Cheia însăși este situată în dosarul Run, pentru a ajunge la care puteți prin filiala HKLM. Este clar că va trebui să ștergeți astfel de chei.

Pentru a face mai ușor, puteți utiliza utilitare precum IOFIT Uninstaller, care produce automat căutarea fișierelor reziduale și a cheilor de registry (dar numai dacă virusul din sistem este vizibil ca o aplicație instalată). Dar acesta este cel mai simplu lucru pe care îl puteți face.

Soluții oferite de dezvoltatorii de software anti-virus

Descifrarea virusului de criptare, așa cum se crede că poate fi făcută folosind utilități speciale, deși dacă există tehnologii cu o cheie de 2048 sau 3072, bitul nu se bazează în mod specific pe ele (în plus, multe dintre ele șterg fișiere după decriptare și apoi Fișierele de recuperare dispar datorită prezenței corpului virusului, care nu a fost ștearsă înainte).

Cu toate acestea, puteți încerca. Din toate programele merită evidențiază rectorcaptor și umbraLexplorer. Așa cum se crede până când nu a fost creat nimic. Dar problema poate consta, de asemenea, în faptul că, atunci când încercați să utilizați un decodor, garanția că fișierele vindecate nu vor fi șterse, nr. Asta este, dacă nu scapi de virusul inițial, orice încercare de decriptare va fi condamnată la eșec.

În plus față de eliminarea informațiilor criptate, rezultatul fatal - întregul sistem va fi inoperabil. În plus, criptarea modernă a virusului este capabilă să influențeze nu numai datele stocate pe hard diskul calculatorului, ci și pe fișierele din spațiul de stocare a norului. Și aici nu există decizii de restabilire a informațiilor. În plus, după cum sa dovedit, în multe servicii nu există suficiente măsuri eficiente de protecție (la fel încorporate în Windows 10 laed, care este expusă direct din sistemul de operare).

Soluția cardinală la această problemă

După cum se poate înțelege deja, majoritatea metodelor moderne ale unui rezultat pozitiv în infectarea acestor viruși nu oferă. Desigur, dacă există un fișier original deteriorat, acesta poate fi trimis spre examinare la laboratorul anti-virus. Îndoielile adevărate, foarte serioase, de asemenea, determină faptul că utilizatorul obișnuit va crea copii de rezervă ale datelor care, atunci când sunt stocate pe un hard disk, poate fi, de asemenea, expus la un cod rău intenționat. Dar că, pentru a evita problemele, utilizatorii copiază informații despre mass-media amovibil, nu contează deloc.

Astfel, pentru o soluție fundamentală a problemei, concluzia sugerează: formatarea completă a hard diskului și a tuturor partițiilor logice cu eliminarea informațiilor. Deci ce să fac? Va trebui să donăm dacă nu doriți ca virusul sau copia auto-oprită să fie activată din nou în sistem.

Pentru a face acest lucru, nu trebuie să utilizați ele însele mijloacele sistemelor Windows (adică formatarea partițiilor virtuale, deoarece atunci când încercați să accesați discul de sistem, va fi emisă o interdicție). Este mai bine să utilizați descărcarea de pe suporturi optice, cum ar fi distribuția LiveCD sau de instalare, cum ar fi creată utilizând utilitarul de instrument de creare media pentru Windows 10.

Înainte de formatare, sub rezerva eliminării virusului din sistem, puteți încerca să restabiliți integritatea componentelor sistemului prin linia de comandă (SFC / Scannow), dar în ceea ce privește decriptarea și deblocați datele pe care nu le va oferi. Prin urmare, formatul C: - singura soluție posibilă posibilă, cum ar fi aceasta sau nu. Numai este posibil să scape complet de amenințările de acest tip. Din păcate, în mod diferit - în nici un caz! Chiar și tratamentul cu mijloacele standard oferite de majoritatea ambalajelor antivirus este neputincios.

În loc de preșcolar

În ceea ce privește sugerarea de concluzii, puteți spune doar că decizia unificată și universală de a elimina efectele unor astfel de amenințări nu există (din păcate, dar acest lucru este confirmat de majoritatea dezvoltatorilor de software antivirus și specialiști în domeniul criptografiei).

Rămâne neclare De ce apariția algoritmilor bazați pe criptarea de 1024-, 2048 și 3072 de biți au trecut de cei care dezvoltă și implementează direct aceste tehnologii? La urma urmei, astăzi cele mai promițătoare și cele mai protejate este algoritmul AES256. Notă! 256! Acest sistem de viruși moderni, așa cum se dovedește, nu este potrivit la note. Ce să spun apoi despre încercarea de a descifra cheile lor?

Fie ca, așa cum poate, este suficient să evitați implementarea unei amenințări pentru sistem pur și simplu. În cea mai simplă versiune, toate mesajele primite cu atașamentele din Outlook, programe Thunderbird și în alți clienți de e-mail cu antivirus imediat după primirea și în nici un caz nu deschideți atașamentele înainte de sfârșitul verificării. De asemenea, trebuie să citiți cu atenție sugestiile pentru instalarea unui software suplimentar la instalarea unor programe (de obicei, sunt scrise în fonturi foarte mici sau deghizate ca suprastructuri standard cum ar fi actualizarea playerului Flash sau altceva). Componentele multimedia sunt mai bine actualizate prin site-uri oficiale. Numai este posibil ca într-un fel să împiedice penetrarea unor astfel de amenințări la propriul sistem. Consecințele pot fi complet imprevizibile dacă considerăm că virușii de acest tip sunt distribuite instantaneu pe rețeaua locală. Și pentru companie, o astfel de cifră de afaceri a evenimentelor se poate transforma într-o colaps reală al tuturor întreprinderilor.

În cele din urmă, administratorul de sistem nu ar trebui să stea în așteptare. Protecția software-ului într-o astfel de situație este mai bună exclusă. Același firewall (firewall) nu trebuie să fie software, ci un "fier" (în mod natural, cu software-ul însoțitor la bord). Și, printre ei,, desigur, nu merită salvată la achiziționarea de pachete antivirus. Este mai bine să cumpărați un pachet de licență și să nu stabiliți programe primitive care să ofere o protecție în timp real numai de la cuvintele dezvoltatorului.

Și dacă amenințarea la adresa sistemului este încă pătrunsă, succesiunea acțiunilor ar trebui să includă îndepărtarea corpului de virus în sine și doar apoi încearcă să decripteze datele deteriorate. În mod ideal - Formatare completă (notificare, nu rapid cu o masă de curățare, și anume completă, de preferință cu restaurarea sau înlocuirea unui sistem de fișiere existente, sectoare de boot și înregistrări).

"Îmi pare rău că a deranjat, dar ... Fișierele dvs. sunt criptate. Pentru a obține cheia pentru decriptare, transferați urgent suma enyny de bani pe portofel ... În caz contrar, datele dvs. vor fi distruse irevocabil. Aveți 3 ore, a mers timpul. " Și nu este o glumă. Virus-criptare - amenințarea este mai mare decât reală.

Astăzi vom vorbi că lucrătorii de criptare rău intenționați în ultimii ani sunt, ce să facă în caz de infecție, cum să vindecați un computer și este posibil, deloc, precum și cum să le apărați.

Am criptat totul!

Virus Encrypter (Cipher, Cryptor) - Un tip special de programe exterioactive rău intenționate, a căror activitate este de a cripta fișierele de utilizator și cerința ulterioară de a răscumpăra instrumentul de decriptare. Cantitatea de răscumpărare începe undeva de la 200 de dolari și ajunge la zeci și sute de mii de hârtie verde.

Cu câțiva ani în urmă, numai computerele bazate pe Windows au fost atașate atacuri ale acestei clase. Astăzi, zona lor sa extins la Linux, Mac și Android aparent bine protejat. În plus, varietatea speciilor de encodere este în continuă creștere - unul după ce altul apar elemente noi care au ceva de surprins lumea. Deci, datorită "trecerii" unui clasic troian-criptare și un vierme de rețea (malware, care se aplică rețelelor fără participarea activă a utilizatorilor).

După ce Wannacry, nu a apărut un PTYA mai puțin sofisticat și iepure rău. Și din moment ce "afacerea de criptare" aduce venituri bune proprietarilor, puteți fi siguri că nu sunt ultima.

Din ce în ce mai mulți criptare, în special cei care au văzut lumina în ultimii 3-5 ani, folosesc algoritmi criptografici persistenți care nu pot fi hacked fie prin cheile, nici cu alte mijloace existente. Singura modalitate de a restabili datele este de a utiliza cheia originală care oferă să cumpere intruși. Cu toate acestea, chiar lista sumei obligatorii nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă profiturile potențiale. Și care este sensul promisiunilor, dacă sunt deja bani?

Modalități de răspândire a virușilor de criptare

Principalul mod de a obține dăunătoare calculatoarelor utilizatorilor și organizațiilor private este un e-mail, mai precis, fișierele și legăturile atașate la litere.

Un exemplu de astfel de scrisoare destinată "Clienților corporativi":

  • "Plătiți urgent datoria de împrumut".
  • "Declarația de revendicare este depusă în instanță."
  • "Plătiți o amendă / taxă / taxă".
  • "Dambing o plată comunală."
  • - Oh, ești în fotografie?
  • "Lena a cerut să vă transmită urgent", etc.

Sunt de acord, numai utilizatorul informat va reacționa la o astfel de scrisoare cu vigilență. Cel mai mult, fără gândire, va deschide investiția și va lansa un program rău intenționat cu propriile mâini. Apropo, în ciuda strigătelor antivirusului.

De asemenea, distribuirea criptarelor sunt utilizate în mod activ:

  • Rețelele sociale (trimiterea prin conturi de cunoștințe și străini).
  • Resurse web rău intenționate și infectate.
  • Publicitate banner.
  • Trimiterea prin mesageri cu conturi hacked.
  • Site-uri web - Varzyniki și distribuitori ai lui Kegen și Kryakov.
  • Site-uri pentru adulți.
  • Magazine de aplicații și conținut.

Conductorii de viruși de codificatori vin adesea alte programe rău intenționate, în special demonstranți publicitare și backdors troian. Acesta din urmă, folosind vulnerabilități în sistem și software, ajută criminalul să obțină acces la distanță la un dispozitiv infectat. Lansarea criptare în astfel de cazuri nu coincide întotdeauna cu acțiunile potențial periculoase ale utilizatorilor. În timp ce backdoor rămâne în sistem, atacatorul poate pătrunde în orice moment și începe criptarea.

Pentru a infecta computerele organizațiilor (la urma urmei, acestea pot stoarce mai mult decât utilizatorii casnici) sunt dezvoltate în special metode rafinate. De exemplu, Trojan Pety a pătruns dispozitivul printr-un modul de actualizare a software-ului pentru contabilitatea fiscală MEDOC.

Criptare cu funcții de viermi de rețea, după cum sa menționat deja, se aplică rețelelor, inclusiv Internetului, prin vulnerabilitățile protocoalelor. Și pot fi infectați cu orice, fără un cont neted. Cele mai multe periculoase sunt supuse utilizatorilor de sistem de operare rar fără rar, deoarece actualizările sunt închise de lacune celebre.

Unele programe malware, cum ar fi Wannacry, exploatează vulnerabilitatea zilei de zi (Zero Ziua), adică cele care nu cunosc încă dezvoltatorii de sistem. Pentru a rezista pe deplin infecției în acest fel, din păcate, este imposibil, dar probabilitatea că sunteți în numărul de victime, nu ajunge chiar la 1%. De ce? Da, deoarece software-ul rău intenționat nu poate infecta simultan toate mașinile vulnerabile. Și în timp ce planifică noi victime, dezvoltatorii de sisteme au timp pentru a elibera o actualizare de salvare.

Cum se comportă criptarea pe un computer infectat

Procesul de criptare, de regulă, începe neobservat și când semnele sale devin evidente, este deja prea evident pentru a salva datele: În acel moment, malicitatea a fost criptată totul, care a fost atins. Uneori, utilizatorul poate observa modul în care fișierele s-au schimbat într-un dosar deschis.

Apariția fără precedent a dosarelor noului și uneori a doua expansiune, după care încetează să se deschidă, indică absolut consecințele unui atac de criptare. Apropo, în funcție de extinderea că obiectele deteriorate sunt de obicei reuși să identifice malware-ul.

Un exemplu de care pot fi extensii fișiere criptate :. Xtbl, .kraken, .CESAR, .DA_VINCI_CODE, [E-mail protejat]_com, .Crypted000007, .NO_MORE_RANSOM, .Decoder globeimposter v2, .ukrain, .rn etc.

Opțiunile de greutate și mâine va apărea noi, deci nu există nici un sens special de listate. Pentru a determina tipul de infecție, este suficient să plouă mai multe extensii ale motorului de căutare.

Alte simptome care indică indirect începutul criptării:

  • Aspectul pe ecran pe secundele divizate ale ferestrelor liniei de comandă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor și programelor de sistem, dar este mai bine să nu lăsați-o.
  • Solicitările UAC pentru lansarea unui program pe care nu îl veți deschide.
  • O repornire bruscă a computerului cu imitația ulterioară a funcționării sistemului de scanare a verificării discului (alte variante sunt posibile). În timpul "verificării" apare procesul de criptare.

După capătul de succes al operațiunii rău intenționate, pe ecran apare un mesaj cu cerința de răscumpărare și diferite amenințări.

Exjuarii criptează o parte semnificativă a fișierelor de utilizator: fotografii, muzică, video, documente text, arhive, poștă, baze de date, fișiere cu extensii de programe etc. dar nu atingeți obiectele sistemului de operare, deoarece atacatorii nu trebuie să aibă Un computer infectat a încetat să funcționeze. Unii viruși sunt înlocuiți cu înregistrări de bocanci de discuri și partiții.

După criptare din sistem, toate copiile de umbră și punctele de recuperare sunt șterse.

Cum de a vindeca un computer de la criptare

Pentru a elimina programul rău intenționat din sistemul infectat pur și simplu - cu cele mai multe dintre ele, aproape toate antivirusurile se confruntă cu ușurință. Dar! Este naiv să credem că relieful de la vinovat va duce la rezolvarea problemei: ștergeți virusul sau nu, iar fișierele vor fi criptate în continuare. În plus, în unele cazuri va complica decodificarea lor ulterioară dacă este posibilă.

Procedura corectă pentru începutul criptării

  • De îndată ce ați observat semne de criptare, deconectați imediat alimentarea computerului apăsând și țineți apăsată butonulPutere de 3-4 secunde. Aceasta va economisi cel puțin o parte din fișiere.
  • Creați un disc de boot sau unitate flash pe un alt computer cu un program antivirus. De exemplu, Kaspersky Rescue Disk 18, Drweb Livedisk, ESET NOD32 LIVECD. etc.
  • Încărcați aparatul infectat de pe acest disc și scanați sistemul. Scoateți virușii găsiți cu salvarea în carantină (în cazul în care acestea trebuie să decripteze). Numai după aceea puteți descărca computerul de pe hard disk.
  • Încercați să restaurați fișierele criptate din copiile umbrite ale sistemului sau cu terțe părți.

Ce se întâmplă dacă fișierele sunt deja criptate

  • Nu-ti pierde speranta. Pe site-urile dezvoltatorilor de produse anti-virus sunt postate de licențe gratuite-decodoare pentru diferite tipuri de malware. În special, utilitățile sunt colectate aici de la Avast. și Kaspersky Laboratories.
  • Determinarea tipului de encoder, descărcați utilitarul corespunzător, asigurați-vă că faceți asta copii. dosare deteriorate Și încercați să le descifrați. În caz de succes, decriptați restul.

Dacă fișierele nu sunt decriptate

Dacă nu a ajutat utilitatea, este probabil că ați suferit de virus, medicamentul pe care nu există.

Ce poate fi luat în acest caz:

  • Dacă utilizați un produs antivirus plătit, contactați suportul. Treceți la laborator câteva copii ale fișierelor deteriorate și așteptați răspunsul. Dacă există o abilitate tehnică de a vă ajuta.

Apropo, Dr.Web. - una dintre puținele laboratoare, care ajută nu numai utilizatorilor săi și a tuturor victimelor. Puteți trimite o solicitare de a decripta fișierul de pe această pagină.

  • Dacă sa dovedit că fișierele sunt corupte fără speranță, dar reprezintă o valoare mult pentru dvs., ar trebui să sperăm și să așteptați ca agentul de salvare să fie găsit vreodată. Cel mai bun lucru pe care îl puteți face este să părăsiți sistemul și fișierele într-o stare așa cum este, adică să dezactivați complet și să nu utilizați hard diskul. Ștergerea fișierelor rău intenționate, reinstalarea sistemului de operare și chiar actualizarea sa vă poate lipsi Și această șansăDeoarece generarea cheilor de criptare-decriptare folosesc adesea identificatori unici de sistem și o copie a virusului.

Răscumpărarea plătiți nu este o opțiune, deoarece probabilitatea de a obține cheia tind la zero. Da, și nimic de finanțat o afacere criminală.

Cum să vă protejați de răutatea acestui tip

Nu aș dori să repet sfatul că fiecare cititoare au auzit de sute de ori. Da, instalați un antivirus bun, nu apăsați link-uri suspecte și flori - este important. Cu toate acestea, după cum a arătat viața, o pilula magică, care vă va oferi 100% garanții de securitate, astăzi nu există.

Singura metodă eficientă de protecție împotriva extorsionatorilor de acest tip - copia de rezerva a datelor Pe alte medii fizice, inclusiv servicii cloud. Backup, Backup, Backup ...

Hackerii extorsionari sunt foarte asemănători cu șantajul obișnuit. Atât în \u200b\u200blumea reală, cât și în mediul cibernetic, există un obiect unic sau de atac de grup. Fie fură fie face inaccesibile. În plus, criminali folosesc anumite mijloace de comunicare cu victimele pentru a-și transfera cerințele. Încălcării computerului aleg de obicei doar câteva formate pentru a scrie cu cerința de răscumpărare, dar copiile sale pot fi detectate în aproape orice segment al memoriei sistemului infectat. În cazul unei familii spyware, cunoscută sub numele de Troldeș sau umbra, când contactează victima, sacrificiul practică o abordare specială.

Vom lua în considerare mai aproape de această tulpină a virusului de criptare, care se concentrează pe publicul vorbitor de limbă rusă. Cele mai multe infecții similare determină aspectul tastaturii pe PC care atacă și, dacă una dintre limbi este rusă, invazia este terminată. Cu toate acestea, extorcarea virusului XTBL. Inspecția: Din păcate, pentru utilizatori, atacul se desfășoară indiferent de locația lor geografică și preferințele lingvistice. O variantă de realizare vizuală a unei astfel de versatilități este un avertisment care apare sub forma fundalului desktop, precum și fișierul TCT cu instrucțiunile de plată Ransom.

Virusul XTBL este de obicei distribuit prin spam. Mesajele seamănă cu litere de branduri celebre sau pur și simplu izbitoare, deoarece există astfel de expresii în subiectul mesajului ca fiind "urgent!" sau "documente financiare importante". Trucul de phishing va funcționa atunci când destinatarul unui astfel de e-mail. Mesajele vor descărca un fișier zip care conține cod JavaScript sau un obiect DOCM cu o macro potențial vulnerabilă.

După efectuarea algoritmului de bază de pe PC-ul compromis, Troyan-extortor se desfășoară în căutarea datelor care pot reprezenta valoare pentru utilizator. În acest scop, virusul scanează memoria locală și externă, făcând simultan fiecare fișier cu un set de formate selectate pe baza expansiunii obiectului. Toate fișierele.jpg, .wav, .doc,

Există două aspecte ale unor astfel de efecte rău intenționate. În primul rând, utilizatorul pierde accesul la date importante. În plus, numele fișierelor sunt supuse codificării profunde, din care se obține un set fără sens de caractere hexazecimale la ieșire. Toate acestea combină numele fișierelor afectate este extensia XTBL adăugată la acestea, adică. Numele amenințării cibernetice. Numele fișierelor criptate au uneori un format special. În unele versiuni Trolded, numele obiectelor criptate pot rămâne neschimbate, iar codul unic este adăugat la sfârșit: [E-mail protejat], [E-mail protejat], Sau [E-mail protejat]

Evident, atacatorii, introducând o adresă de e-mail. Mail direct la numele falov, indică victimele metodei de comunicare. E-mailul este, de asemenea, listat în altă parte, și anume, în cerere, cererea de răscumpărare, care este conținută în fișierul "Readme.txt". Astfel de documente notepad vor apărea pe desktop, precum și în toate folderele cu date codificate. Promisiunea cheie este după cum urmează:

"Toate fișierele au fost criptate. Pentru a le descifra, trebuie să trimiteți codul: [Ciporul unic] la adresa de e-mail [E-mail protejat] Sau. [E-mail protejat] Apoi veți primi toate instrucțiunile necesare. Încercările de a descifra independent nu vor duce la altceva decât pierderea de informații irevocabile "

Adresa de e-mail poate varia în funcție de camera virusului de șantaj.

În ceea ce privește dezvoltarea ulterioară a evenimentelor: în termeni generali, fraudatorii îndeplinesc recomandarea de a enumera răscumpărarea, care poate fi de 3 biți sau cealaltă sumă în acest domeniu. Notă, nimeni nu poate garanta că hackerii își vor îndeplini promisiunea chiar și după primirea de bani. Pentru a restabili accesul la fișierele K.XTBL, utilizatorii afectați sunt recomandați în primul rând pentru a încerca toate metodele ternare disponibile. În unele cazuri, datele pot fi puse în ordine utilizând copia de umbră a volumului (copia de volum) furnizată direct în Windows, precum și software-ul definitor și de recuperare de date de la dezvoltatori de software independenți.

Ștergeți cifrul virusului XTBL cu cartel automat

O metodă excepțională de a lucra cu programe rău intenționate în programe generale și extorcare în special. Utilizarea complexului de protecție dovedită asigură o atenție deosebită detectării oricăror componente ale virusului, îndepărtarea completă cu un singur clic al mouse-ului. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe PC. Cu toate acestea, amenințarea este cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de calculator cu ajutorul său.

  1. . După începerea software-ului, faceți clic pe Porniți scanarea computerului. (Incepe scanarea).
  2. Software-ul stabilit va oferi un raport privind amenințările găsite în timpul scanării. Pentru a șterge toate amenințările găsite, selectați opțiunea. Repara amenințări. (Eliminați amenințările). Software-ul fără rău în cauză va fi complet eliminat.

Restaurați accesul la fișiere criptate cu extensie. XTBL

După cum sa menționat, programul XTBL-extorcare blochează fișierele utilizând un algoritm de criptare persistent, astfel încât datele criptate nu pot fi reluate cu un stick magic cu un val - dacă nu țineți cont de plata nemaiauzită a sumei răscumpărării. Dar unele metode pot deveni cu adevărat un bețișor, care va ajuta la restabilirea datelor importante. Mai jos vă puteți familiariza cu ei.

Descripție - Programul de recuperare automată a fișierului

Este cunoscută circumstanțe foarte extraordinare. Această infecție șterge fișierele sursă în formularul necriptat. Procesul de criptare în scopul extorcării se adresează copiilor lor. Aceasta oferă posibilitatea de a restabili obiectele șterse, chiar dacă este garantată fiabilitatea eliminării acestora. Se recomandă ferm să recurgă la procedura de recuperare a fișierelor, a căror eficiență a fost confirmată de mai multe ori.

Copii de umbră ale lui Tomov

Abordarea se bazează pe procedura de backup Windows, care se repetă la fiecare punct de recuperare. O condiție importantă pentru funcționarea acestei metode: Funcția de restaurare a sistemului trebuie să fie activată până la momentul infecției. În plus, orice modificare a fișierului efectuată după punctul de recuperare nu sunt afișate în versiunea recuperată a fișierului.

Backup.

Aceasta este cea mai bună dintre toate metodele nerambursate. Dacă procedura de backup de date la serverul extern a fost utilizată până la atacul programului de extorcare la computer, vi se va avea pur și simplu necesar pentru a restabili fișierele criptate pentru a introduce interfața corespunzătoare, pentru a selecta fișierele necesare și pentru a începe mecanismul de recuperare a datelor din rezervă . Înainte de a efectua operația, trebuie să vă asigurați că software-ul extorcibil este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale virusului XTBL

Curățarea în modul manual este plină de omisiunea de fragmente individuale de software exteritabil care poate evita ștergerea sub formă de obiecte secrete ale sistemului de operare sau a elementelor de registry. Pentru a elimina riscul de păstrare parțială a elementelor rău intenționate, scanați computerul utilizând un complex antivirus universal de încredere.



Ți-a plăcut articolul? Împărtășește-l
Articole recomandate pe această temă
Cauze de ce Flash Player nu funcționează și depanareaCauze de ce Flash Player nu funcționează și depanarea
Laptopul în sine se oprește, ce să facă?Laptopul în sine se oprește, ce să facă?
HP Pavilion DV6: Caracteristici și recenziiHP Pavilion DV6: Caracteristici și recenzii
Vizitatorii discută acum
Reportarea reprezentării unui număr de puncte plutitoare Cum numerele negative sunt stocate în memoria computeruluiReportarea reprezentării unui număr de puncte plutitoare Cum numerele negative sunt stocate în memoria computerului ASUS.
Cartofi prăjiți și nu pornește ce să facă?Cartofi prăjiți și nu pornește ce să facă? D-Link.
De ce nu funcționează mouse-ul pe un laptop sau mouse?De ce nu funcționează mouse-ul pe un laptop sau mouse? Android
Cum să măriți sau să micșorați amploarea paginii (font) în colegii de clasă?Cum să măriți sau să micșorați amploarea paginii (font) în colegii de clasă? Probleme