Вирус, шифрующий файлы на диске пользователя, является на сегодняшний день наиболее проблематичным вредоносным программным обеспечением. Некоторые разновидности подобных вирусов, довольно легко идентифицируются антивирусными программами и файлы расшифровываются, но некоторые, защищены настолько серьёзно, что перед вами реально встаёт выбор, либо переустановить систему и потерять все данные или заплатить злоумышленникам и надеяться на то что киберпреступники окажутся «порядочными» и вы получите дешифратор. Есть несколько модификаций вируса, но общая суть взлома сводится к тому, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально являющиеся для вас важными, шифруются с изменением расширения, после чего вы получаете сообщение о том, что все ваши файлы были зашифрованы. Для их расшифровки вам требуется отправить определённую сумму злоумышленнику.

Зашифрованные файлы с расширением — .xtbl

Один из вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

files-xtlb-encoded

Вместе с вирусом на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием:

Ваши файлы были зашифрованы.
Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: a4025fc38188.jpg на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Адреса электронной почты и текст могут отличаться. Иногда вместо текстового сообщения может запускаться баннер, всплывающий поверх остальных окон.

К сожалению, рабочего способа расшифровать зашифрованные файлы с расширением .xtbl на данный момент нет, как только он появится, информация будет обновлена. Некоторые пользователи, у которых на компьютере находилась действительно важная информация, сообщают на антивирусных форумах, что пришлось отправить авторам вируса требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.


Pervyie-troyantsyi-shifrovalshhiki


Что делать, если файлы были зашифрованы?

Прежде чем совершить какие либо действия, в первую очередь необходимо усвоить то что делать не стоит и даже опасно!
1 — лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно.
2 — переустанавливать операционную систему;
3 — менять расширение у зашифрованных файлов;
4 — очищать папки с временными файлами, а также историю браузера;
5 — использовать самостоятельно без консультации с вирусными аналитиками дешифраторы;
6 — использовать дешифраторы рекомендуемые в других ситуациях с аналогичной проблемой.

Подбор ключей для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741


В общем и целом рекомендации специалистов выглядят следующим образом:
Главная задача при шифровании — сохранение данных. Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования часть файлов остаётся нетронутой вирусом. Соответственно чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остаётся. Поэтому необходимо немедленно прекратить работу энкодера. Самый надёжный способ, это полностью обесточить систему, путём отключения компьютера от питания. Ноутбук, путём длительного нажатия на кнопку включения. Можно, конечно начать анализировать список процессов в Диспетчере задач, искать в них троян, пытаться его завершить… Поверьте, экстренное отключение питания это гораздо быстрее и надёжнее! Обычное завершение работы Windows, неплохая идея, но это может занять время или троян может этому препятствовать. Поэтому рекомендуем принудительное отключение. Несомненно, у этого действия есть свои минусы: повреждение файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Повреждённая файловая система для обычного пользователя проблема посерьёзнее, чем энкодер. Например, повреждение таблицы разделов приведёт к невозможности загрузки операционной системы.


Следующая задача — сохранение произошедшего взлома для дальнейшего изучения. Почему это так важно? Любая работа по расшифровке файлов начинается с того, что специалисты пытаются понять, что произошло, получить полную картину произошедшего. В идеале нужны все файлы, которые запускались в процессе шифрования. Их анализ позволяет понять, как происходило шифрование, оставлял ли троян артефакты, которые позволят упростить расшифровку. Идеальный способ — отключить питание и не загружать операционную систему, в которой был запущен энкодер. Для доступа к данным с диска нужно использовать LiveCD с какой­-либо версией Linux. Можно также подключить диск к другому ПК, но в этом случае есть риск запуска энкодера в новой системе или же изменения файлов на поражённом диске. Поэтому лучший вариант LiveCD. На этом этапе специалисты будут иметь, компьютер, который был обесточен сразу после обнаружения шифрования и ни разу не включался.

К сожалению на практике такого почти не бывает. Скорее всего, в вашем случае шифрование уже завершилось.


Как работать с поражённой вирусом шифровальщиком операционной системой? Не паниковать! Необдуманные действия после шифрования могут привести к большим проблемам, чем само шифрование. Самое плохое уже произошло и нужно спокойно решать проблему. Не чистить, не удалять, операционную систему не переустаналивать. Для расшифровки огромное значение может иметь неприметный файл на 32 байта, где нибудь во временном каталоге или неизвестный ярлык на рабочем столе. Чистка реестра в данном случае, неприемлемая процедура, некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы найдут энкодер. И с лёгкостью его удалят, но что тогда останется для анализа? Как специалист поймёт, чем шифровались файлы?


Оставьте расшифровку специалистам — профессионалам. Если вы считаете себя таковым, вы понимаете что такое RC4, AES, RSA, какое между ними различие, вы знаете что такое Hiew и что означает 0xDEADC0DE, можете попытаться. Всем остальным пользователям категорически не советуем.


Практика такова, что — то можно расшифровать почти сразу. Что — то будет ждать своей очереди, может месяцы, а может быть и годы. За некоторые случаи не берутся даже опытные спецы. К кому обращаться — решать конечно же вам. В конце публикации вы найдёте массу ссылок на ресурсы по этой теме.


В авангарде поиска решений проблем вирусов шифровальщиков является Kaspersky Lab. Можно так же отправить пример зашифрованного файла и требуемый код на newvirus@kaspersky.com, если у вас есть копия этого же файла в не зашифрованном виде, пришлите её тоже. Теоретически, это может ускорить появление дешифратора. Если у вас есть лицензия антивируса Dr.Web вы можете воспользоваться бесплатной расшифровкой от этой компании на странице —


Некоторые варианты вируса-шифровальщика:

Реже, но также встречаются следующие трояны, шифрующие файлы и требующие деньги за расшифровку. По приведённым ссылкам есть не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус.
Trojan-Ransom.Win32.Rector — бесплатная утилита для расшифровки и руководство по использованию.
Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита .
Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита .
Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете оформить запрос в службу технической поддержки «Доктор Веб» официальной странице.
CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.