Файлы с расширением.xtbl — как расшифровать и восстановить информацию. Бесплатные дешифраторы

Новый виток компьютерного вредительства и мошенничества – это вирусы-шифровальщики. На начальном этапе заражения вы обнаружите, что не можете открыть знакомые файлы. Это будут фотографии, архивы, документы и другие важные пользовательские данные.

Ваши файлы зашифрованы

Когда ваши файлы были зашифрованы, появится сообщение на рабочем столе (вместо обоев) или откроется текстовый файл с именем «readme». Чем раньше вы заметите заражение, тем лучше. Когда увидите, что обычные фото или Excel-файлы поменяли расширение, сразу отключайте компьютер от интернета. Дальнейшие действия читайте ниже.

Сразу предупредим, что вылечить и расшифровать файлы, если попал вирус шифровальщик возможно, но далеко не всегда. Начнем со сложных случаев.

Восстановить файлы xtbl, vault, cbf -расширения

К сожалению, информация как расшифровать xtbl есть только у самих распространителей вируса (и то не факт). Раньше они просили за расшифровку 5 000 рублей, потом подняли стоимость «услуг» до 15 000. Но гарантий, естественно, никаких нет. Вероятность «удачной» сделки стремится к нулю. Немногочисленные случаи в сети, когда удалосьвосстановить файлы после вируса vault (он же xbtl или cbf разница только в сочетании букв), не вызывают доверия. Истории решения вопроса за деньги «рекламируют» сами злоумышленники.

Но не стоит отчаиваться, кое-какие мерынеобходимо предпринять. Если зашифровались файлы на компьютере, то действуйте по инструкции:

1. Отключите компьютер от интернета. В 90% случаях вирус не сможет продолжить шифрование без доступа к сети.Тогда у вас будет шанс спасти оставшиеся данные.
2. Зафиксируйте контакты и код для отправки из файла «readme».Сфотографируйте или запишите в блокнот, поскольку на компьютере вы можете потерять доступ к этому файлу. Код понадобится если разработают дешифратор vault, cbf, xbtl.
3. Просканируйте весь жесткий диск программой Malwarebytes Anti-Malware или CureItот Dr. Web. Все подозрительные объекты удаляйте. Если что-то мешает удалению, то переведите компьютер в безопасный режим и повторите попытку. Не уничтожайте только файл VAULT.key или подобный, он может быть нужен для расшифровки (если она появится).
4. Переходите к инструкции по восстановлению данных.

Кроме расшифровки есть еще способы вернуть свои файлы. Идеальный вариант, конечно, резервные копии. Если до этого вы их не делали, то после заражения точно займетесь этим вопросом. Когда дубликатов нет остается пара вариантов попытать счастья:

• В ОС Виндовс есть встроенная система автоматической архивации. При должной толике везения она будет не отключена.

Некоторым умельцам удалось расшифровать файлы cbf, вернее, восстановить с помощью программы по реанимации удаленных данных R-Studio (или аналогичных)

Дело в том, что вирус после шифровки удаляет исходный файл. Поэтому есть шанс найти ваши данные в глубинах винчестера. Хотя некоторые модификации кодировщиков намеренно «затирают» эти записи, тогда шансов нет.

Те, что лечатся

К более ранним версиям «шифрующей заразы» антивирусные компании уже разработали специальные утилиты. У лаборатории Касперского это:

1. RakhniDecryptor для Trojan-Ransom. Win32. Aura и Trojan-Ransom. Win32. Rakhni;
2. RannohDecryptor против трояна Trojan-Ransom. Win32. Rannoh;
3. RectorDecryptor дешифрует Trojan-Ransom. Win32. Rector;
4. ScatterDecryptor для ликвидации Trojan-Ransom. BAT. Scatter;
5. Дешифратор Scraper против Trojan-Ransom.Win32.Scraper.

Они доступны для свободного скачивания и использования на сайте KasperskyLab: https://support.kaspersky.ru/viruses/disinfection .

Проверка с помощью Kaspersky RakhniDecryptor

Dr.Web предлагает дешифратор Trojan Encoder. Но с недавних пор компания ввела ограничение на доступ. Скачать утилиту могут только лицензионные пользователи антивируса. Если вы не купили программу, то ищите решение у конкурентов.

Разновидности

Кроме перечисленных выше троянов и вирусов есть множество других. Одни уже хорошо изучены, легко определяются и уничтожаются без последствий. Другие «мутируют» каждые полгода и лишают возможности достойно им противостоять. При заражении идентифицируйте вирус по расширению или имени (если антивирус определил).

Ищите решения на официальных сайтах антивирусных приложений. Поскольку на фоне повсеместного распространения инфекции, развелось много «помагаторов». Они готовы за символическую плату 700-1500 рублей решить проблему. Не стоит рисковать, когда лечение появляется оно становится повсеместным.

Когда вирус зашифровал файлы на компьютере – это не конец света. У вас есть много попыток вернут важные файлы. С большой вероятностью одна из них будет успешной. Расшифровать cbf вирус, шифровальщик не поможет, но мы вам показали способы восстановления. В других случаях помогут различные дешифраторы. Действуйте.

ПОСМОТРЕТЬ ВИДЕО

Путешествуя по разным городам и весям, человек волей-неволей сталкивается с неожиданностями, которые могут быть и приятными, и провоцирующими усиленный дискомфорт, сильнейшие огорчения.

Такие же эмоции могут поджидать пользователя, увлекающегося «путешествиями» по интернету . Хотя иногда неприятные сюрпризы залетают самостоятельно на электронную почту в виде угрожающих писем, документов, прочесть которые пользователи стремятся как можно скорее, тем самым попадая в расставленные сети мошенников.

В сети можно столкнуться с невероятным количеством вирусов, запрограммированных на выполнение множественных негативных задач на вашем компьютере, поэтому важно научиться различать безопасные ссылки для скачивания файлов, документов и обходить стороной те, которые представляют собой явную опасность для компьютера.

Если вы стали одним из тех несчастных, кому пришлось на практическом опыте испытать негативные последствия вмешательства вируса , вы не станете сомневаться в том, что полезно собрать и впоследствии систематизировать информацию относительно того, как предотвратить заражение компьютера.

Вирусы появились сразу же, как только появилась компьютерная техника. С каждым годом разновидностей вирусов становится всё больше и больше, поэтому пользователю легко уничтожить только тот вирусоноситель, который уже давно известен, и найден стопроцентный метод его уничтожения.

Гораздо сложнее пользователю вести «борьбу» с вирусоносителями, которые только появляются в сети или сопровождаются полномасштабными разрушительными действиями.

Способы восстановления файлов

В ситуации, когда вирус зашифровал файлы на компьютере, что делать для многих является ключевым вопросом. Если это любительские фото, смириться с потерей которых тоже не хочется, можно искать пути решения проблемы на протяжении продолжительного периода времени. Однако если вирус зашифровал файлы, которые крайне важны для предпринимательской деятельности, желание разобраться, что делать становится невероятно большим, к тому же хочется предпринять действенные шаги достаточно быстро.

Восстановление предыдущей версии

Если на вашем компьютере была заблаговременно включена защита системы, то даже в тех случаях, когда у вас уже успел похозяйничать «непрошенный гость-шифровальщик», вам всё равно удастся восстановить документы, владея информацией, что делать в этом случае.

Система поможет вам восстановить документы, используя их теневые копии. Безусловно, троян также направляет свои усилия на ликвидацию таких копий, но осуществить такие манипуляции вирусам не всегда удаётся, поскольку они не владеют административными правами.

Шаг 1

Итак, восстановить документ, воспользовавшись его предыдущей копией несложно . Для этого вы кликните правой кнопкой мышки по файлу, который оказался повреждённым. В появившемся меню выберите пункт «Свойства». На экране вашего ПК появится окошко, в котором будут находиться четыре вкладки, вам нужно перейти на последнюю вкладку «Предыдущие версии».

Шаг 2

В окошке ниже будут перечислены все имеющиеся теневые копии документа, вам остаётся только выбрать максимально подходящий для вас вариант, затем нажать на кнопку «Восстановить».

К сожалению, такая «скорая помощь» не может быть применена на том компьютере, где заблаговременно не была включена защита системы. По этой причине мы рекомендуем вам включить её заранее, чтобы потом не «кусать себе локти», укоряя себя явным непослушанием.

Шаг 3

Включить защиту системы на компьютере тоже несложно, это не отнимет у вас много времени. Поэтому прогоните свою лень, упрямство и помогите своему компьютеру стать менее уязвимым для троянчиков.

Кликните по иконке «Компьютер» правой кнопкой мышки, выберите пункт «Свойства». С левой стороны открывшегося окна будет находиться список, в котором найдите строку «Защита системы», кликните по ней.

Теперь вновь откроется окошко, в котором вам предложат выбрать диск. Выделив локальный диск «C», нажмите кнопку «Настроить».

Шаг 4

Теперь откроется окошко с предложением параметров восстановления. Вам нужно согласиться с первым вариантом, предполагающим восстановление параметров системы и предыдущих версий документов. В завершение нажмите традиционную кнопку «Ok».

Если вы проделали все эти манипуляции заранее, то даже при условии посещения вашего компьютера троянчиком, шифрования ним файлов, у вас будут отличные прогнозы на восстановление важной информации.

По крайней мере, вы не впадёте в панику, обнаружив, что все файлы на компьютере зашифрованы, что делать в этом случае вы уже будете точно знать.

Использование утилит

Многие антивирусные компании не бросают пользователей наедине с проблемой, когда вирусы зашифровывают документы. Лаборатория Касперского и компания «Доктор Веб» разработали специальные утилиты, помогающие устранить такие проблемные ситуации.

Итак, если вы обнаружили ужасные следы посещения шифровальщика , попробуйте воспользоваться утилитой Kaspersky RectorDecryptor.

Запустите утилиту на компьютере, укажите путь к тому файлу, который был зашифрован. Понять, что непосредственно должна делать утилита, несложно. Она способом перебора множественных вариантов пытается подобрать ключ к дешифрованию файла. К сожалению, такая операция может быть весьма продолжительной и не подходить по временным рамкам для многих пользователей.

В частности, может случиться так, что потребуется около 120 суток для подбора правильного ключа. При этом вы обязаны понимать, что процесс дешифрования прерывать не рекомендуется, поэтому выключать компьютер также нельзя.

Лаборатория Касперского предлагает и другие утилиты:

• XoristDecryptor;
• RakhniDecryptor;
• Ransomware Decryptor.

Эти утилиты направлены на результаты зловредной деятельности иных троянчиков-шифровальщиков. В частности, утилита Ransomware Decryptor ещё неизвестна многим, поскольку направлена на борьбу с CoinVault, который только в настоящее время начинает атаковать интернет и проникать на компьютеры пользователей.

Разработчики «Доктора Веб» также не бездействуют, поэтому презентуют пользователям свои утилиты, при помощи которых можно также попытаться восстановить зашифрованные документы на компьютере.

Создайте на диске C любую папку, придумайте ей простое название. В эту папку разархивируйте утилиту, скачанную с официального сайта компании.

Теперь можете воспользоваться ею для практического решения проблемы. Для этого запустите командную строку, наберите в ней «cd c:\XXX», где вместо XXX пропишите название папки, в которую вы поместили утилиту.

Вместо «myfiles» должно быть прописано название папки, в которой находятся повреждённые документы.

Теперь утилита запустится и начнётся процесс лечения, после успешного завершения вы обнаружите отчёт, в котором будет указано, что удалось восстановить. Кстати, программа не удаляет зашифрованные файлы, а просто рядом с ними сохраняет восстановленный вариант.

К сожалению, даже эта утилита «Доктора Веб» не может вами рассматриваться в качестве волшебной палочки-выручалочки, ей тоже не всё под силу.

Что делать в случае заражения многие уже, быть может, и уяснили, но опытные пользователи рекомендуют получить информацию относительно того, что делать категорически не рекомендуется, чтобы не спровоцировать более серьёзные последствия, когда шансы на восстановление документов будут приравнены к нулю.

Нельзя переустанавливать на компьютере операционную систему. В этом случае вам может быть и удастся ликвидировать вредителя, но вернуть в рабочее состояние документы точно не получится.

Нельзя запускать программы, отвечающие за очистку реестра, удаление временных файлов на компьютере.

Не рекомендуется делать антивирусное сканирование, во время которого заражённые документы могут быть просто удалены. Если вы немножечко сглупили и запустили антивирус, поддавшись панике, то проследите, по крайней мере, чтобы все заражённые файлы не были удалены, а просто помещены в карантин.

Если вы являетесь продвинутым пользователем, вы можете прервать процесс шифрования на компьютере, пока он не распространился на все файлы и документы. Для этого нужно запустить «Диспетчер задач» и остановить процесс. Неопытный пользователь вряд ли сможет разобраться, какой процесс имеет отношение к вирусу.

Полезно отсоединить компьютер от интернета. Разорвав такую связь, процесс шифрования файлов и документов на компьютере в большинстве случаев также прерывается.

Итак, отлично понимая, что следует делать, когда обнаружен факт посещения трояна-шифровальщика, вы сможете предпринять шаги, обнадёживающие на успех. К тому же, получив информацию, как расшифровать файлы, зашифрованные вирусом, вы сможете попытаться самостоятельно ликвидировать проблему и не допустить её появления вновь.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Продолжаю печально известную рубрику на своем сайте очередной историей, в которой я сам оказался пострадавшим. Я расскажу о вирусе-вымогателе шифровальщике Crusis (Dharma), который зашифровал все файлы на сетевом диске и поставил им расширение.combo. Поработал он не только над локальными файлами, как бывает чаще всего, но и над сетевыми.

Гарантированная расшифровка файлов после вируса шифровальщика — dr-shifro.ru . Подробности работы и схема взаимодействия с заказчиком ниже у меня в статье или на сайте в разделе «Порядок работы».

Введение

История будет от первого лица, так как пострадали от шифровальщика данные и инфраструктура, которой я управлял. Как не прискорбно в этом признаваться, но частично я сам виноват в том, что произошло, хотя знаком с шифровальщиками очень давно. В свое оправдание скажу, что данные потеряны не были, все было быстро восстановлено и расследовано по горячим следам. Но обо всем по порядку.

Нескучное утро началась с того, что в 9:15 системный администратор с одного удаленного объекта позвонил и сказал, что в сети шифровальщик, уже зашифрованы данные на сетевых дисках. Холодок пробежал по коже:) Он начал своими силами проверять источник заражения, а я своими. Конечно же, я сразу пошел на сервер, отключил сетевые диски и стал смотреть лог обращений к данным. Сетевые диски настроены на , обязательно включено . По логу сразу увидел источник заражения, учетную запись, от которой работал шифровальщик, и время начала шифрования.

Описание вируса шифровальщика Crusis (Dharma)

Дальше началось расследование. Зашифрованные файлы получили расширение .combo . Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.

За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.

Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю. Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.

После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.

Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.

Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message 501BED27 In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click "Buy bitcoins", and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:

All your data has been locked us You want to return? write email [email protected]

Любопытно, что изменились права на директорию Рабочий стол . У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy , в которой был сам вирус — файл l20VHC_playload.exe .

Как вирус вымогатель Crusis (Dharma) шифрует файлы

Спокойно во всем разобравшись и почитав похожие обращения на тему шифровальщиков в интернете, я узнал, что словил разновидность известного вируса-шифровальщика Crusis (Dharma). Касперский его детектит как Trojan-Ransom.Win32.Crusis.to . Он ставит разные расширения к файлам, в том числе и.combo. У меня список файлов выглядел примерно вот так:

• Ванино.docx.id-24EE2FBC..combo
• Петропавловск-Камчатский.docx.id-24EE2FBC..combo
• Хороль.docx.id-24EE2FBC..combo
• Якутск.docx.id-24EE2FBC..combo

Расскажу еще некоторые подробности о том, как шифровальщик поработал. Я не упомянул важную вещь. Данный компьютер был в домене. Шифрование файлов было выполнено от доменного пользователя!!! Вот тут возникает вопрос, откуда вирус его взял. На логах контроллеров доменов я не увидел информации и подборе пароля пользователя. Не было массы неудачных авторизаций. Либо использовалась какая-то уязвимость, либо я не знаю, что и думать. Использована учетная запись, которая никогда не логинилась в данную систему. Была авторизация по rdp от учетной записи доменного пользователя, а затем шифрование. На самой системе тоже не было видно следов перебора пользователей и паролей. Практически сразу был логин по rdp доменной учеткой. Нужно было подобрать, как минимум, не только пароль, но и имя.

К сожалению, на учетной записи был пароль 123456. Это была единственная учетная запись с таким паролем, которую пропустили админы на местах. Человеческий фактор. Это был руководитель и по какой-то причине целая череда системных администраторов знали про этот пароль, но не меняли его. Очевидно, в этом причина использования именно этой учетной записи. Но тем не менее, остается неизвестен механизм получения даже такого простого пароля и имени пользователя.

Зараженную шифровальщиком виртуальную машину я выключил и удалил, предварительно забрав образ диска. Из образа забрал сам вирус, чтобы посмотреть на его работу. Дальнейший рассказ будет уже на основе запуска вируса в виртуальной машине.

Еще небольшая подробность. Вирус просканировал всю локальную сеть и попутно зашифровал информацию на тех компьютерах, где были какие-то расшаренные папки с доступом для всех. Я первый раз видел такую модификацию шифровальщика. Это действительно страшная вещь. Такой вирус может просто парализовать работу всей организации. Допустим, по какой-то причине, у вас был доступ по сети к самим бэкапам. Или использовали какой-то ненадежный пароль для учетной записи. Может так получиться, что будет зашифровано все — и данные, и архивные копии. Я вообще теперь подумываю о хранении бэкапов не только в изолированной сетевой среде, но вообще на выключенном оборудовании, которое запускается только для того, чтобы сделать бэкап.

Как лечить компьютер и удалить вымогатель Crusis (Dharma)

В моем случае вирус шифровальщик Crusis (Dharma) особо не прятался и удалить его не должно составить каких-то проблем. Как я уже сказал, он лежал в папке на рабочем столе. Помимо этого он записал сам себя и информационное сообщение в автозапуск.

Само тело вируса было продублировано в пуске в разделе Startup у всех пользователей и в windows/system32 . Более внимательно я не смотрел, так как не вижу в этом смысла. После заражения шифровальщиком я настоятельно рекомендую переустановить систему. Это единственный способ гарантированно удалить вирус. Вы никогда не будете полностью уверены в том, что вирус удален, так как он мог использовать какие-то еще неопубликованные и неизвестные уязвимости для того, чтобы оставить закладку в системе. Через некоторое время через эту закладу вы можете получить какой-то новый вирус и все повторится по кругу.

Так что я рекомендую сразу же после обнаружения шифровальщика не заниматься лечением компьютера, а переустанавливать систему, сохранив оставшиеся данные. Возможно, вирус успел не все зашифровать. Эти рекомендации относятся к тем, кто не собирается пытаться восстановить файлы. Если у вас есть актуальные бэкапы, то просто переустанавливайте систему и восстанавливайте данные.

Если у вас нет бэкапов и вы любой ценой готовы восстановить файлы, то тогда компьютер стараемся не трогать вообще. Первым делом просто отключите сетевой кабель, скачайте пару зашифрованных файлов и текстовый файл с информацией на чистую флешку, дальше завершаем работу компьютера. Больше компьютер включать нельзя. Если вы вообще не разбираетесь в компьютерных делах, то с вирусом вы справиться сами не сможете, тем более расшифровать или восстановить файлы. Обратитесь к тому, кто разбирается. Если же вы считаете, что что-то сможете сделать сами, то читайте дальше.

Где скачать дешифратор Crusis (Dharma)

Дальше идет мой универсальный совет по всем вирусам шифровальщикам. Есть сайт — https://www.nomoreransom.org На нем теоретически может оказаться дешифратор для Crusis или Dharma, либо еще какая-то информация по расшифровке файлов. На моей практике такое еще ни разу не случалось, но вдруг вам повезет. Попробовать стоит. Для этого на главной странице соглашаемся, нажав ДА .

Прикрепляем 2 файла и вставляем содержимое информационного обращения шифровальщика и жмем Проверить .

Если вам повезет, получите какую-то информацию. В моем случае ничего не нашлось.

Все существующие дешифраторы для шифровальщиков собраны на отдельной странице — https://www.nomoreransom.org/ru/decryption-tools.html Существование этого списка позволяет рассчитывать, что какой-то смысл в этом сайте и сервисе все же есть. Похожий сервис есть у Касперского — https://noransom.kaspersky.com/ru/ Можете попытать счастья там.

Искать где-то еще дешифраторы через поиск в интернете, я думаю, не стоит. Вряд ли они найдутся. Скорее всего это будет либо обычный развод с мусорным софтом в лучшем случае, либо новый вирус.

Важное дополнение. Если у вас установлена лицензионная версия какого-то антивируса, обязательно создайте запрос в ТП антивируса на тему расшифровки файлов. Иногда это действительно помогает. Я видел отзывы об успешной расшифровке силами поддержки антивируса.

Как расшифровать и восстановить файлы после вируса Crusis (Dharma)

Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

• Инструмент теневых копий windows.
• Программы по восстановлению удаленных данных

Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool . Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.

После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer . Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec .

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe . Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)

Как обычно, прошелся по форумам популярных антивирусов в поисках информации о шифровальщике, который ставит расширение.combo. Явно заметна тенденция на распространение вируса. Очень много запросов начинаются с середины августа. Сейчас вроде не видно их, но, возможно временно, либо просто изменилось расширение зашифрованных файлов.

Вот пример типичного обращения с форума Касперского.

Там же ниже комментарий модератора.

На форуме EsetNod32 давно знакомы с вирусом, который ставит расширение.combo. Как я понял, вирус не уникальный и не новый, а разновидность давно известной серии вирусов Crusis (Dharma). Вот типичное обращение с просьбой расшифровать данные:

Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя. Возникает только вопрос — как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.

Куда обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе Crusis (Dharma). Их адрес — http://www.dr-shifro.ru . Оплата только после расшифровки и вашей проверки. Вот примерная схема работы:

1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
2. Запускает дешифратор у себя на компьютере и расшифровывает некоторые файлы.
3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ, получаете дешифратор.
4. Расшифровываете свои файлы и оформляете остальные документы.

Вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса-шифровальщика

Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про . Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне. Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.

Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.

Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.

Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.

Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.

Видео c расшифровкой и восстановлением файлов

Здесь пример похожей модификации вируса, но видео полностью актуально и для combo.

Обычно работа вредоносных программ направлена на получение контроля над компьютером, включение его в зомби-сеть или хищение личных данных. Невнимательный пользователь может долго не замечать, что система заражена. Но вирусы-шифровальщики, в частности xtbl, работают совершенно иначе. Они делают непригодными пользовательские файлы, шифруя их сложнейшим алгоритмом и требуя от владельца крупной суммы за возможность восстановить информацию.

Причина проблемы: вирус xtbl

Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение.xtbl. Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.

Как работает вирус xtbl

Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.

Для хранения своих файлов вирус использует системные папки.

Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.

Файлы, зашифрованные вирусом xtbl, меняют свои названия

На рабочем столе вместо заставки появляется сообщение:

Ваши файлы были зашифрованы. Чтобы расшифровать их, вам необходимо отправить код на электронный адрес: [email protected] (далее следует код). После этого вы получите дальнейшие инструкции. Самостоятельные попытки расшифровать файлы приведут к их полному уничтожению.

Вирус xtbl невозможно не заметить: внешний вид меняют не только пользовательские файлы, но и заставка рабочего стола

Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.

Довольно часто одни мошенники зарабатывают на других - в тело вируса вставляется номер электронного кошелька вымогателей, не имеющих никакой возможности расшифровать файлы. Так что доверчивый пользователь, отправив деньги, ничего не получает взамен.

Почему не стоит платить вымогателям

Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.

1. Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий - это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
2. Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
3. Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
4. Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.

Как защитить систему от вируса

Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.

1. Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
2. Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
3. Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
4. Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.

Возможно ли восстановить зашифрованную информацию

Хорошая новость: восстановить данные возможно. Плохая: самостоятельно это сделать не удастся. Причиной тому является особенность алгоритма шифрования, подбор ключа к которому требует гораздо больше ресурсов и накопленных знаний, чем есть у обычного пользователя. К счастью, разработчики антивирусов считают делом чести разобраться с каждой вредоносной программой, поэтому даже если в настоящее время они не смогут справиться с вашим шифровальщиком, через месяц-два обязательно найдут решение. Придётся запастись терпением.

Из-за необходимости обращения к специалистам меняется алгоритм работы с заражённым компьютером. Общее правило: чем меньше изменений, тем лучше. Антивирусы определяют метод лечения по «родовым признакам» вредоносной программы, поэтому инфицированные файлы для них являются источником важной информации. Удалять их нужно только после решения основной проблемы.

Второе правило: любой ценой прервать работу вируса. Возможно, он ещё не всю информацию испортил, а также остались в оперативной памяти следы шифровальщика, с помощью которых можно его определить. Поэтому нужно сразу же выключать компьютер из сети, а ноутбук отключать долгим нажатием сетевой кнопки. На этот раз не подойдёт стандартная «бережная» процедура выключения, дающая возможность корректно завершиться всем процессам, поскольку один из них - кодировка вашей информации.

Восстанавливаем зашифрованные файлы

Если вы успели выключить компьютер

Если вы успели выключить компьютер до окончания процесса шифрования, то не надо его включать самостоятельно. Несите «больного» сразу к специалистам, прерванная кодировка значительно увеличивает шансы сохранить личные файлы. Здесь же можно в безопасном режиме проверить ваши носители информации и создать резервные копии. С высокой вероятностью и сам вирус окажется известным, поэтому лечение от него будет успешным.

Если шифрование завершилось

К сожалению, вероятность успешного прерывания процесса шифрования очень мала. Обычно вирус успевает закодировать файлы и удалить лишние следы с компьютера. И теперь у вас две проблемы: Windows всё ещё заражена, а личные файлы превратились в набор символов. Для решения второй задачи необходимо воспользоваться помощью производителей антивирусного программного обеспечения.

Лаборатория Dr.Web предоставляет свои услуги дешифровки бесплатно только владельцам коммерческих лицензий. Другими словами, если вы ещё не их клиент, но хотите восстановить свои файлы, придётся купить программу. Учитывая сложившуюся ситуацию, это нужное вложение.

Следующий шаг - переход на сайт производителя и заполнение входной формы.

Заполните форму на официальном сайте Dr.Web

Если среди зашифрованных файлов есть такие, копии которых сохранились на внешних носителях, их передача значительно облегчит работу декодировщиков.

Касперский

Лаборатория Касперского разработала собственную утилиту для дешифровки, называющуюся RectorDecryptor, которую можно скачать на компьютер с официального сайта компании.

Скачайте файл, предназначенный для вашей версии Windows, и начните проверку

Для каждой версии операционной системы, включая Windows 7, предусмотрена своя утилита. После её загрузки нажмите экранную кнопку «Начать проверку».

Работа сервисов может затянуться на некоторое время, если вирус относительно новый. В таком случае компания обычно присылает соответствующее уведомление. Иногда расшифровка способна занять несколько месяцев.

Другие сервисы

Сервисов с аналогичными функциями становится всё больше, что говорит о востребованности услуги дешифрования. Алгоритм действий тот же: заходим на сайт (например, https://decryptcryptolocker.com/), регистрируемся и отправляем зашифрованный файл.

Сервис не гарантирует стопроцентного результата, но попробовать можно

Программы-дешифраторы

Предложений «универсальных дешифраторов» (разумеется, платных) в сети очень много, однако польза от них сомнительна. Конечно, если сами производители вируса напишут дешифратор, он будет работать успешно, но та же программа окажется бесполезной для другого вредоносного приложения. Кроме того, специалисты, регулярно сталкивающиеся с вирусами, обычно имеют полный пакет необходимых утилит, поэтому все работающие программы у них есть с высокой вероятностью. Покупка такого дешифратора, скорее всего, окажется пустой тратой денег.

Как расшифровать файлы с помощью лаборатории Касперского - видео

Самостоятельное восстановление информации

Если по каким-то причинам нельзя обратиться к сторонним специалистам, можно попробовать восстановить информацию своими силами. Оговоримся, что в случае неудачи файлы могут быть потеряны окончательно.

Восстановление удалённых файлов

После шифрования вирус удаляет исходные файлы. Однако Windows 7 некоторое время хранит всю удалённую информацию в виде так называемой теневой копии.

ShadowExplorer - это утилита, предназначенная для восстановления файлов из их теневых копий.

Выберите каталог для восстановленных файлов

Бесплатная утилита PhotoRec работает по такому же принципу, но в пакетном режиме.

1. Скачайте архив с сайта разработчика и распакуйте его на диск. Исполняемый файл называется QPhotoRec_Win.

   

   Исполняемый файл имеет название QPhotoRec_Win

2. После запуска приложение в диалоговом окне покажет список всех доступных дисковых устройств. Выберите то, в котором хранились зашифрованные файлы, и укажите путь для сохранения восстановленных копий.
   

   Для хранения лучше использовать внешний носитель, например, USB-флешку, поскольку каждая запись на диск опасна стиранием теневых копий.

3. Выбрав нужные каталоги, нажмите экранную кнопку File Formats.

   

   Выберите каталог назначения, нажав на кнопку Browse

4. Раскрывшееся меню представляет собой перечень типов файлов, которые может восстановить приложение. По умолчанию напротив каждого стоит пометка, однако для ускорения работы можно снять лишние «птички», оставив только соответствующие типам восстанавливаемых файлов. Закончив выбор, нажмите экранную кнопку «ОК».

   

   Снимите лишние пометки для увеличения скорости работы

5. После завершения выбора становится доступной экранная кнопка Search. Нажмите её. Процедура восстановления - это трудоёмкий процесс, поэтому запаситесь терпением.

   

   Отчёт довольно лаконичный

6. Дождавшись завершения процесса, нажмите экранную кнопку Quit и выйдите из программы.
7. Восстановленные файлы размещены в указанном ранее каталоге и разложены по папкам с одинаковыми названиями recup_dir.1, recup_dir.2, recup_dir.3 и так далее. Последовательно просмотрите каждую и верните им прежние имена.

   

   Теперь вручную переберите папки и верните им прежние названия

Удаление вируса

Поскольку вирус попал на компьютер, установленные защитные программы не справились со своей задачей. Можно попробовать воспользоваться сторонней помощью.

Важно! Удаление вируса лечит компьютер, но не восстанавливает зашифрованные файлы. Кроме того, установка нового программного обеспечения может повредить или стереть некоторые теневые копии файлов, необходимые для их восстановления. Поэтому лучше инсталлировать приложения на другие диски.

Программе потребуется некоторое время для проверки системы

Осталось дождаться окончания сканирования и удалить найденных непрошенных гостей.

Ещё один разработчик антивирусного программного обеспечения, предоставляющий бесплатную версию сканера. Алгоритм действий тот же:

Чего делать не следует

Вирус XTBL, как и другие вирусы-шифровальщики, наносит ущерб и системе, и пользовательской информации. Поэтому для уменьшения возможного ущерба следует соблюдать некоторые предосторожности:

1. Не ждать окончания шифрования. Если на ваших глазах началось шифрование файлов, не стоит ждать, чем всё закончится, или пытаться прервать процесс программными средствами. Сразу же отключайте питание компьютера и звоните специалистам.
2. Не пытаться удалить вирус самостоятельно, если есть возможность довериться профессионалам.
3. Не переустанавливать систему до окончания лечения. Вирус благополучно заразит и новую систему.
4. Не переименовывать зашифрованные файлы. Это только осложнит работу дешифратора.
5. Не пытаться прочитать заражённые файлы на другом компьютере до удаления вируса. Это может привести к распространению заражения.
6. Не платить вымогателям. Это бесполезно, и поощряет создателей вирусов и мошенников.
7. Не забывать о профилактике. Установка антивируса, регулярное резервное копирование, создание точек восстановления значительно уменьшат возможный ущерб от вредоносных программ.

Лечение компьютера, заражённого вирусом-шифровальщиком, является долгой и далеко не всегда успешной процедурой. Поэтому так важно соблюдать меры предосторожности при получении информации из сети и работе с непроверенными внешними носителями.