Як вилікувати та розшифрувати файли після вірусу-шифрувальника. Шифруючий вірус: як видалити та розшифрувати файли після його дії? Усі файли на вашому комп'ютері зашифровані

Те, що в Інтернеті сповнене вірусів, сьогодні нікого не дивує. Багато користувачів сприймають ситуації, пов'язані з їх впливом на системи чи особисті дані, м'яко кажучи, дивлячись крізь пальці, але тільки до тих пір, поки в системі безпосередньо не обгрунтується вірус-шифрувальник. Як вилікувати і розшифрувати дані, що зберігаються на жорсткому диску, більшість звичайних користувачів не знає. Тому цей контингент і «ведеться» на вимоги, які висувають зловмисники. Але давайте подивимося, що можна зробити у разі виявлення такої загрози або недопущення її проникнення в систему.

Що таке вірус-шифрувальник?

Загроза такого типу використовує стандартні та нестандартні алгоритми шифрування файлів, які повністю змінюють їх вміст та блокують доступ. Наприклад, відкрити текстовий зашифрований файл для читання чи редагування, так само як і відтворити мультимедійний контент (графіка, відео чи аудіо), після дії вірусу буде абсолютно неможливо. Навіть стандартні дії щодо копіювання або переміщення об'єктів виявляються недоступними.

p align="justify"> Сама програмна начинка вірусу є тим засобом, який шифрує дані таким чином, що відновити їх вихідний стан навіть після видалення загрози з системи не завжди буває можливо. Зазвичай такі шкідливі програми створюють власні копії та осідають у системі дуже глибоко, тому вірус-шифрувальник файлів буває видалити неможливо. Деінсталюючи основну програму або видаляючи основне тіло вірусу, користувач не позбавляється впливу загрози, не кажучи вже про відновлення зашифрованої інформації.

Як загроза проникає у систему?

Як правило, загрози цього типу здебільшого орієнтовані на великі комерційні структури і можуть проникати на комп'ютери через поштові програми, коли якийсь співробітник відкриває нібито вкладений документ в електронній пошті, що є, скажімо, доповненням до якогось договору про співпрацю або до плану поставок товару (комерційні пропозиції із вкладеннями із сумнівних джерел - перший шлях для вірусу).

Біда в тому, що вірус-шифрувальник на машині, що має доступ до локальної мережі, здатний адаптуватися і в ній, створюючи власні копії не тільки в мережевому оточенні, але і на адміністраторському терміналі, якщо на ньому відсутні засоби захисту у вигляді антивірусного ПЗ, файрвола чи брендмауера.

Іноді такі загрози можуть проникати і в комп'ютерні системи рядових користувачів, які за великим рахунком інтересу для зловмисників не становлять. Відбувається це в момент встановлення якихось програм, завантажених із сумнівних інтернет-ресурсів. Багато користувачів при старті завантаження ігнорують попередження антивірусної системи захисту, а в процесі інсталяції не звертають уваги на пропозиції встановлення додаткового ПЗ, панелей або плагінів для браузерів, а потім, що називається, кусають лікті.

Різновиди вірусів та небагато історії

Здебільшого загрози цього типу, зокрема найнебезпечніший вірус-шифрувальник No_more_ransom, класифікуються як інструменти шифрування даних чи блокування доступу до них. Насправді всі такі шкідливі програми належать до категорії здирників. Іншими словами, зловмисники вимагають певну винагороду за розшифровку інформації, вважаючи, що без початкової програми зробити цей процес буде неможливо. Частково так воно і є.

Але, якщо копнути в історію, можна помітити, що одним з найперших вірусів цього типу, щоправда, не виставляв вимоги по грошах, був сумнозвісний аплет I Love You, який повністю зашифровував в системах користувача файли мультимедіа (в основному музичні треки). Розшифровка файлів після вірусу-шифрувальника на той момент виявлялася неможливою. Зараз саме із цією загрозою боротися можна елементарно.

Але ж і розвиток самих вірусів або алгоритмів шифрування, що використовуються, на місці не стоїть. Чого тільки немає серед вірусів – тут вам і XTBL, і CBF, і Breaking_Bad, та [email protected], І ще купа всякої гидоти.

Методика впливу на файли користувача

І якщо донедавна більшість атак здійснювалося з використанням алгоритмів RSA-1024 на основі шифрування AES з такою ж бітністю, той же вірус-шифрувальник No_more_ransom сьогодні представлений у кількох інтерпретаціях, що використовують ключі шифрування на основі технологій RSA-2048 і навіть RSA-307.

Проблеми розшифрування використовуваних алгоритмів

Біда в тому, що сучасні системи дешифрування перед такою небезпекою виявилися безсилими. Розшифровка файлів після вірусу-шифрувальника на основі AES256 ще сяк-так підтримується, а за умови вищої бітності ключа практично всі розробники просто розводять руками. Це, до речі, офіційно підтверджено фахівцями з "Лабораторії Касперського" та компанії Eset.

У самому примітивному варіанті користувачеві, що звернувся в службу підтримки, пропонується надіслати зашифрований файл і його оригінал для порівняння і проведення подальших операцій з визначення алгоритму шифрування і методів відновлення. Але, як правило, здебільшого цей результат не дає. Але вірус-шифрувальник розшифрувати файли може і сам, як вважається, за умови того, що жертва погодиться з умовами зловмисників та виплатить певну суму у грошовому еквіваленті. Однак така постановка питання викликає законні сумніви. І ось чому.

Вірус-шифрувальник: як вилікувати та розшифрувати файли і чи можна це зробити?

Як стверджується, після оплати хакери активують дешифрування через віддалений доступ до свого вірусу, який сидить у системі, або через додатковий аплет, якщо вірус видалено. Виглядає це більш ніж сумнівно.

Хочеться наголосити і на тому, що в Інтернеті повно фейкових постів про те, що, мовляв, необхідну суму було сплачено, а дані успішно відновлено. Це все брехня! І справді – де гарантія, що після оплати вірус-шифрувальник у системі не активується знову? Зрозуміти психологію хакерів неважко: заплатив один раз – заплатиш знову. А якщо йдеться про особливо важливу інформацію на кшталт специфічних комерційних, наукових чи військових розробок, власники такої інформації готові заплатити скільки завгодно, аби файли залишилися цілими та безпековими.

Перший засіб для усунення загрози

Такий за своєю природою вірус-шифрувальник. Як вилікувати та розшифрувати файли після впливу загрози? Та ніяк, якщо немає підручних засобів, які також не завжди допомагають. Але спробувати можна.

Припустимо, що у системі з'явився вірус-шифрувальник. Як вилікувати заражені файли? Для початку слід зробити поглиблене сканування системи без застосування технології S.M.A.R.T., яка передбачає виявлення погроз виключно при пошкодженні завантажувальних секторів і системних файлів.

Бажано не використовувати штатний сканер, який вже пропустив загрозу, а застосувати портативні утиліти. Оптимальним варіантом стане завантаження з диска Kaspersky Rescue Disk, яке може стартувати ще до початку операційної системи.

Але це всього половина справи, оскільки таким чином можна позбутися лише самого вірусу. А ось із дешифратором буде складніше. Але про це трохи згодом.

Є ще одна категорія, під яку потрапляють віруси-шифрувальники. Як розшифрувати інформацію, буде сказано окремо, а поки що зупинимося на тому, що вони можуть повністю відкрито існувати в системі у вигляді офіційно встановлених програм і додатків (нахабство зловмисників не знає межі, оскільки загроза навіть не намагається маскуватися).

У цьому випадку слід використовувати розділ програм та компонентів, де виконується стандартне видалення. Однак слід звернути увагу і на те, що стандартний деінсталятор Windows-систем повністю всі файли програми не видаляє. Зокрема, вірус-шифрувальник ransom здатний створювати власні папки в кореневих директоріях системи (зазвичай це каталоги Csrss, де є однойменний виконуваний файл csrss.exe). В якості основного розташування вибираються папки Windows, System32 або директорії користувача (Users на системному диску).

Крім того, вірус-шифрувальник No_more_ransom прописує в реєстрі власні ключі у вигляді посилання начебто офіційну системну службу Client Server Runtime Subsystem, що багатьох вводить в оману, оскільки ця служба повинна відповідати за взаємодію клієнтського і серверного ПЗ. Сам ключ знаходиться в папці Run, дістатися якої можна через гілку HKLM. Зрозуміло, що видаляти такі ключі потрібно буде вручну.

Щоб було простіше, можна скористатися утилітами на зразок iObit Uninstaller, які шукають залишкових файлів і ключів реєстру автоматично (але лише за умови, що вірус у системі видно як встановлений додаток). Але це найпростіше, що можна зробити.

Рішення, які пропонують розробники антивірусного ПЗ

Розшифровка вірусу-шифрувальника, як вважається, може проводитися за допомогою спеціальних утиліт, хоча за наявності технологій з ключем 2048 або 3072 біта на них особливо розраховувати не варто (до того ж багато хто з них видаляє файли після дешифрування, а потім відновлені файли зникають з вини присутності тіла вірусу, яке було видалено до цього).

Проте спробувати можна. З усіх програм варто виділити RectorDecryptor та ShadowExplorer. Як вважається, поки що нічого кращого створено не було. Але проблема може полягати ще й у тому, що при спробі застосування дешифратора гарантії того, що файли, що виліковуються, не будуть видалені, немає. Тобто, якщо не позбутися вірусу від початку, будь-яка спроба дешифрування буде приречена на провал.

Крім видалення зашифрованої інформації може бути і смерть - непрацездатною виявиться вся система. Крім того, сучасний вірус-шифрувальник здатний впливати не тільки на дані, що зберігаються на жорсткому диску комп'ютера, а й на файли в сховище хмар. А тут рішень щодо відновлення інформації немає. До того ж, як виявилося, у багатьох службах вживаються недостатньо ефективні заходи захисту (той самий вбудований у Windows 10 OneDrive, який піддається впливу прямо з операційної системи).

Кардинальне вирішення проблеми

Як відомо, більшість сучасних методик позитивного результату при зараженні подібними вірусами не дає. Звичайно, якщо є оригінал пошкодженого файлу, його можна відправити на експертизу до антивірусної лабораторії. Правда, дуже серйозні сумніви викликає і те, що рядовий користувач буде створювати резервні копії даних, які при зберіганні на жорсткому диску теж можуть зазнати впливу шкідливого коду. А про те, що, щоб уникнути неприємностей, користувачі копіюють інформацію на знімні носії, не йдеться взагалі.

Таким чином, для кардинального вирішення проблеми висновок напрошується сам собою: повне форматування вінчестера та всіх логічних розділів із видаленням інформації. А що робити? Доведеться пожертвувати, якщо не бажаєте, щоб вірус або його самозбережена копія активувалися в системі знову.

Для цього не варто використовувати засоби самих Windows-систем (мається на увазі форматування віртуальних розділів, оскільки при спробі доступу до системного диска буде видано заборону). Краще застосовувати завантаження з оптичних носіїв на кшталт LiveCD або настановних дистрибутивів, наприклад, створених за допомогою утиліти Media Creation Tool для Windows 10.

Перед початком форматування за умови видалення вірусу з системи можна спробувати відновити цілісність системних компонентів через командний рядок (sfc /scannow), але в плані дешифрування та розблокування даних це ефекту не дасть. Тому format c: - єдине правильне рішення, подобається вам це чи ні. Тільки так і можна повністю позбавитися загроз цього типу. На жаль, інакше - ніяк! Навіть лікування стандартними засобами, пропонованими більшістю антивірусних пакетів, виявляється безсилим.

Замість післямови

У плані висновків, що напрошуються, можна сказати тільки те, що єдиного та універсального рішення щодо усунення наслідків впливу такого роду загроз на сьогоднішній день не існує (сумно, але факт - це підтверджено більшістю розробників антивірусного ПЗ та фахівцями в галузі криптографії).

Залишається незрозумілим, чому поява алгоритмів на основі 1024-, 2048- та 3072-бітного шифрування пройшла повз ті, хто безпосередньо займається розробкою та впровадженням таких технологій? Адже на сьогоднішній день найперспективнішим і найзахищенішим вважається алгоритм AES256. Зауважте! 256! Ця система сучасним вірусам, як виявляється, і підмітки не годиться. Що тоді говорити про спроби розшифрування їх ключів?

Тим не менш, уникнути впровадження загрози в систему можна досить просто. У найпростішому варіанті слід перевіряти всі вхідні повідомлення з вкладеннями у програмах Outlook, Thunderbird та інших поштових клієнтах антивірусом відразу після отримання і в жодному разі відкривати вкладення до закінчення перевірки. Також слід уважно читати пропозиції щодо встановлення додаткового ПЗ при інсталяції деяких програм (зазвичай вони написані дуже дрібним шрифтом або замасковані під стандартні надбудови на кшталт оновлення Flash Player або ще). Компоненти мультимедіа найкраще оновлювати через офіційні сайти. Тільки так і можна хоч якось перешкоджати проникненню таких загроз у власну систему. Наслідки можуть бути абсолютно непередбачуваними, якщо зважити на те, що віруси цього типу моментально поширюються в локальній мережі. А для фірми такий оборот подій може стати справжнім крахом усіх починань.

Зрештою, і системний адміністратор не повинен сидіти без діла. Програмні засоби захисту у такій ситуації краще виключити. Той самий файрвол (міжмережевий екран) має бути не програмним, а «залізним» (звісно, з супутнім ПЗ на борту). І, зрозуміло, що економити на придбанні антивірусних пакетів теж не варто. Краще купити ліцензійний пакет, а не встановлювати примітивні програми, які нібито забезпечують захист у реальному часі лише за словами розробника.

І якщо вже загроза в систему все ж таки проникла, послідовність дій повинна включати видалення самого тіла вірусу, а тільки потім спроби дешифрування пошкоджених даних. В ідеалі - повне форматування (зауважте, не швидке з очищенням змісту, а саме повне, бажано з відновленням або заміною існуючої файлової системи, завантажувальних секторів та записів).

Зазвичай робота шкідливих програм спрямовано отримання контролю над комп'ютером, включення їх у зомбі-мережа чи розкрадання особистих даних. Неуважний користувач може довго не помічати, що система заражена. Але віруси-шифрувальники, зокрема xtbl, працюють зовсім інакше. Вони роблять непридатними для користувача файли, шифруючи їх найскладнішим алгоритмом і вимагаючи від власника великої суми за можливість відновити інформацію.

Причина проблеми: вірус xtbl

Вірус-шифрувальник xtbl отримав свою назву через те, що зашифровані ним користувацькі документи отримують розширення.xtbl. Зазвичай кодувальники залишають у тілі файлу ключ для того, щоб універсальна програма дешифратор могла відновити інформацію у вихідному вигляді. Однак вірус призначений для інших цілей, тому замість ключа на екрані з'являється пропозиція заплатити деяку суму за анонімними реквізитами.

Як працює вірус xtbl

Вірус потрапляє на комп'ютер за допомогою листів, що розсилаються електронною поштою, із зараженими вкладеннями, що являють собою файли офісних додатків. Після того, як користувач відкрив вміст повідомлення, шкідлива програма починає пошук фотографій, ключів, відео, документів і так далі, а потім за допомогою оригінального складного алгоритму (гібридне шифрування) перетворює їх на xtbl-сховища.

Для зберігання файлів вірус використовує системні папки.

Вірус вносить себе у список автозавантаження. Для цього він додає записи в реєстрі Windows у розділах:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражений комп'ютер працює стабільно, система не «падає», але в оперативній пам'яті постійно знаходиться невелика програма (або два) з незрозумілою назвою. А папки з робочими файлами користувача набувають дивного вигляду.

На робочому столі замість заставки з'являється повідомлення:

Ваші файли були зашифровані. Щоб розшифрувати їх, вам необхідно надіслати код на електронну адресу: [email protected](Далі слідує код). Після цього ви отримаєте подальші вказівки. Самостійні спроби розшифрувати файли призведуть до їх повного знищення.

Той самий текст міститься у створеному файлі How to decrypt your files.txt. Адреса електронної пошти, код, запитувана сума можуть змінюватися.

Досить часто одні шахраї заробляють на інших - у тіло вірусу вставляється номер електронного гаманця здирників, які не мають можливості розшифрувати файли. Так що довірливий користувач, відправивши гроші, нічого не отримує натомість.

Чому не варто платити здирникам

Погоджуватися на співпрацю з здирниками не можна не лише через моральні принципи. Це нерозумно і з практичного погляду.

Шахрайство. Не факт, що зловмисники можуть розшифровувати ваші файли. Не є доказом і повернена вам одна з нібито розшифрованих фотографій - це може бути просто вкрадений до шифрування оригінал. Заплачені гроші підуть без користі.

Можливість повтору. Підтвердивши свою готовність платити, ви станете бажанішим видобутком для повторної атаки. Можливо, наступного разу ваші файли матимуть інше розширення, а на заставці з'явиться інше повідомлення, але гроші вирушать тим самим людям.

Конфіденційність. Поки що файли хоч і зашифровані, але знаходяться на вашому комп'ютері. Домовившись із «чесними лиходіями», ви будете змушені надіслати їм всю свою особисту інформацію. Алгоритм не передбачає отримання ключа та самостійне розшифрування, тільки пересилання файлів декодувальнику.

Зараження комп'ютера. Ваш комп'ютер все ще заражений, тому розшифровка файлів не є повним вирішенням проблеми.

Як захистити систему від вірусу

Універсальні правила захисту від шкідливих програм та мінімізації збитків допоможуть і в цьому випадку.

Остерігатися випадкових зв'язків. Не потрібно відкривати листи, отримані від незнайомих відправників, включаючи рекламу та бонусні пропозиції. В крайньому випадку їх можна прочитати, попередньо зберігши вкладення на диску і перевіривши його антивірусом.

Користуватись захистом. Антивірусні програми постійно поповнюють бібліотеки шкідливих кодів, тому актуальна версія захисника не пропустить більшість вірусів на комп'ютер.

Розподіляти доступ. Вірус завдасть значно більшої шкоди, якщо проникне через обліковий запис адміністратора. Краще працювати від імені користувача, тим самим різко звужуючи можливості зараження.

Створювати резервні копії. Важливо регулярно копіювати на зовнішні носії, що зберігаються окремо від комп'ютера. Також не слід забувати про створення резервних точок відновлення Windows.

Чи можливо відновити зашифровану інформацію

Хороша новина: відновити дані можна. Погана: самостійно це зробити не вдасться. Причиною тому є особливість алгоритму шифрування, підбір ключа до якого вимагає набагато більше ресурсів і накопичених знань, ніж у звичайного користувача. На щастя, розробники антивірусів вважають справою честі розібратися з кожною шкідливою програмою, тому навіть якщо нині вони не зможуть впоратися з вашим шифрувальником, через місяць-два обов'язково знайдуть рішення. Прийде запастися терпінням.

Через необхідність звернення до фахівців змінюється алгоритм роботи із зараженим комп'ютером. Загальне правило: що менше змін, то краще.Антивіруси визначають метод лікування за родовими ознаками шкідливої програми, тому інфіковані файли для них є джерелом важливої інформації. Видаляти їх потрібно лише після вирішення основної проблеми.

Друге правило: за всяку ціну перервати роботу вірусу. Можливо, він ще не всю інформацію зіпсував, а також залишилися в оперативній пам'яті сліди шифрувальника, за допомогою яких його можна визначити. Тому потрібно відразу ж вимикати комп'ютер із мережі, а ноутбук відключати довгим натисканням кнопки. Цього разу не підійде стандартна «дбайлива» процедура вимикання, що дає можливість коректно завершитися всім процесам, оскільки один із них – кодування вашої інформації.

Відновлюємо зашифровані файли

Якщо ви встигли вимкнути комп'ютер

Якщо ви встигли вимкнути комп'ютер до закінчення процесу шифрування, то не потрібно вмикати його самостійно. Несіть "хворого" відразу до фахівців, перерване кодування значно збільшує шанси зберегти особисті файли. Тут же можна в безпечному режимі перевірити ваші носії інформації та створити резервні копії. З високою ймовірністю і сам вірус виявиться відомим, тому лікування від нього буде успішним.

Якщо шифрування завершилося

На жаль, можливість успішного переривання процесу шифрування дуже мала. Зазвичай вірус встигає закодувати файли та видалити зайві сліди з комп'ютера. І тепер у вас дві проблеми: Windows все ще заражена, а особисті файли перетворилися на набір символів. Для вирішення другого завдання необхідно скористатися за допомогою виробників антивірусного програмного забезпечення.

Dr.Web

Лабораторія Dr.Web надає свої послуги дешифрування безкоштовно лише власникам комерційних ліцензій. Іншими словами, якщо ви ще не їхній клієнт, але хочете відновити свої файли, доведеться купити програму. Враховуючи ситуацію, що склалася, це потрібне вкладення.

Наступний крок – перехід на сайт виробника та заповнення вхідної форми.

Якщо серед зашифрованих файлів є такі копії яких збереглися на зовнішніх носіях, їх передача значно полегшить роботу декодувальників.

Касперський

Лабораторія Касперського розробила власну утиліту для дешифрування, що називається RectorDecryptor, яку можна завантажити на комп'ютер із офіційного сайту компанії.

Для кожної версії операційної системи, включаючи Windows 7, передбачено свою утиліту. Після завантаження натисніть екранну кнопку «Почати перевірку».

Робота сервісів може затягнутися деякий час, якщо вірус відносно новий. У такому разі компанія зазвичай надсилає відповідне повідомлення. Іноді розшифрування здатне зайняти кілька місяців.

Інші сервіси

Сервісів з аналогічними функціями стає дедалі більше, що говорить про затребуваність послуги дешифрування. Алгоритм дій той самий: заходимо на сайт (наприклад, https://decryptcryptolocker.com/), реєструємось та відправляємо зашифрований файл.

Програми-дешифратори

Пропозицій «універсальних дешифраторів» (зрозуміло, платних) у мережі дуже багато, проте користь від них є сумнівною. Звичайно, якщо самі виробники вірусу напишуть дешифратор, він працюватиме успішно, але та ж програма виявиться марною для іншої шкідливої програми. Крім того, фахівці, які регулярно стикаються з вірусами, зазвичай мають повний пакет необхідних утиліт, тому всі працюючі програми у них є з високою ймовірністю. Купівля такого дешифратора, швидше за все, виявиться марною тратою грошей.

Як розшифрувати файли за допомогою лабораторії Касперського

Самостійне відновлення інформації

Якщо з якихось причин не можна звернутися до сторонніх фахівців, можна спробувати відновити інформацію своїми силами. Зауважимо, що у разі невдачі файли можуть бути втрачені остаточно.

Відновлення видалених файлів

Після шифрування вірус видаляє вихідні файли. Однак Windows 7 деякий час зберігає всю віддалену інформацію у вигляді так званої тіньової копії.

ShadowExplorer

ShadowExplorer – це утиліта, призначена для відновлення файлів з їх тіньових копій.

Для встановлення зайдіть на сайт розробника і скачайте архів, після розпакування якого модуль, що виконується, буде зберігатися в папці ShadowExplorerPortable з такою ж назвою. На робочому столі з'явиться ярлик швидкого запуску.

Далі усі дії інтуїтивно зрозумілі. Запустіть програму та у вікні зліва вгорі виберіть диск, на якому зберігалися дані, та дату створення тіньової копії. Вам потрібна найсвіжіша дата.

Тепер знайдіть розділ, в якому містилися робочі файли, і клацніть правою кнопкою миші. У контекстному меню виберіть Export, потім вкажіть шлях збереження відновлених файлів. Програма знайде всі наявні тіньові копії в цій папці та експортує їх за призначенням.

PhotoRec

Безкоштовна утиліта PhotoRec працює за таким же принципом, але в пакетному режимі.

Завантажте архів із сайту розробника та розпакуйте його на диск. Виконуваний файл називається QPhotoRec_Win.

Після запуску програма у діалоговому вікні покаже список усіх доступних дискових пристроїв. Виберіть те, у якому зберігалися зашифровані файли, та вкажіть шлях для збереження відновлених копій.

Для зберігання краще використовувати зовнішній носій, наприклад, USB-флешку, оскільки кожен запис на диск небезпечний стиранням тіньових копій.

Вибравши потрібні каталоги, натисніть на екранну кнопку File Formats.

Меню, що розкрилося, являє собою перелік типів файлів, які може відновити програму. За замовчуванням навпроти кожного стоїть позначка, проте для прискорення роботи можна зняти зайві «пташки», залишивши лише відповідні типи файлів, що відновлюються. Завершивши вибір, натисніть на екранну кнопку «ОК».

Після завершення вибору доступна екранна кнопка Search. Натисніть її. Процедура відновлення - це трудомісткий процес, тому запасіться терпінням.

Дочекавшись завершення процесу, натисніть екранну кнопку Quit і вийдіть із програми.

Відновлені файли розміщені у вказаному раніше каталозі та розкладені за папками з однаковими назвами recup_dir.1, recup_dir.2, recup_dir.3 тощо. Послідовно перегляньте кожну та поверніть їм колишні імена.

Видалення вірусу

Оскільки вірус потрапив на комп'ютер, встановлені захисні програми не впоралися зі своїм завданням. Можна скористатися сторонньою допомогою.

Важливо! Видалення вірусу лікує комп'ютер, але не відновлює зашифровані файли. Крім того, встановлення нового програмного забезпечення може пошкодити або стерти деякі тіньові копії файлів, необхідні для їх відновлення. Тому краще інсталювати програми на інші диски.

Kaspersky Virus Removal Tool

Безкоштовна програма відомого розробника антивірусного програмного забезпечення, яку можна завантажити на сайті Лабораторії Касперського. Після запуску Kaspersky Virus Removal Tool одразу пропонує розпочати перевірку.

Після натискання великої екранної кнопки "Почати перевірку" програма запускає сканування комп'ютера.

Залишилося дочекатися закінчення сканування та видалити знайдених непроханих гостей.

Malwarebytes Anti-malware

Ще один розробник антивірусного програмного забезпечення, що надає безкоштовну версію сканера. Алгоритм дій той самий:

Завантажте з офіційної сторінки виробника файл для Malwarebytes Anti-malware, після чого запустіть програму установки, відповідаючи на запитання і натискаючи кнопку «Далі».

Основне вікно запропонує відразу ж оновити програму (корисна процедура, яка освіжає бази вірусів). Після цього запустіть перевірку, натиснувши відповідну кнопку.

Malwarebytes Anti-malware поетапно сканує систему, виводячи на екран проміжні результати роботи.

Знайдені віруси, включаючи шифрувальників, демонструються у фінальному вікні. Позбавтеся їх, натиснувши екранну кнопку «Видалити вибране».

Для коректного видалення деяких шкідливих програм Malwarebytes Anti-malware запропонує здійснити перезавантаження системи, з цим потрібно погодитися. Після відновлення роботи Windows антивірус продовжить чищення.

Чого робити не слід

Вірус XTBL, як і інші віруси-шифрувальники, завдає шкоди і системі, і інформації користувача. Тому для зменшення можливої шкоди слід дотримуватися деяких застережень:

Не чекати на закінчення шифрування. Якщо на ваших очах почалося шифрування файлів, не варто чекати, чим усе закінчиться, або намагатися перервати процес програмними засобами. Відразу ж відключайте живлення комп'ютера та дзвоніть фахівцям.
Не намагайтеся видалити вірус самостійно, якщо є можливість довіритися професіоналам.
Не встановлювати систему до закінчення лікування. Вірус благополучно заразить і нову систему.
Не перейменовуйте зашифровані файли. Це лише ускладнить роботу дешифратора.
Не намагайтеся прочитати заражені файли на іншому комп'ютері, перш ніж видаляти вірус. Це може призвести до поширення зараження.
Чи не платити здирникам. Це марно, і заохочує творців вірусів та шахраїв.
Не забувати про профілактику. Встановлення антивірусу, регулярне резервне копіювання, створення точок відновлення значно зменшать можливу шкоду від шкідливих програм.

Лікування комп'ютера, зараженого вірусом-шифрувальником, є довгою і далеко не завжди успішною процедурою. Тому так важливо дотримуватися запобіжних заходів при отриманні інформації з мережі та роботі з неперевіреними зовнішніми носіями.

Хакери-здирники дуже схожі на звичайних шантажистів. Як у реальному світі, так і в кібер-середовищі є одиничний чи груповий об'єкт атаки. Його чи крадуть чи роблять недоступним. Далі злочинці використовують певні засоби комунікації з жертвами передачі своїх вимог. Комп'ютерні шахраї зазвичай вибирають лише кілька форматів для письма з вимогою викупу, але його копії можна знайти практично у будь-якій ділянці пам'яті інфікованої системи. У випадку сім'ї шпигунського програмного забезпечення, відомого як Troldesh або Shade, при контакті з жертвою аферисти практикують особливий підхід.

Розглянемо ближче цей штам вірусу-шифрувальника, який орієнтований на російськомовну аудиторію. Більшість аналогічних інфекцій визначає розкладку клавіатури на ПК, що атакується, і якщо однією з мов є російська, вторгнення припиняється. Проте вірус-вимагач XTBLнерозбірливий: на нещастя для користувачів, атака розгортається незалежно від їхнього географічного розташування та мовних уподобань. Наочним втіленням такої універсальності є попередження, яке з'являється у вигляді фону робочого столу, а також ТХТ файлу з інструкцією зі сплати викупу.

Вірус XTBL зазвичай розповсюджується через спам. Повідомлення нагадують листи відомих брендів, або просто впадають у вічі, оскільки в темі повідомлення використовуються такі вирази, як «Терміново!» або "Важливі фінансові документи". Фішинговий прийом спрацює, коли одержувач такого ел. повідомлення завантажить ZIP-файл, що містить код JavaScript, або об'єкт Docm з потенційно вразливим макросом.

Виконавши базовий алгоритм на скомпрометованому ПК, троян-вимагач переходить до пошуку даних, які можуть бути цінними для користувача. З цією метою вірус сканує локальну та зовнішню пам'ять, одночасно зіставляючи кожен файл із набором форматів, підібраних на основі розширення об'єкта. Всі файли .jpg, .wav, .doc, .xls, а також безліч інших об'єктів піддаються шифруванню через симетричний блоковий крипто-алгоритм AES-256.

Розрізняють два аспекти такого шкідливого впливу. Перш за все, користувач втрачає доступ до важливих даних. Крім того, імена файлів піддаються глибокому кодуванню, з якого на виході виходить безглуздий набір із шістнадцяткових символів. Все, що поєднує імена уражених файлів, це додане до них розширення xtbl, тобто. назва кібер-загрози. Імена зашифрованих файлів мають особливий формат. У деяких версіях Troldesh імена зашифрованих об'єктів можуть залишатися без змін, а наприкінці додається унікальний код: [email protected], [email protected], or [email protected].

Очевидно, зловмисники запровадили адреси ел. пошти безпосередньо в назви фалів, вказують жертвам спосіб комунікації. Електронна пошта також вказана в іншому місці, а саме у листі-вимоги викупу, який міститься у файлі "Readme.txt". Такі Notepad-документи з'являться на робочому столі, а також у всіх папках із закодованими даними. Ключове посилання полягає в наступному:

“Всі файли були зашифровані. Щоб розшифрувати їх, Вам необхідно надіслати код: [Ваш унікальний шифр] на електронну адресу [email protected] or [email protected]. Далі ви отримаєте усі необхідні інструкції. Спроби розшифрувати самостійно не призведуть ні до чого, окрім безповоротної втрати інформації”

Електронна адреса може змінюватися залежно від групи шантажистів, що поширює вірус.

Що стосується подальшого розвитку подій: загалом, шахраї відповідають рекомендацією перерахувати викуп, який може становити 3 біткойн, або іншу суму в цьому діапазоні. Зверніть увагу, що ніхто не може гарантувати, що хакери виконають свою обіцянку навіть після отримання грошей. Щоб відновити доступ до .xtbl файлів, постраждалим користувачам рекомендується в першу чергу випробувати всі тернативні способи. У деяких випадках дані можна упорядкувати за допомогою служби тіньового копіювання томів (Volume Shadow Copy), передбаченої безпосередньо в ОС Windows, а також програм-дешифраторів та відновлення даних від незалежних розробників ПЗ.

Видалити вірус-шифрувальник XTBL за допомогою автоматичного чистильника

Винятково ефективний метод роботи зі шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянів за її допомогою.

. Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування).
Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.

Відновити доступ до зашифрованих файлів із розширенням.xtbl

Як було зазначено, програма-вимагач XTBL блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички – якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете ознайомитися з ними.

Дешифратор – програма автоматичного відновлення файлів

Відома дуже неординарна обставина. Ця інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це надає можливість програмним засобам як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, ефективність якої була підтверджена вже не один раз.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється у кожній точці відновлення. Важлива умова роботи даного методу: функція “Відновлення системи” має бути активовано до зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.

Резервне копіювання

Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файли та запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання повністю видалено.

Перевірити можливу наявність залишкових компонентів вірусу-вимагача XTBL

Очищення в ручному режимі загрожує упущенням окремих фрагментів здирницького ПЗ, які можуть уникнути видалення у вигляді прихованих об'єктів операційної системи або елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування комп'ютера за допомогою надійного універсального антивірусного комплексу.

Сьогодні користувачам комп'ютерів і ноутбуків все частіше доводиться стикатися зі шкідливими програмами, які підміняють файли зашифрованими копіями. По суті це віруси. Одним із найнебезпечніших у цій серії вважається шифрувальник XTBL. Що таке шкідник, як потрапляє в комп'ютер користувача і чи можна відновити пошкоджену інформацію?

Що являє собою XTBL-шифрувальник і як потрапляє в комп'ютер

Якщо ви виявили у себе на комп'ютері або в ноутбуці файли з довгою назвою, що мають розширення. Він вражає всі версії Windows. Самостійно розшифрувати подібні файли практично нереально, адже програма використовує гібридний режим, у якому підбір ключа просто неможливий.

Зараженими файлами заповнюються системні каталоги. Додаються записи до реєстру Windows, які автоматично запускають вірус при кожному старті ОС.

Шифруються практично всі типи файлів – графічні, текстові, архівні, поштові, відео, музичні та ін. Працювати у Windows стає неможливо.

Як це діє? Запущений у Windows XTBL-шифрувальник спочатку сканує всі логічні диски. Сюди включаються хмарні та мережеві сховища, розташовані на комп'ютері. В результаті файли групуються за розширенням і потім шифруються. Таким чином, вся цінна інформація, яка розміщена в папках користувача, стає недоступною.

Ось таку картину побачить користувач замість піктограм із найменуваннями звичних файлів

Під впливом XTBL-шифрувальника розширення файлу змінюється. Тепер користувач бачить піктограму порожнього листа та довгу назву із закінченням.xtbl замість зображення чи тексту у Word. Крім того, на робочому столі з'являється повідомлення, своєрідна інструкція щодо відновлення зашифрованої інформації, що вимагає оплатити розблокування. Це не що інше, як шантаж із вимогою викупу.

Таке повідомлення висвічується у вікні робочого столу комп'ютера

Поширення XTBL-шифрувальника зазвичай відбувається через електронну пошту. У листі містяться вкладені файли або документи, заражені вірусом. Шахрай приваблює користувача барвистим заголовком. Все робиться для того, щоб послання, в якому йдеться про те, що ви, наприклад, виграли мільйон, було відкрито. Не реагуйте на такі повідомлення, інакше є великий ризик, що вірус опиниться у вашій ОС.

Чи є можливість відновити інформацію

Можна спробувати розшифрувати інформацію, скориставшись спеціальними утилітами.Однак немає жодної гарантії, що ви зможете позбутися вірусу та відновити пошкоджені файли.

В даний час XTBL-шифрувальник представляє безперечну загрозу для всіх комп'ютерів із встановленою ОС Windows. Навіть у визнаних лідерів у боротьбі з вірусами – Dr.Web та Лабораторії Касперського – немає 100% вирішення цього питання.

Видалення вірусу та відновлення зашифрованих файлів

Є різні методи та програми, що дозволяють працювати з XTBL-шифрувальником.Одні видаляють сам вірус, інші намагаються розшифрувати заблоковані файли або відновити попередні копії.

Переривання зараження комп'ютера

Якщо вам пощастило помітити початок появи на комп'ютері файлів з розширенням .xtbl, процес подальшого зараження цілком реально перервати.

Kaspersky Virus Removal Tool для видалення XTBL-шифрувальника

Усі подібні програми слід відкривати в ОС, попередньо запущеній у безпечному режимі з варіантом завантаження мережних драйверів. У цьому випадку вірус видалити набагато простіше, оскільки підключено мінімальну кількість системних процесів, необхідних для запуску Windows.

Щоб завантажити безпечний режим у Windows XP, 7 під час запуску системи постійно натискайте клавішу F8 і після появи вікна меню виберіть відповідний пункт. У разі використання Windows 8, 10 слід перезапустити ОС, утримуючи клавішу Shift. Під час запуску відкриється вікно, де можна буде вибрати необхідний варіант безпечного завантаження.

Вибір безпечного режиму із завантаженням мережевих драйверів

Програма Kaspersky Virus Removal Tool чудово розпізнає XTBL-шифрувальник і видаляє цей тип вірусу. Запустіть перевірку комп'ютера, натиснувши відповідну кнопку після завантаження програми. Після закінчення сканування видаліть виявлені шкідливі файли.

Запуск перевірки комп'ютера на наявність в ОС Windows XTBL-шифрувальника з подальшим видаленням вірусу

Утиліта Dr.Web CureIt!

Алгоритм перевірки та видалення вірусу практично нічим не відрізняється від попереднього варіанту.Проскануйте за допомогою утиліти всі логічні диски. Для цього достатньо лише дотримуватися команд програми після її запуску. Після закінчення процесу позбавтеся заражених файлів, натиснувши кнопку «Знешкодити».

Знешкодження шкідливих файлів після сканування Windows

Malwarebytes Anti-malware

Програма здійснить поетапну перевірку комп'ютера на наявність шкідливих кодів та знищить їх.

Встановіть та запустіть утиліту Anti-malware.
Виберіть внизу вікна пункт «Запустити перевірку».
Дочекайтеся закінчення процесу і позначте галочками чекбокси із зараженими файлами.
Видаліть вибране.

Видалення виявлених під час перевірки шкідливих файлів XTBL-шифрувальника

Онлайн-скрипт-дешифратор від Dr.Web

На офіційному сайті Dr.Web у розділі підтримки є вкладка із розміщеним скриптом онлайн-розшифрування файлів. Слід враховувати, що скористатися дешифратором у режимі онлайн зможуть лише користувачі, на комп'ютерах яких встановлений антивірус цього розробника.

Прочитайте інструкцію, заповніть все необхідне та натисніть кнопку «Надіслати»

Утиліта-дешифратор RectorDecryptor від Лабораторії Касперського

Розшифровкою файлів займається Лабораторія Касперського.На офіційному сайті можна завантажити утиліту RectorDecryptor.exe для версій Windows Vista, 7, 8, пройшовши за посиланнями меню "Підтримка - Лікування та розшифрування файлів - RectorDecryptor - Як розшифрувати файли". Запустіть програму, перевірте, після чого видаліть зашифровані файли, вибравши відповідний пункт.

Перевірка та розшифрування файлів, заражених XTBL-шифрувальником

Відновлення зашифрованих файлів із резервної копії

Починаючи з версії Windows 7, можна спробувати відновити файли з резервних копій.

ShadowExplorer для відновлення зашифрованих файлів

Програма є варіантом portable, її можна завантажувати з будь-якого носія.

QPhotoRec

Програма спеціально створена для відновлення пошкоджених та віддалених файлів.Використовуючи вбудовані алгоритми, утиліта знаходить та повертає до вихідного стану всю втрачену інформацію.

Програма QPhotoRec безкоштовна.

На жаль, є лише англомовна версія QPhotoRec, але розібратися в налаштуваннях зовсім нескладно, інтерфейс інтуїтивно зрозумілий.

Запустіть програму.
Позначте логічні диски із зашифрованою інформацією.
Натисніть кнопку File Formats та OK.
Виберіть за допомогою кнопки Browse, розташованої в нижній частині відкритого вікна, місце збереження файлів і запустіть процедуру відновлення, натиснувши Search.

QPhotoRec відновлює файли, видалені XTBL-шифрувальником та замінені на власні копії

Як розшифрувати файли - відео

Чого не слід робити

Ніколи не робіть дій, у яких не цілком упевнені.Краще запросіть спеціаліста з сервісного центру або самі відвезіть туди комп'ютер.
Не відкривайте повідомлення електронної пошти від невідомих відправників.
У жодному разі не йдіть на поводу у зловмисників-шантажистів, погоджуючись перерахувати їм гроші. Результату це, найімовірніше, не дасть.
Не перейменовуйте вручну розширення зашифрованих файлів і не поспішайте встановлювати заново Windows. Можливо, вдасться знайти рішення, яке виправить ситуацію.

Профілактика

Спробуйте встановити надійний захист від проникнення на ваш комп'ютер XTBL-шифрувальника та подібних вірусів-вимагачів. До таких програм належать:

Malwarebytes Anti-Ransomware;
BitDefender Anti-Ransomware;
WinAntiRansom;
CryptoPrevent.

Незважаючи на те, що всі вони є англомовними, працювати з такими утилітами досить просто. Запустіть програму та виберіть у налаштуваннях рівень захисту.

Запуск програми та вибір рівня захисту

Якщо вам довелося зіткнутися з вірусом-вимагачем, що шифрує файли на комп'ютері, то, звичайно, не варто відразу зневірятися. Спробуйте використати запропоновані методи відновлення зіпсованої інформації. Найчастіше це дає позитивний результат. Не застосовуйте для видалення шифрувальника XTBL неперевірені програми невідомих розробників. Адже це може лише посилити ситуацію. По можливості встановіть на ПК одну із програм, що запобігають роботі вірусу, і проводьте постійне планове сканування Windows на наявність шкідливих процесів.

Одна з найпроблемніших шкідливих програм сьогодні – це троян чи вірус, що шифрує файли на диску користувача. Деякі з цих файлів розшифрувати можливо, а деякі - поки що ні. У статті я опишу можливі алгоритми дій в обох ситуаціях, а також засоби захисту від вірусів-шифрувальників (ransomware).

Є кілька модифікацій цього вірусу (і постійно з'являються нові), але загальна суть роботи зводиться до того, що після встановлення на комп'ютер ваші файли документів, зображень та інші, які потенційно є важливими, шифруються зі зміною розширення та видаленням оригінальних файлів, після чого ви отримуєте повідомлення про те, що всі ваші файли були зашифровані, а для їх розшифровки вам потрібно надіслати певну суму зловмиснику.

Що робити, якщо всі важливі дані зашифровані

Для початку, деяка загальна інформація для важливих файлів, що зіткнулися з шифруванням на своєму комп'ютері. Якщо важливі дані на вашому комп'ютері були зашифровані, то перш за все не варто панікувати.

Якщо у вас є така можливість, з диска комп'ютера, на якому з'явився вірус-шифрувальник (ransomware), скопіюйте кудись на зовнішній накопичувач (флешку) приклад файлу з текстовим запитом зловмисника за розшифровкою, плюс будь-який екземпляр зашифрованого файлу, а потім, за можливості, вимкніть комп'ютер, щоб вірус не міг продовжити шифрування даних, а решту дій виконуйте на іншому комп'ютері.

Наступний етап – за допомогою наявних зашифрованих файлів з'ясувати, який саме тип вірусу зашифрував ваші дані: для деяких з них є дешифратори (деякі я вкажу тут, деякі вказані ближче до кінця статті), для деяких – поки що немає. Але навіть у цьому випадку ви можете відправити приклади зашифрованих файлів до антивірусних лабораторій (Касперський, Dr. Web) для вивчення.

Як саме з'ясувати? Це можна зробити за допомогою Google, знайшовши обговорення або тип шифрувальника для розширення файлу. Також почали з'являтися сервіси для визначення типу ransomware, наприклад https://id-ransomware.malwarehunterteam.com/ (правда, я не знаю, наскільки добре він працює для російськомовних варіантів вірусу, але спробувати варто, скормивши сервісу приклад зашифрованого файлу - Sample Encrypted File).

Після визначення типу шифрувальника, якщо вам це вдалося, спробуйте знайти утиліту для розшифровування цього варіанта за запитами на кшталт: Тип_шифрувальника Decryptor. Такі утиліти безкоштовні і випускаються розробниками антивірусів, наприклад, відразу кілька таких утиліт можна знайти на сайті http://support.kaspersky.ru/viruses/utility (інші утиліти є ближче до кінця статті). І, як вже було сказано, не соромтеся звернутися до розробників антивірусів на їхніх форумах або служби підтримки поштою.

На жаль, все це не завжди допомагає і не завжди є розшифрувальники файлів, що працюють. У цьому випадку сценарії бувають різними: багато хто платить зловмисникам, заохочуючи їх продовжувати цю діяльність. Деяким користувачам допомагають програми відновлення даних на комп'ютері (бо вірус, роблячи зашифрований файл, видаляє звичайний важливий файл, який теоретично можна відновити).

Файли на комп'ютері зашифровані в xtbl

Один із останніх варіантів вірусу-вимагача шифрує файли, замінюючи їх на файли з розширенням.xtbl та ім'ям, що складається з випадкового набору символів.

Заодно на комп'ютері розміщується текстовий файл readme.txt з таким змістом: «Ваші файли були зашифровані. Щоб розшифрувати їх, Вам необхідно надіслати код на електронну адресу [email protected], [email protected]або [email protected]. Далі ви отримаєте усі необхідні інструкції. Спроби розшифрувати файли самостійно призведуть до безповоротної втрати інформації» (адреса пошти та текст можуть відрізнятися).

На жаль, способу розшифрувати.xtbl на даний момент немає (як тільки він з'явиться, інструкція буде оновлена). Деякі користувачі, у яких на комп'ютері була дійсно важлива інформація, повідомляють на антивірусних форумах, що відправили авторам вірусу 5000 рублів або іншу необхідну суму та отримали дешифратор, проте це дуже ризиковано: ви можете нічого не отримати.

Що робити, якщо файли були зашифровані в .xtbl? Мої рекомендації виглядають наступним чином (але вони відрізняються від тих, що є на багатьох інших тематичних сайтах, де, наприклад, рекомендують негайно вимкнути комп'ютер з електромережі або не видаляти вірус. На мій погляд, це зайве, а при певному збігу обставин може бути навіть шкідливим, проте вирішувати вам.):

Якщо вмієте, перервати процес шифрування, знявши відповідні завдання в дисптечері завдань, відключивши комп'ютер від Інтернету (це може бути необхідною умовою шифрування)
Запам'ятати або записати код, який зловмисники вимагають надіслати на електронну адресу (тільки не в текстовий файл на комп'ютері, про всяк випадок, щоб він теж не виявився зашифрованим).
За допомогою Malwarebytes Antimalware, пробної версії Kaspersky Internet Security або Dr.Web Cure It видалити вірус, що шифрує файли (усі перелічені інструменти з цим добре справляються). Я раджу по черзі використовувати перший і другий продукт зі списку (правда, якщо у вас встановлений антивірус, інсталяція другого «зверху» небажана, оскільки може призвести до проблем у роботі комп'ютера.)
Чекати, коли з'явиться дешифратор від будь-якої антивірусної компанії. В авангарді тут Kaspersky Lab.
Можна також надіслати приклад зашифрованого файлу і потрібний код на [email protected] Якщо у вас є копія цього ж файлу в незашифрованому вигляді, надішліть її теж. Теоретично, це може прискорити появу дешифратора.

Чого робити не слід:

Перейменовувати зашифровані файли, змінювати розширення та видаляти їх, якщо вони важливі.

Це, мабуть, все, що я можу сказати щодо зашифрованих файлів з розширенням.xtbl на даний момент часу.

Файли зашифровані better_call_saul

З останніх вірусів шифрувальників - Better Call Saul (Trojan-Ransom.Win32.Shade), що встановлює розширення .better_call_saul для файлів, що шифруються. Як розшифрувати такі файли – поки що незрозуміло. Ті користувачі, які зв'язувалися з лабораторією Касперського та Dr.Web отримали інформацію про те, що поки цього зробити не можна (але все одно спробуйте відправити - більше зразків зашифрованих файлів у розробників = більша ймовірність знаходження способу).

Trojan-Ransom.Win32.Aura та Trojan-Ransom.Win32.Rakhni

Наступний троян, який шифрує файли та встановлює їм розширення з цього списку:

.locked
.crypto
.kraken
.AES256 (не обов'язково цей троян, є й інші, що встановлюють це розширення).
.codercsu@gmail_com
.oshit
Та інші.

Для розшифровки файлів після роботи вказаних вірусів, на сайті Касперського є безкоштовна утиліта RakhniDecryptor, доступна на офіційній сторінці http://support.kaspersky.ru/viruses/disinfection/10556.

Там же присутня і докладна інструкція щодо застосування даної утиліти, що показує, як відновити зашифровані файли, з якої я б, про всяк випадок, прибрав пункт «Видаляти зашифровані файли після успішного розшифрування» (хоча, думаю, і зі встановленою опцією все буде гаразд).

Якщо у вас є ліцензія антивірусу Dr.Web, ви можете скористатися безкоштовним розшифруванням від цієї компанії на сторінці http://support.drweb.com/new/free_unlocker/

Ще варіанти вірусу-шифрувальника

Рідше, але також зустрічаються такі трояни, файли, що шифрують, і вимагають гроші за розшифровку. За наведеними посиланнями є не тільки утиліти для повернення ваших файлів, а й опис ознак, які допоможуть визначити, що саме цей вірус. Хоча взагалі оптимальний шлях: за допомогою антивірусу Касперського просканувати систему, дізнатися ім'я трояна за класифікацією цієї компанії, а потім шукати утиліту по цьому імені.

Trojan-Ransom.Win32.Rector - безкоштовна утиліта RectorDecryptor для розшифровки та посібник з використання доступний тут: http://support.kaspersky.ru/viruses/disinfection/4264
Trojan-Ransom.Win32.Xorist - аналогічний троян, що виводить вікно з вимогою відправити платну смс або зв'язатися електронною поштою для отримання інструкції з розшифровки. Інструкція з відновлення зашифрованих файлів та утиліта XoristDecryptor для цього є на сторінці http://support.kaspersky.ru/viruses/disinfection/2911
Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утиліта RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 та інші з таким же ім'ям (при пошуку через антивірус Dr.Web або утиліту Cure It) та різними номерами – спробуйте пошук в інтернеті на ім'я трояна. Для частини з них є утиліти дешифрування Dr.Web, так само, якщо вам не вдалося знайти утиліту, але є ліцензія Dr.Web, ви можете використовувати офіційну сторінку http://support.drweb.com/new/free_unlocker/
CryptoLocker - для розшифрування файлів після роботи CryptoLocker, ви можете використовувати сайт http://decryptcryptolocker.com - після надсилання прикладу файлу, ви отримаєте ключ і утиліту для відновлення ваших файлів.
На сайті https://bitbucket.org/jadacyrus/ransomwareremovalk... downloads доступі Ransomware Removal Kit - великий архів з інформацією з різних типів шифрувальників та утилітами для розшифровки (англійською)

Ну і з останніх новин – Лабораторія Касперського, спільно з правоохоронцями з Нідерландів, розробили Ransomware Decryptor (http://noransom.kaspersky.com) для розшифровки файлів після CoinVault, проте у наших широтах цей здирник поки не зустрічається.

Захист від вірусів шифрувальників або ransomware

У міру поширення Ransomware, багато виробників антивірусів та засобів боротьби зі шкідливими програмами почали випускати свої рішення для запобігання роботі шифрувальників на комп'ютері, серед них можна виділити:

Перші дві поки що в бета-версіях, але безкоштовні (при цьому підтримують визначення лише обмеженого набору вірусів такого типу - TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom - платний продукт, який обіцяє запобігти шифруванню майже будь-якими зразками ransomware, забезпечуючи мережевих дисків.

Але: ці програми не призначені для розшифровки, а лише для запобігання шифруванню важливих файлів на комп'ютері. Та й взагалі, мені здається, ці функції мають бути реалізовані в антивірусних продуктах, інакше виходить дивна ситуація: користувачеві необхідно тримати на комп'ютері антивірус, засіб боротьби з AdWare та Malware, а тепер ще й утиліту Anti-ransomware плюс на всяк випадок Anti- exploit.

До речі, якщо раптом виявиться, що вам є що додати (бо я можу не встигати моніторити те, що відбувається зі способами дешифрування), повідомляйте в коментарях, ця інформація буде корисна іншим користувачам, які зіткнулися з проблемою.