Вирус XTBL: как восстановить файлы после атаки вымогателя?

Как восстановить файлы после вируса-шифровальщика?

С чем мы имеем дело?

Существует множество вирусов, которые незаметно проникают в систему и начинают уничтожать Ваши файлы (путем повреждения или шифрования). На тематических форумах большинство экспертов склонно считать, что помочь в таких случаях практически невозможно. Придется или заплатить денег злоумышленникам, что не гарантирует ожидаемого результата. Или же потратить немало времени на поиск решения.

Самыми коварными являются следующие вирусы:

  • Penetrator. Впервые о нём услышали в начале 2008 года, когда по всем новостям трубили об угрозе, которая поражает документы разных форматов. В то время пострадали сотни предприятий, работники которых открывали письма, содержащие вредоносный код. Самое печальное, что восстановить потерянную информацию так никому и не удалось.
  • Vault. Маскируется под инсталлятор скринсейвера (хранителя экрана) с расширением «scr». После проникновения в систему начинает кодировать информацию, ограничивая доступ к ней. Во время загрузки ПК автоматически открывается текстовый документ, который сообщает об атаке и предоставляет инструкцию по устранению проблемы (не бесплатную, конечно же).
  • Xtbl. Этому вирусу я посвятил отдельную статью, ознакомиться с которой можно по ссылке. Принцип его действия аналогичен двум предшественникам. После шифрования большинство файлов получает расширение «xtbl».

Восстановление поврежденных видеофайлов

В случае некорректного отключения компьютера, например при отключении электроэнергии, использование этой функции восстановит поврежденные видеофайлы.

Совет: После некорректного отключения компьютера перед запуском системы GV следует сначала выполнить Repair BataBase Utility (Утилиту восстановления базы данных). После выполнения этой утилиты вернитесь в приложение ViewLog и просмотрите видеособытия. Теперь удастся просмотреть все видеофайлы. Однако, если при открытии файла отображается знак вопроса, проблема, возможно, возникла из-за прерывания процесса записи. Чтобы восстановить такой файл, запустите утилиту восстановления файлов AVI и выполните описанные ниже действия.

  1. Дважды щелкните файл в папке GV. Откроется следующее диалоговое окно. Рис. 5-9
  2. Нажмите кнопку Browse (Обзор) и найдите поврежденный видеофайл.
  3. Если известны кодек и разрешение файла, выберите Manual (Ручной), Compression Type (Тип сжатия) и введите значение Resolution (Разрешение). Кроме этого, можно выбрать вариант Авто, и система произведет поиск требуемой комбинации этих параметров. Обратите внимание на то, что при выборе этого варианта для восстановления потребуется больше времени.
  4. Нажмите кнопку Исправить, чтобы начать восстановление.
  5. В случае выбора неверного кодека или разрешения на экране просмотра можно увидеть искаженное изображение или сообщение No Image (Нет изображения). В этом случае выберите Нет, чтобы использовать следующую комбинацию кодека и разрешения до появления правильного изображения.
  6. После отображения полного изображения нажмите кнопку со стрелкой, чтобы просмотреть файл.
  7. Выберите Да, чтобы начать восстановление.
  8. Выберите Да, чтобы перезаписать файл, или Нет, чтобы сохранить файл по другому пути. Обратите внимание на то, что при выборе Нет в этом шаге следует снова запустить Repair DataBase Utility (Утилиту восстановления базы данных) после выхода из программы.

Вирус, шифрующий файлы

Зловред XTBL попадая на компьютер, запускает алгоритм шифра данных. Он блокирует доступ к файлам, добавляя расширение .xtbl. В отличие от других шифровальщиков, эта программа переименовывает данные, превращая название файлов в шифр. Понять, где какой файл становится невозможно. Пользователю доступно сообщение от мошенников, в котором те требуют деньги за расшифровку.

Читайте также:  Windows Search — что это за служба, описание

Признак появления на компьютере

Вирус, шифрующий файлы

Поскольку .xtbl массово шифрует данные, компьютер ощутимо перегружается. Зависания и замедление работы операционной системы – неотъемлемый атрибут заражения. В ходе атаки, привычные файлы получают неузнаваемый вид.

При попытке запуска файла, пользователь видит сообщение от взломщиков, в котором они требуют выслать код на почту, чтобы получить инструкцию по разблокировке.

При виде сообщения «Ваши файлы были зашифрованы XTBL», точно не стоит идти на поводу у вымогателей. Если пользователь выполняет требования хакеров, то получает инструкцию, в ходе которой ему придется заплатить от 3 до 5 тысяч рублей за дешифровку данных. При этом, порядочность вымогателей никто не гарантирует. Странно было бы требовать честности от людей, которые зарабатывают, создавая проблемы другим, и сознательно скрывают свои личности.

Вирус, шифрующий файлы

Какие файлы шифруются?

Задача вируса не нарушить работу системы, а заставить человека платить. Поэтому он оставляет в безопасности необходимые для стабильной работы операционной системы данные. Под удар попадают документы, таблицы и фотографии. Поэтому вирус особо опасен для офисных машин.

Совет! При запуске установочного файла с расширением .exe используйте функцию антивирусов «Песочница». Запуск приложений в безопасной среде поможет в дальнейшем избежать заражений.

Вирус, шифрующий файлы

Более брендов и свыше наименований товаров

Вирусы-шифровальщики стали одним из самых распространенных видов вирусов-вымогателей. Опасность этого вируса заключается в том, что попадая на компьютер жертвы, он шифрует все файлы, которые предоставляют хоть какую то ценность для пользователя.  В его списке включены:

  • офисные документы (Microsoft Office, Open Office, текстовые и другое форматы);
  • базы данных 1С;
  • изображения (чертежи, фотографии, схемы);
  • видео файлы 
  • и другие. 

Для того чтобы расшифровать зашифрованные файлы, вирус-вымогатель предлагается вам заплатить злоумышленнику определенную сумму, после чего пользователь получает дешифратор и может самостоятельно расшифровать свои файлы.

Но стоит заметить, что данный вариант не имеет никаких гарантий и злоумышленник не выдаст вам документов на потраченные денежные средства. Можно смело считать, что вы просто вносите некое добровольное пожертвование, а дать вам дешифровщик или нет, зависит лишь от настроения злоумышленника.

Но не стоит сразу паниковать, дело в том, что в большинстве случаев есть несколько способов восстановить зашифрованные файлы не обращаясь к злоумышленнику. 

А все ли файлы можно дешифровать?

На данный момент мы успешно восстанавливаем зашифрованные файлы после вирусов-шифровальщиков

  • *.VAULT;
  • *.CBF;
  • *.XTBL;
  • *.LOCKED;
  • *.BLOCKED;
  • *.DA_VINCI_CODE;
  • *.NO_MORE_RANSOM;
  • *.50CENT;
  • и другие. 

Если вы подверглись атаке подобного вируса, то не отчаивайтесь,  мы постараемся вам помочь. И так, что необходимо сделать, чтобы постараться восстановить ваши данные?

Что делать, если Вы стали жертвой злоумышленников?

  1. Не отчаивайтесь! В 90% случаев зашифрованные вирусом файлы поддаются расшифровке.

    Тем не менее, желательно прекратить работу на компьютере сразу же, как только Вы заметили изменение файлов;

  2. Обратитесь к специалистам! Позвоните нам по телефону: +7 (8442) 45-94-00 или закажите обратный звонок и наши специалисты совершенно бесплатно свяжутся с вами и выполнят анализ и пробную расшифровку Ваших файлов;
  3. Пришлите 3-4 зашифрованных файла для анализа и пробной расшифровки на нашу почту Этот адрес электронной почты защищён от спам-ботов.

    У вас должен быть включен JavaScript для просмотра. (в письме обязательно укажите Ваши контактные данные: телефон, имя и город).

  4. Процедура анализа может длиться до 1 часа. По завершению Вам будут высланы пробно расшифрованные файлы и озвучена конечная стоимость расшифровки файлов;
  5. Расшифровка файлов производится через УДАЛЕННЫЙ ДОСТУП (вся Россия);
  6. Оплата услуг производится ТОЛЬКО ПО ФАКТУ успешной пробной расшифровки файлов!
Более брендов и свыше наименований товаров

Как производится расшифровка файлов после воздействия вируса?

Мы настоятельно не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях велика вероятностью полной потери важной информации.

На данный момент нашими специалистами используется два основных подхода для восстановления важных файлов, которые были зашифрованы вирусом.

Первый метод основан на восстановлении более ранней версии файлов с поверхности жесткого диска (аппаратное и/или программное) или из теневых копий Windows, какая либо расшифровка файлов в этом случае не требуется. Используя данный подход можно восстановить до 90% поврежденных (зашифрованных) файлов.

Стоит отметить, что очень важно для успешных результатов восстановления сразу же прекратить использовать зараженный компьютер. Как только вы заметили что изменилось расширение файлов лучше всего как можно скорее выключить компьютер.

При использовании второго метода производится непосредственная расшифровка файлов. Известно, что практически все вирусы шифровальщики работают по одному и тому же алгоритму: заражение компьютера различными способами, генерация ключа шифрования и его сохранение на жестком диске, шифрование данных используя полученный при генерации ключ, удаление тела вируса и ключа шифрования. Второй метод заключается в восстановлении удаленного вирусом ключа шифрования и дальнейшей расшифровке файлов.

На практике для восстановления файлов используется как первый, так и второй метод одновременно, что дает большие шансы на полное восстановление зашифрованных файлов. Стоит еще раз особо отметить, что успех восстановления во многом зависит от действий пользователя сразу же после заражения. Чем быстрее будет остановлена работа зараженного компьютера, тем выше шансы на полное восстановление зашифрованных файлов!

Данная услуга оказывается совместно с компанией GRANDFIX на условиях партнерства. Стоимость данной услуги для конечного пользователя одинакова вне зависимости от места обращения.

Представляем широкий ассортимент товаров на рынке информационных технологий. Мы являемся официальными дистрибьюторами многих компаний-разработчиков и производителей оборудования

© 2007-2019 ООО «Центр Информационных Технологий»

Восстановление файлов после вируса шифровальщика

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Для того, чтобы в дальнейшем у Вас таких проблем не возникало настоятельно рекомендуем приобрести Kaspersky Internet Security, который заточен на предотвращение подобных атак.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.

Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно.

Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере, открывая неизвестные письма.

После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д.

Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Восстановление файлов после вируса шифровальщика
  1. Кликните по зашифрованному файлу правой кнопкой и откройте его свойства.
  2. После перейдите на вкладку «Предыдущие версии». Выберите теневую копию и нажмите «Восстановить».

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor.

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Принцип работы у программ одинаковый – вы указываете на один зашифрованный файл, к которому программа пытается подобрать ключ.

Процесс подбора пароля может затянуться надолго (на Intel Core i5-2400 файл с расширением *.crypt может расшифровываться до 120 суток). Все это время компьютер нельзя выключать.

Никогда не платите деньги злоумышленника, таким образом вы поощряете преступную деятельность. Многие пользователи так поступают, но очень редко получают результат – злоумышленники могут оставить вас и без денег, и без нужной информации.

Обязательно установите себе специальную защиту от Касперского (ссылка в начале статьи), поверьте, эти 1800 рублей сэкономят Вам очень много сил, денег и нервов.

После прочтения статьи рекомендуем к просмотру очень полезное видео по расшифровке файлов:

Вариант Очистка места занимаемого USN журналом на скрытом разделе.

Возможно у Вас не хватает места для записи метаданных на скрытом разделе «100 МБ Зарезервировано системой», необходимых для создания архивной копии. Вам необходимо примерно 40 МБ свободного пространства для этого.

1) В строке поиска меню Пуск введите и нажмите Enter. 2) Щелкните правой кнопкой мыши на разделе размером 100 мегабайт и выберите пункт Изменить букву диска или путь к диску, затем Изменить, назначьте букву (Пример: Z) и нажмите кнопку OK. 3) Запустите командную строку от имени администратора. В строке поиска меню Пуск введите команду: cmd и нажмите одновременно Ctrl + Shift + Enter. 4) Введите последовательно набор команд, нажимая для подтверждения каждой из них клавишу Enter.

fsutil usn queryjournal Z: fsutil usn deletejournal /N /D Z:

5) Повторите архивацию данных. 6) После успешного создания теневой копии, снова пройдите в меню Изменить букву диска или путь к диску, но только выберите пункт Удалить, тем самым Вы сделаете раздел в 100 мегабайт снова Скрытым.