Донецкий техникум промышленной автоматики

Вірус зашифрував файли на комп'ютері в розширення .xtbl

Привіт адмін, я до вас з проблемою. Мені прийшло на електронну пошту лист з архівом, а в архіві дивний файл, відкрив його клацнувши подвійним клацанням миші, на секунду промайнуло якесь вікно і ноутбук завис, через хвилину більша частина файлів на робочому столі придбала дивний вигляд і ось такі назви:

+ InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk = .xtbl

1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI = .xtbl

Вимкнув примусово ноут і після включення на робочому столі з'явилося ось таке повідомлення "Увага! Всі важливі файли на всіх дисках вашого комп'ютера були зашифровані. Подробиці ви можете прочитати в файлах README.txt, які можна знайти на будь-якому з дисків".

txt, які можна знайти на будь-якому з дисків

Майже всі файли на диску (C :) виявилися зашифровані в розширення .xtbl!

xtbl

Зайшов на переносний жорсткий диск USB з важливою інформацією, а там вже половина файлів з таким розширенням. Знову вимкнув ноутбук і викликав фахівця, той просто запропонував перевстановити операційну систему, а щодо зашифрованих файлів сказав, що розшифрувати все одно нічого не вийде, так як дешифратора не існує. Чи так це?

Привіт друзі! Наш читач надіслав мені поштою лист з найнебезпечнішою на сьогоднішній день шкідливою програмою і я заразив вірусом свій тестовий комп'ютер, дивимося як відбувається зараження, як відбувається шифрування файлів і як врешті-решт можна видалити цей вірус. Але моя вам порада, якщо ви виявили у вашій операційній системі роботу подібного вірусу і ні з чим подібним раніше не стикалися, то просто вимкніть комп'ютер і відразу зверніться за допомогою в хороший сервісний центр, тому що існує ризик повної втрати ваших даних на жорсткому диску.

Даний вірус представляє з себе троянську програму , А значить одночасно відбувається зараження вашої операційної системи відразу декількома шкідливими програмами. Особисто я, повністю дослідивши заражений комп'ютер утилітами Process Monitor і AnVir Task Manager, нарахував чотири:

Перший зловредів, звичайний блокувальник робочого столу, блокує вашу Windows, щоб ви не змогли нічого зробити.

Другий

зловредів, вдає із себе руткит , Що приховує третю програму включає ваш комп'ютер в Ботнет (комп'ютерна мережа, що складається із заражених комп'ютерів) і ваша машина починає служити зловмисникам (розсилати спам та заражати інші комп'ютери в інтернеті) і безбожно гальмувати.

Четвертий зловредів, шифрує складним алгоритмом частина системних і всі призначені для користувача файли: зображення, відео, аудіо та текстові документи в розширення .xtbl. На момент шифрування файлів, в операційній системі працює файл шифратор, якщо його виявити, шанси на розшифровку помітно зростуть, але це ще нікому не вдалося навіть за допомогою інструменту Process Monitor, цей файл завжди вдало самовидаляється.

У процесі зараження на робочому столі або в корені диска (C :) створюється текстовий документ з таким змістом:

"Для розшифровки ваших файлів і отримання необхідних інструкцій відправте код Q2R8459H8K3956GJS2M1 | 0 на електронну адресу [email protected] (адреси можуть різнитися і не завжди цей файл створюється - прим. Адміністратора). Не намагайтеся самі розшифрувати файли, це призведе до безповоротної їх втрати ".

В останньому, ліпшому мені, такому файлі зовсім не було ніяких поштових адрес, а просто були номери електронних гаманців для поповнення, що говорить про можливу торгівлю даної шкідливою програмою на закритих хакерських форумах.

В першу чергу видаляємо шкідливу програму

Наш читач вчинив правильно, відчувши недобре вимкнув комп'ютер, цим він врятував всі інші свої файли від зараження.

Як я вже помітив на початку статті, архів з шкідливою програмою виявився у мене. Раніше я завжди стикався з наслідками роботи цього трояна, а зараз випала нагода прослідкувати як відбувається зараження та шифрування.

Також з подальшої розповіді ви побачите, що при наявності нормального антивіруса і менеджера автозавантаження заразити свій комп'ютер вірусом практично неможливо.

Ось так виглядає архів в листі

Витягаю з архіву файл вірусу і запускаю його

Спрацьовує перша лінія оборони, яку встановлено біля мене програма AnVir Task Manager (антивірусний менеджер автозавантаження) сигналізує, що шкідливий файл csrss.exe одразу надходить в автозавантаження. Зверніть увагу, AnVir популярно показує нам свій вердикт про фото - Стан: Безумовно не потрібно - віруси, шпигуни, реклама і "пожирачі ресурсів".

Якщо натиснути Видалити, то ніякого зараження не буде, але тиснемо Дозволити і відбувається зараження мого комп'ютера шкідливою програмою.

Якщо натиснути Видалити, то ніякого зараження не буде, але тиснемо Дозволити і відбувається зараження мого комп'ютера шкідливою програмою

Спрацьовує друга лінія оборони, антивірус ESET Smart Security 8 класифікує шкідливу програму як Win32 / Filecoder.ED (шифратор файлів).

ED (шифратор файлів)

Відключаю антивірус і запускаю вірус ще раз, відбувається зараження системи і через хвилину всі призначені для користувача файли на моєму робочому столі і диску (C :) зашифровуються в розширення .xtbl.

xtbl

очищення системи

Незважаючи на таке руйнівну дію, від вірусу-шифрувальника можна позбутися простим відновленням операційної системи (тільки в тому випадку, якщо ви запустіть її в середовищі відновлення ). Якщо відновлення системи у вас відключено, то видаліть шкідливу програму в безпечному режимі , Windows так влаштована, що в Safe Mode працюють тільки основні системні процеси операційної системи. Для видалення вірусу можна використовувати звичайний Диспетчер завдань Windows, а краще програму AnVir Task Manager, розглянемо обидва варіанти.

Завантажуємося в безпечний режим і відкриваємо Диспетчер завдань, дивимося незнайомі елементи в Автозавантаженні. Так як в безпечному режимі процеси і сервіси шкідливої ​​програми не працюють, то просто видаляємо файл вірусу, але на жаль Диспетчер завдань не зможе показати все заражені файли.

Клацаємо правою мишею мишею на підозрілому файлі і вибираємо в меню Відкрити розташування файлу

Клацаємо правою мишею мишею на підозрілому файлі і вибираємо в меню Відкрити розташування файлу

Відкривається папка автозавантаження:

C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs

з шкідливими файлами, які потрібно просто видалити.

з шкідливими файлами, які потрібно просто видалити

Безсумнівно більше можливостей, ніж Диспетчер завдань, пропонує програма AnVir Task Manager (завжди ношу з собою на флешці), її можна встановити прямо в безпечному режимі, також можете використовувати портативну версію (працює без установки) програми.

У головному вікні AnVir Task Manager наочним чином представлені всі програми знаходяться в автозавантаження і найнебезпечніші, з рівнем ризику для користувача майже 100%, в самому верху. У файлів фальшиві імена і AnVir однозначно відносить їх до вірусів.

Якщо клацнути на обраному файлі правою мишею, то можна дізнатися його розташування в провіднику і побачити все що відносяться до нього процеси, сервіси, ключі реєстру, і видалити вірус грунтовно.

До речі, якщо завантажитися в безпечний режим з підтримкою мережевих драйверів, то можна натиснути правою мишею на підозрілому файлі і вибрати в меню пункт Перевірити на сайті і відбудеться перевірка підозрілого файлу на сайті VirusTotal - онлайн сервісі, анализирующем підозрілі файли.

До речі, якщо завантажитися в безпечний режим з підтримкою мережевих драйверів, то можна натиснути правою мишею на підозрілому файлі і вибрати в меню пункт Перевірити на сайті і відбудеться перевірка підозрілого файлу на сайті VirusTotal - онлайн сервісі, анализирующем підозрілі файли

У нашому випадку VirusTotal підтвердив підозри ESET Smart Security 8. Подивіться на висновки провідних антивірусних програм: Касперський - Trojan.Win32.Fsysna.bvsm (шкідливе шифрування файлів), DrWeb - Trojan.PWS.Tinba.161, Avira - TR / Crypt.Xpack .189492 і так далі.

189492 і так далі

Хто зацікавився можливостями AnVir, читайте нашу окрему статтю .

Також важлива подальша перевірка диска (C :) антивірусом, тільки за допомогою нього я знайшов з десяток файлів вірусу в папці тимчасових файлів C: \ Users \ Ім'я користувача \ AppData \ Local \ Temp,

ще шкідливий файл csrss.exe створив хитрим чином в корені диска (C :) другу папку Windows і розташувався в ній.

exe створив хитрим чином в корені диска (C :) другу папку Windows і розташувався в ній

До слова сказати, антивірусний сканер Dr.Web CureIt теж знайшов все заражені файли.

Хто боїться запускати комп'ютер у безпечному режимі, може зробити сканування Windows антивірусного завантажувального LiveCD флешкою ​​(диском) . Або зніміть вінчестер і підключіть його до здорової машині з хорошим антивірусом (варіант для досвідчених користувачів, так як існує невеликий ризик заразити і здорову машину).

На жаль видалення шкідливої програми не розшифрує вам зашифровані файли.

Як розшифрувати зашифровані файли з розширенням .xtbl

По-перше і не думайте листуватися зі зловмисниками, до вас це пробували багато, ніякого дешифратора вам не дадуть, а тільки розведуть на гроші. Також не вірте людям, які пообіцяють розшифрувати вам файли за гроші, ніякого стовідсотково працює дешифратора на сьогоднішній день не існує, про це зізналися навіть в лабораторії Dr.Web. Один мій приятель перерив весь інтернет і поспілкувався з великою кількістю людей пропонують за винагороду зробити розшифровку файлів, але результат абсолютно негативний, також нами були перепробувані всі існуючі програми дешифровщики.

Кажуть, що лабораторії Dr.Web вдалося допомогти деяким користувачам розшифрувати зашифровані файли і вони готові допомогти іншим користувачам потрапили в біду, але для цього у постраждалих повинні бути встановлені на комп'ютерах платні версії антивірусів від Dr.Web, наприклад Dr.Web Security Space і Dr .Web Enterprise Security Suite. Що це, реклама? Як би там не було, якщо ви власник даних продуктів і постраждали від вірусу-шифрувальника перейдіть за посиланням, заповніть форму, виберіть файл і натисніть Надіслати, потім чекайте відповіді.

https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперський теж пропонує своє рішення у вигляді утиліти RectorDecryptor.

Перейдіть по посиланню http://support.kaspersky.ru/viruses/disinfection/4264#block2

і виберіть Пункт 2. Як розшифрувати файли

Скачайте файл RectorDecryptor.exe

exe

і запустіть його, в головному вікні натисніть кнопку Почати перевірку.

і запустіть його, в головному вікні натисніть кнопку Почати перевірку

Ще для розшифровки можете зайти на сервіс https://decryptcryptolocker.com/ і натисніть на кнопку Виберіть файл, потім в що з'явилося провіднику вкажіть зашифрований файл і може вам пощастить!

com/ і натисніть на кнопку Виберіть файл, потім в що з'явилося провіднику вкажіть зашифрований файл і може вам пощастить

Таких програм і сервісів пропонують послуги розшифровки стає все більше, але результат поки залишає бажати кращого, тому рекомендую вам скопіювати зашифровані файли на окремий накопичувач і запастися терпінням, напевно дешифратор буде створено найближчим часом, і ви про це обов'язково дізнаєтеся на нашому сайті.

Стаття близька по темі: Що робити якщо на комп'ютері вірус-майнер

Чи так це?
Що це, реклама?
Ru/new/free_unlocker/?