Існує велика кількість найрізноманітніших шкідливих програм. Серед них зустрічається вкрай неприємні віруси-шифрувальники, які потрапивши на комп'ютер, починають шифрувати файли користувачів. У деяких випадках є непогані шанси розшифрувати свої файли, але буває, що це і не вдається. Ми розглянемо всі необхідні дії, як для першого, так і для другого випадку в випадки коли вірус зашифрував файли.
Ці віруси можуть трохи відрізнятися, але в цілому, їх дії завжди одні й ті ж:
- встановитися на комп'ютер;
- зашифрувати всі файли, які можуть мати хоч якусь цінність (документи, фотографії);
- при спробі відкрити ці файли, вимагати від користувача внесення певної суми на гаманець або рахунок зловмисника, інакше доступ до вмісту ніколи не відкриється.
Вірус зашифрував файли в xtbl
В даний час отримав досить велике поширення вірус, здатний зашифровувати файли і змінювати їх розширення на .xtbl, а так само замінювати їх назва на абсолютно випадкові символи.
На превеликий жаль, в даний момент, офіційно ніхто зміг розшифрувати .xtbl, якщо з'явиться робочий спосіб, ми обов'язково про це повідомимо в статті. Серед користувачів є ті, у кого був подібний досвід з цим вірусом і вони оплатили шахраям потрібну суму, отримавши натомість розшифровку своїх документів. Але це вкрай ризикований крок, адже серед зловмисників зустрічаються і ті, хто особливо не стане морочитися з обіцяної дешифруванням, в результаті це будуть гроші на вітер.
Що тоді робити, запитаєте ви? Пропонуємо кілька порад, які допоможуть повернути всі свої дані і при цьому, ви не будете йти на поводу у шахраїв і дарувати їм свої гроші. І так, що потрібно зробити:
- Якщо вмієте працювати в диспетчері завдань, то негайно припиніть шифрування файлів, зупинивши підозрілий процес. Одночасно з цим, вимкніть комп'ютер від інтернету - багатьом шифрувальником необхідне підключення до мережі.
- Візьміть листочок і запишіть на нього код, пропонований для відправки на пошту зловмисникам (листочок тому, що файл, в який будете записувати так само може стати недоступним для читання).
- За допомогою антивірусних засобів Malwarebytes Antimalware, пробного Антивірусу Kaspersky IS або CureIt, видалити шкідливу програму. Для більшої надійності, краще послідовно скористатися всіма запропонованими засобами. Хоча Антивірус Касперського можна не встановлювати, якщо в системі вже є один основний антивірус, інакше можуть виникнути програмні конфлікти. Всі інші утиліти можете застосовувати в будь-якій ситуації.
- Почекати, поки одна з антивірусних компаній не розробить робочий дешифратор для таких файлів. Оперативніше всього справляється Kaspersky Lab.
- Додатково, ви можете відправити на [email protected] копію файлу, що був зашифрованістю, з необхідним кодом і якщо є, цей же файл в первісному вигляді. Цілком можливо, це може прискорити розробку методу дешифровки файлів.
Ні в якому разі не виконуйте:
- перейменування цих документів;
- зміна їх розширення;
- видалення файлів.
Зараз, це все основні рекомендації, яких варто дотримуватися, якщо ваші файли були зашифровані і стали не відрізняються один від іншого, маючи розширення xtbl і випадкові назви.
Шкідливі програми Trojan-Ransom.Win32.Aura і Trojan.Ransom.Win32.Rakhni
Ці троянські програми також займаються шифруванням файлів користувачів з подальшим вимаганням. При цьому, у зашифрованих файлів можуть бути наступні розширення:- .locked
- .crypto
- .kraken
- .AES256 (не обов'язково цей троян, є й інші, які встановлюють цей же розширення).
- .codercsu @ gmail_com
- .enc
- .oshit
- Та інші.
На щастя, вже створена спеціальна утиліта для розшифровки - RakhniDecryptor. Завантажити її можна з офіційного сайту.
На цьому ж сайті можна ознайомитися з інструкцією, детально і наочно показує, як користуватися утилітою для розшифровки всіх файлів, над якими попрацював троян. В принципі, для більшої надійності, варто виключити пункт видалення зашифрованих файлів. Але швидше за все, що розробники добре постаралися над створенням утиліти і цілісності даних нічого не загрожує.
Інші різновиди вірусів-шифрувальників
Іноді можуть траплятися й інші віруси, шифрувальні важливі файли і що вимагають оплату за повернення всього в первинний вигляд. Пропонуємо невеликий список з утилітами для боротьби з наслідками роботи найбільш поширених вірусів. Там же ви зможете ознайомитися з основними ознаками, за якими можна відрізнити ту чи іншу троянську програму.
Крім того, хорошим способом буде сканування свого ПК антивірусом Касперського, який виявить непроханого гостя і присвоїть йому назву. За цей титул вже можна шукати і дешифратор для нього.
- Trojan-Ransom.Win32.Rector - типовий шифратор-вимагач, який вимагає відправити смс або виконати інші дії подібного роду, беремо дешифратор за цим посиланням.
- Trojan-Ransom.Win32.Xorist - різновид попереднього трояна, дешифратор з керівництвом по його застосуванню можете отримати тут.
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - для цих хлопців так само є спеціальна утиліта, дивимося по посиланню.
- Trojan.Encoder858, Trojan.Encoder.741 - ці шкідливий можна виявити утилітою CureIt. У них схожі назви, але можуть відрізнятися номера в кінці імені. Дешифратор шукаємо за назвою вірусу або, якщо користуєтеся ліцензійним Dr.Web, можете вдатися до допомоги спеціального ресурсу.
- CryptoLacker - щоб повернути свої файли, відвідайте цей сайт і через нього згенеруйте спеціальну програму для відновлення своїх документів.
Нещодавно, Лабораторія Касперського співпрацюючи зі своїми колегами з Нідерландів, створила декріптор дозволяє відновити файли після того, як над ними попрацював вірус CoinVault.