Koti-Windows-Kuinka palauttaa salatut tiedostot. XTBL-viruksen salauksenpurkuohjelma – salattujen .xtbl-tiedostojen palauttaminen

Kuinka palauttaa salatut tiedostot. XTBL-viruksen salauksenpurkuohjelma – salattujen .xtbl-tiedostojen palauttaminen

Yksi syy, joka voi vaikeuttaa salattujen tietojen palauttamista kiristysohjelmaviruksen saastuttamana, on kiristysohjelman tunnistaminen. Jos käyttäjä tunnistaa kiristysohjelman, hän voi myös tarkistaa, onko olemassa ilmaista tapaa purkaa tietojen salaus.

Lisää aiheesta: Kiristysohjelman työ kiristäjän esimerkissä

Selvitä, mitkä kiristysohjelmat salaavat tiedostot

On olemassa useita tapoja tunnistaa kiristysohjelma. Käyttämällä:

  • itse ransomware-virus
  • salattu tiedostopääte
  • Online Service ID Ransomware
  • Bitdefender ransomware -apuohjelmat

Ensimmäisellä tavalla kaikki on selvää. Monet kiristysohjelmavirukset, kuten The Dark Encryptor, eivät piilota itseään. Ja haittaohjelmien tunnistaminen ei ole vaikeaa.


Dark Encryptor

Voit myös yrittää tunnistaa kiristysohjelman käyttämällä salatun tiedoston laajennusta. Kirjoita vain hakuun ja näet tulokset.

Mutta on tilanteita, joissa ei ole niin helppoa selvittää, mikä salaaja on salannut tiedostot. Näissä tapauksissa seuraavat kaksi menetelmää auttavat meitä.

Tunnista kiristysohjelmat käyttämällä Ransomware ID:tä

Tapa havaita kiristysohjelmat Ransomware ID -verkkopalvelun avulla.

Tunnista Ransomware Bitdefender Ransomwarella

Bitdefender Ransomware Recognition Tool on Bitdefenderin uusi Windows-ohjelma, joka auttaa ransomware-tartunnan sattuessa tunnistamaan kiristysohjelmat.

Tämä on pieni ilmainen ohjelma, jota ei tarvitse asentaa. Ainoa mitä vaaditaan, on ajaa ohjelma, hyväksyä lisenssi ja käyttää sitä kiristysohjelman tunnistamiseen. Voit ladata Bitdefender Ransomware Recognition Toolin viralliselta verkkosivustolta käyttämällä tätä suoraa linkkiä.

Bitdefender ei kirjoita yhteensopivuudesta. Minun tapauksessani ohjelma oli käynnissä Windows 10 Pro -laitteella. Huomaa, että Bitdefender Ransomware Recognition Tool vaatii internetyhteyden.

Toimintaperiaate on sama kuin edellisessä menetelmässä. Määritä ensimmäisessä kentässä tiedosto, jossa on viestin teksti, ja toisessa kentässä salattujen tiedostojen polku.


Ymmärtääkseni Bitdefender Ransomware Recognition Tool ei lähetä itse tiedostoa palvelimelle, vaan vain jäsentää nimet ja laajennukset.

Toinen Bitdefender Ransomware Recognition Toolin mielenkiintoinen ominaisuus on, että se voidaan suorittaa komentoriviltä.

En ole testannut Bitdefender Ransomware Recognition Toolia, joten kaikki sitä kokeilleiden kommentit ovat tervetulleita.

Siinä kaikki. Toivon, että et tarvitse tätä opasta, mutta jos kohtaat edelleen kiristysohjelman, tiedät kuinka tunnistaa se.

Jos järjestelmä on saastunut haittaohjelmilla Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl Trojan-Ransom-perheet. Win32.CryptXXX, kaikki tietokoneen tiedostot salataan seuraavasti:

  • Kun Trojan-Ransom.Win32.Rannoh on saanut tartunnan, nimet ja laajennukset muuttuvat lukitun mallin mukaan.<оригинальное_имя>.<4 произвольных буквы>.
  • Kun Trojan-Ransom.Win32.Cryakl on saanut tartunnan, tiedostojen sisällön loppuun lisätään merkki (CRYPTENDBLACKDC).
  • Kun Trojan-Ransom.Win32.AutoIt saa tartunnan, laajennus muuttuu mallin mukaan<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Esimerkiksi, [sähköposti suojattu] _.RZWDTDIC.
  • Kun Trojan-Ransom.Win32.CryptXXX saa tartunnan, laajennus muuttuu mallien mukaan<оригинальное_имя>.crypt,<оригинальное_имя>.crypz ja<оригинальное_имя>.cryp1.

RannohDecryptor-apuohjelma on suunniteltu purkamaan tiedostojen salaus Trojan-Ransom.Win32.Polyglot-, Trojan-Ransom.Win32.Rannoh-, Trojan-Ransom.Win32.AutoIt-, Trojan-Ransom.Win32.Fury- ja Trojan-Ransom.Cryin-tartunnan jälkeen. , Trojan- Ransom.Win32.Cryakl tai Trojan-Ransom.Win32.CryptXXX versiot 1, 2 ja 3.

Kuinka parantaa järjestelmää

Tartunnan saaneen järjestelmän parantaminen:

  1. Lataa RannohDecryptor.zip-tiedosto.
  2. Suorita RannohDecryptor.exe-tiedosto tartunnan saaneessa koneessa.
  3. Napsauta pääikkunassa Aloita vahvistus.
  1. Määritä polku salattuun ja salaamattomaan tiedostoon.
    Jos tiedosto on salattu Trojan-Ransom.Win32.CryptXXX, määritä suurimmat tiedostot. Salauksen purku on käytettävissä vain samankokoisille tai pienemmille tiedostoille.
  2. Odota salattujen tiedostojen haun ja salauksen purkamisen päättymistä.
  3. Käynnistä tietokone tarvittaessa uudelleen.
  4. lukituksen jälkeen-<оригинальное_имя>.<4 произвольных буквы>Jos haluat poistaa onnistuneen salauksenpurkutyypin salattujen tiedostojen kopion, valitse .

Jos tiedoston salasi Trojan-Ransom.Win32.Cryakl, apuohjelma tallentaa tiedoston vanhaan paikkaansa tunnisteella .decryptedKLR.original_extension. Jos valitsit Poista salatut tiedostot onnistuneen salauksen purkamisen jälkeen, apuohjelma tallentaa salauksen puretun tiedoston alkuperäisellä nimellä.

  1. Oletusarvoisesti apuohjelma tulostaa toimintaraportin järjestelmäaseman juurille (asemalle, johon käyttöjärjestelmä on asennettu).

    Raportin nimi on seuraava: UtilityName.Version_Date_Time_log.txt

    Esimerkiksi C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trojan-Ransom.Win32.CryptXXX-tartunnan saaneessa järjestelmässä apuohjelma tarkistaa rajoitetun määrän tiedostomuotoja. Kun käyttäjä valitsee tiedoston, johon CryptXXX v2 vaikuttaa, avainten palautus voi kestää kauan. Tässä tapauksessa apuohjelma näyttää varoituksen.

Jos tietokoneellesi tulee tekstiviesti, jossa sanotaan, että tiedostosi on salattu, älä kiirehdi paniikkiin. Mitkä ovat tiedostojen salauksen oireet? Tavallinen laajennus muuttuu muotoon *.vault, *.xtbl, * [sähköposti suojattu] _XO101 jne. Tiedostoja ei voi avata - tarvitaan avain, jonka voi ostaa lähettämällä kirje viestissä ilmoitettuun osoitteeseen.

Mistä sait salatut tiedostot?

Tietokone poimi viruksen, joka esti pääsyn tietoihin. Usein virustorjuntaohjelmat ohittavat ne, koska tämä ohjelma perustuu yleensä johonkin vaarattomaan ilmaiseen salausapuohjelmaan. Poistat itse viruksen riittävän nopeasti, mutta tietojen salauksen purkamisessa voi syntyä vakavia ongelmia.

Kaspersky Labin, Dr.Webin ja muiden tunnettujen virustorjuntaohjelmistojen kehittämiseen osallistuvien yritysten tekninen tuki vastauksena käyttäjien pyyntöihin tietojen salauksen purkamisesta raportoi, että tämä on mahdotonta tehdä kohtuullisessa ajassa. On olemassa useita ohjelmia, jotka voivat poimia koodin, mutta ne voivat toimia vain aiemmin tutkittujen virusten kanssa. Jos kohtaat uuden muutoksen, mahdollisuudet palauttaa pääsy tietoihin ovat erittäin pienet.

Miten ransomware-virus pääsee tietokoneeseen?

90 prosentissa tapauksista käyttäjät itse aktivoivat viruksen tietokoneella avaamalla tuntemattomia sähköposteja. Sen jälkeen tulee sähköpostiviesti, jossa on provosoiva aihe - "Oikeuskutsu", "Lainavelka", "Veroviraston ilmoitus" jne. Väärennetyn sähköpostin sisällä on liite, jonka lataamisen jälkeen kiristysohjelma tulee tietokoneeseen ja alkaa vähitellen estää pääsyn tiedostoihin.

Salaus ei tapahdu hetkessä, joten käyttäjillä on aikaa poistaa virus ennen kuin kaikki tiedot on salattu. Voit tuhota haitallisen komentosarjan käyttämällä Dr.Web CureIt-, Kaspersky Internet Security- ja Malwarebytes Antimalware -puhdistusapuohjelmia.

Tapa palauttaa tiedostoja

Jos järjestelmäsuojaus on otettu käyttöön tietokoneessa, jopa ransomware-viruksen toiminnan jälkeen on mahdollisuuksia palauttaa tiedostot normaalitilaan käyttämällä tiedostojen varjokopioita. Ransomware yrittää yleensä poistaa ne, mutta joskus se epäonnistuu järjestelmänvalvojan oikeuksien puutteen vuoksi.

Aiemman version palauttaminen:

Jos haluat säilyttää aiemmat versiot, järjestelmän suojaus on otettava käyttöön.

Tärkeää: järjestelmän suojaus on otettava käyttöön ennen kiristysohjelman ilmestymistä, sen jälkeen se ei enää auta.

  1. Avaa "Tietokone"-ominaisuudet.
  2. Valitse vasemmalla olevasta valikosta "Järjestelmän suojaus".
  3. Korosta asema C ja napsauta "Määritä".
  4. Valitse asetusten ja tiedostojen aiempien versioiden palauttaminen. Ota muutokset käyttöön napsauttamalla OK.

Jos suoritit nämä toimenpiteet ennen tiedostoja salaavan viruksen ilmestymistä, sinulla on hyvät mahdollisuudet palauttaa tietosi, kun olet puhdistanut tietokoneesi haittakoodista.

Käyttämällä erityisiä apuohjelmia

Kaspersky Lab on valmistellut useita apuohjelmia, joiden avulla voit avata salattuja tiedostoja viruksen poistamisen jälkeen. Ensimmäinen kokeilemisen arvoinen salauksenpurkuohjelma on Kaspersky RectorDecryptor.

  1. Lataa sovellus Kaspersky Labin viralliselta verkkosivustolta.
  2. Suorita sitten apuohjelma ja napsauta "Aloita skannaus". Määritä minkä tahansa salatun tiedoston polku.

Jos haittaohjelma ei muuttanut tiedostojen laajennusta, sinun on kerättävä ne erilliseen kansioon niiden salauksen purkamiseksi. Jos apuohjelma on RectorDecryptor, lataa kaksi muuta ohjelmaa Kasperskyn viralliselta verkkosivustolta - XoristDecryptor ja RakhniDecryptor.

Kaspersky Labin uusin apuohjelma on nimeltään Ransomware Decryptor. Se auttaa purkamaan tiedostojen salauksen CoinVault-viruksen jälkeen, joka ei ole vielä kovin yleinen RuNetissä, mutta saattaa pian korvata muut troijalaiset.

Ja joka vuosi ilmestyy enemmän ja enemmän uusia ... mielenkiintoisempia ja mielenkiintoisempia. Suosituin viimeaikainen virus (Trojan-Ransom.Win32.Rector), joka salaa kaikki tiedostosi (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar jne. .) .d.). Ongelmana on, että tällaisten tiedostojen salauksen purkaminen on erittäin vaikeaa ja aikaa vievää, salauksen tyypistä riippuen salauksen purku voi kestää viikkoja, kuukausia tai jopa vuosia. Minun mielestäni tämä virus on tällä hetkellä vaarallisuuden huippu muiden virusten joukossa. Se on erityisen vaarallista kotitietokoneille / kannettaville tietokoneille, koska useimmat käyttäjät eivät varmuuskopioi tietojaan ja kun he salaavat tiedostoja, he menettävät kaikki tiedot. Organisaatioille tämä virus on vähemmän vaarallinen, koska he tekevät varmuuskopioita tärkeistä tiedoista ja tartunnan sattuessa yksinkertaisesti palauttavat ne, tietysti viruksen poistamisen jälkeen. Tapasin tämän viruksen useita kertoja, kerron kuinka se tapahtui ja mihin se johti.

Ensimmäisen kerran tutustuin tiedostoja salaavaan virukseen vuoden 2014 alussa. Ylläpitäjä toisesta kaupungista otti minuun yhteyttä ja kertoi minulle epämiellyttävimmän uutisen - Kaikki tiedostopalvelimella olevat tiedostot ovat salattuja! Tartunta tapahtui alkeellisella tavalla - kirjanpitoon tuli kirje liitteellä "Toimi jotain siellä.pdf.exe", kuten ymmärrät, he avasivat tämän EXE-tiedoston ja prosessi alkoi ... se salasi kaikki henkilökohtaiset tiedostot tietokoneeseen ja meni tiedostopalvelimelle (se kartoitettiin verkkoasemalla). Yhdessä järjestelmänvalvojan kanssa aloimme kaivaa tietoa Internetistä ... tuolloin ei ollut ratkaisua ... kaikki kirjoittivat, että siellä oli sellainen virus, ei tiedetty kuinka käsitellä sitä, ei ollut mahdollista purkaa salausta. tiedostot, ehkä tiedostojen lähettäminen Kasperskylle, Dr Webille tai Nod32:lle auttaisi. Voit lähettää ne vain, jos käytät heidän virustorjuntaohjelmiaan (lisenssit ovat olemassa). Lähetimme tiedostot Dr Webille ja Nod32:lle, tulokset olivat 0, en muista mitä he sanoivat Dr Webissä, mutta Nod 32:ssa he olivat täysin hiljaa, enkä odottanut mitään vastausta heiltä. Yleensä kaikki oli surullista, emmekä löytäneet ratkaisua, osa tiedostoista palautettiin varmuuskopiosta.

Toinen tarina - juuri toissapäivänä (lokakuun puolivälissä 2014) sain organisaatiolta puhelun, jossa minua pyydettiin ratkaisemaan virusongelma, kuten ymmärrät, kaikki tietokoneen tiedostot salattiin. Tässä on esimerkki siitä, miltä se näytti.

Kuten näet, *.AES256-tunniste on lisätty jokaiseen tiedostoon. Jokaisessa kansiossa oli tiedosto "Attention_open-me.txt", jossa oli yhteystietoja viestintää varten.

Kun näitä tiedostoja yritettiin avata, avattiin ohjelma, jossa oli yhteystietoja, jotta he voivat ottaa yhteyttä viruksen tekijöihin salauksen purkamisen maksamiseksi. En tietenkään suosittele ottamaan heihin yhteyttä ja maksamaan myös koodista, koska tuet heitä vain taloudellisesti, etkä ole tosiasia, että saat salauksen purkuavaimen.

Tartunta tapahtui Internetistä ladatun ohjelman asennuksen aikana. Yllättävintä oli, että kun he huomasivat tiedostojen muuttuneen (kuvakkeet ja tiedostotunnisteet muuttuneet), he eivät tehneet mitään ja jatkoivat toimintaansa, ja sillä välin lunnasohjelma jatkoi kaikkien tiedostojen salaamista.

Huomio!!! Jos huomaat tietokoneellasi tiedostojen salauksen (kuvakkeiden vaihtaminen, laajennuksen vaihtaminen), sammuta välittömästi tietokone/kannettava tietokone ja etsi ratkaisu toisesta laitteesta (toisesta tietokoneesta/kannettavasta, puhelimesta, tabletista) tai ota yhteyttä IT-asiantuntijoihin. Mitä kauemmin tietokoneesi/kannettavasi on päällä, sitä enemmän tiedostoja se salaa.

Yleensä halusin jo kieltäytyä auttamasta heitä, mutta päätin surffata Internetissä, ehkä tähän ongelmaan on jo ratkaisu. Hakujen tuloksena luin paljon tietoa, että sitä ei voi purkaa, että pitää lähettää tiedostoja virustorjuntayrityksille (Kaspersky, Dr Web tai Nod32) - kiitos, oli kokemus.
Löysin Kasperskyn apuohjelman - RectorDecryptorin. Ja katso ja katso, tiedostot purettiin. No, ensimmäiset asiat ensin...

Ensimmäinen askel on pysäyttää kiristysohjelma. Sinua ei löydy virustorjuntaohjelmista, koska asennettu Dr Web ei löytänyt mitään. Ensinnäkin menin automaattilatauksiin ja poistin kaikki automaattilataukset (paitsi virustorjunta) käytöstä. Tietokone käynnistettiin uudelleen. Sitten hän alkoi tarkastella, millaisia ​​tiedostoja oli käynnistyksessä.

Kuten näette, "Komento"-kentässä ilmoitetaan, missä tiedosto sijaitsee, erityistä huomiota vaaditaan sovellusten poistamiseen ilman allekirjoitusta (valmistaja - ei tietoja). Yleisesti ottaen löysin ja poistin haittaohjelmia ja tiedostoja, jotka eivät vielä olleet minulle selviä. Sen jälkeen puhdistin väliaikaiset kansiot ja selaimen välimuistit, on parasta käyttää ohjelmaa näihin tarkoituksiin CCleaner .

Sitten aloin purkamaan tiedostojen salauksen, jota varten latasin salauksen purkuohjelma RectorDecryptor . Käynnistettiin ja näki melko askeettisen käyttöliittymän.

Napsautin "Aloita tarkistus", ilmaisin laajennuksen, joka kaikilla muokatuilla tiedostoilla oli.

Ja osoitti salatun tiedoston. RectorDecryptorin uudemmissa versioissa voit yksinkertaisesti määrittää salatun tiedoston. Napsauta "Avaa"-painiketta.

Tada-a-a-am!!! Ihme tapahtui ja tiedoston salaus purettiin.

Tämän jälkeen apuohjelma tarkistaa automaattisesti kaikki tietokonetiedostot + liitetyssä verkkoasemassa olevat tiedostot ja purkaa niiden salauksen. Salauksen purkuprosessi voi kestää useita tunteja (riippuen salattujen tiedostojen määrästä ja tietokoneesi nopeudesta).

Tämän seurauksena kaikkien salattujen tiedostojen salaus purettiin onnistuneesti samaan hakemistoon, jossa ne alun perin sijaitsivat.

Jäljelle jää poistaa kaikki tiedostot, joiden laajennus on .AES256. Tämä voidaan tehdä valitsemalla "Poista salatut tiedostot onnistuneen salauksen purkamisen jälkeen" -valintaruutu, jos napsautat RectorDecryptor-ikkunassa "Muuta vahvistusasetuksia".

Mutta muista, että on parempi olla valitsematta tätä ruutua, koska jos tiedostojen salauksen purku epäonnistuu, ne poistetaan ja jotta voit yrittää purkaa ne uudelleen, sinun on käynnistettävä ne perustaa uudelleen .

Kun yritin poistaa kaikkia salattuja tiedostoja käyttämällä tavallista hakua ja poistamista, törmäsin jumiutumiseen ja erittäin hitaaseen tietokoneen suorituskykyyn.

Siksi sen poistamiseksi on parasta käyttää komentoriviä, suorittaa se ja kirjoittaa del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Minun tapauksessani del "d:\*.AES256" /f /s.

Älä unohda poistaa "Attention_open-me.txt" -tiedostoja, käytä tätä varten komentorivin komentoa del"<диск>:\*.<имя файла>"/f/s, esimerkiksi
del "d:\Attention_open-me.txt" /f /s

Näin virus voitettiin ja tiedostot palautettiin. Haluan varoittaa, että tämä menetelmä ei auta kaikkia, asia on, että Kapersky tässä apuohjelmassa keräsi kaikki tunnetut salauksenpurkuavaimet (niistä tiedostoista, jotka viruksen saaneet lähettivät) ja valitsee avaimet ja purkaa ne raa'alla. pakottaa. Nuo. jos tiedostosi on salattu viruksella avaimella, jota ei vielä tunneta, tämä menetelmä ei auta... sinun on lähetettävä tartunnan saaneet tiedostot virustorjuntayrityksille - Kasperskylle, Dr Webille tai Nod32:lle niiden salauksen purkamiseksi.

Aiheeseen liittyvät julkaisut: