Вирус зашифровал файлы на компьютере в расширение .xtbl

Категория: Безопасность
Добавил: access_timeОпубликовано: 29-05-2015 visibilityПросмотров: 156 670 chat_bubble_outlineКомментариев: 86


Здравствуйте админ, я к вам с проблемой. Мне пришло на электронную почту письмо с архивом, а в архиве странный файл, открыл его щёлкнув двойным щелчком мыши, на секунду мелькнуло какое-то окно и ноутбук завис, через минуту большая часть файлов на рабочем столе приобрела странный вид и вот такие названия:
+InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl
1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI=.xtbl
Выключил принудительно ноут и после включения на рабочем столе появилось вот такое сообщение "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl


Привет друзья! Наш читатель прислал мне по почте письмо с самой опасной на сегодняшний день вредоносной программой и я заразил вирусом свой тестовый компьютер, смотрим как происходит заражение, как происходит шифрование файлов и как в конце концов можно удалить этот вирус. Но мой вам совет, если вы обнаружили в вашей операционной системе работу подобного вируса и ни с чем подобным ранее не сталкивались, то просто выключите компьютер и сразу обратитесь за помощью в хороший сервисный центр, потому как существует риск полной потери ваших данных на жёстком диске.

Данный вирус представляет из себя троянскую программу, а значит одновременно происходит заражение вашей операционной системы сразу несколькими вредоносными программами. Лично я, полностью исследовав заражённый компьютер утилитами Process Monitor и AnVir Task Manager, насчитал четыре:

Первый зловред, обычный блокировщик рабочего стола, блокирует вашу Windows, чтобы вы не смогли ничего сделать.
Второй зловред, представляет из себя руткит, скрывающий третью программу включающую ваш компьютер в Ботнет (компьютерная сеть, состоящая из заражённых компьютеров) и ваша машина начинает служить злоумышленникам (рассылать спам и заражать другие компьютеры в интернете) и безбожно тормозить.
Четвёртый зловред, шифрует сложнейшим алгоритмом часть системных и все пользовательские файлы: изображения, видео, аудио и текстовые документы в расширение .xtbl. На момент шифрования файлов, в операционной системе работает файл шифратор, если его обнаружить, шансы на расшифровку заметно возрастут, но это ещё никому не удалось даже с помощью инструмента Process Monitor, этот файл всегда удачно самоудаляется.

В процессе заражения на рабочем столе или в корне диска (C:) создаётся текстовый документ с таким содержанием: 
"Для расшифровки ваших файлов и получения необходимых инструкций отправьте код Q2R8459H8K3956GJS2M1|0 на электронный адрес dechifrator107@mail.ru (адреса могут разниться и не всегда этот файл создаётся - примеч. администратора). Не пытайтесь сами расшифровать файлы, это приведёт к безвозвратной их потере".

 

 

В последнем, попавшемся мне, таком файле совсем не было никаких почтовых адресов, а просто были номера электронных кошельков для пополнения, что говорит об возможной торговле данной вредоносной программой на закрытых хакерских форумах.

В первую очередь удаляем вредоносную программу
Наш читатель поступил правильно, почуяв неладное выключил компьютер, этим он спас все остальные свои файлы от заражения.
Как я уже заметил в начале статьи, архив с вредоносной программой оказался у меня. Раньше я всегда сталкивался с последствиями работы этого трояна, а сейчас представилась возможность проследить как происходит заражение и шифрование.
Также из дальнейшего рассказа вы увидите, что при наличии нормального антивируса и менеджера автозагрузки заразить свой компьютер вирусом практически невозможно.

Вот так выглядит архив в письме

Извлекаю из архива файл вируса и запускаю его



Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле - Состояние: Определённо не требуется - вирусы, шпионы, реклама и "пожиратели ресурсов".

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой. 

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).  

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.



Очистка системы

Несмотря на такое разрушительное действие, от вируса-шифровальщика можно избавиться простым восстановлением операционной системы (только в том случае, если вы запустите её в среде восстановления).
Если восстановление системы у вас отключено, то удалите вредоносную программу в безопасном режиме, Windows так устроена, что в Safe Mode работают только основные системные процессы операционной системы. Для удаления вируса можно использовать обычный Диспетчер задач Windows, а лучше программу AnVir Task Manager, рассмотрим оба варианта.

Загружаемся в безопасный режим и открываем Диспетчер задач, смотрим незнакомые элементы в Автозагрузке. Так как в безопасном режиме процессы и сервисы вредоносной программы не работают, то просто удаляем файл вируса, но к сожалению Диспетчер задач не сможет показать все заражённые файлы.
Щёлкаем правой мышью мышью на подозрительном файле и выбираем в меню Открыть расположение файла

Открывается папка автозагрузки:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

с вредоносными файлами, которые нужно просто удалить. 

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal - онлайн сервисе, анализирующем подозрительные файлы.

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский - Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb - Trojan.PWS.Tinba.161, Avira - TR/Crypt.Xpack.189492 и так далее.

Кто заинтересовался возможностями AnVir, читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:\Users\Имя пользователя\AppData\Local\Temp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.


К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

 

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

 

Как расшифровать зашифрованные файлы с расширением .xtbl
Во первых и не думайте переписываться со злоумышленниками, до вас это пробовали многие, никакого дешифратора вам не дадут, а только разведут на деньги. Также не верьте людям, которые пообещают расшифровать вам файлы за деньги, никакого стопроцентно работающего дешифратора на сегодняшний день не существует, об этом признались даже в лаборатории Dr.Web. Один мой приятель перерыл весь интернет и пообщался с большим количеством людей предлагающих за вознаграждение произвести расшифровку файлов, но результат абсолютно отрицательный, также нами были перепробованы все существующие программы дешифровщики.
 
Говорят, что лаборатории Dr.Web удалось помочь немногим пользователям расшифровать зашифрованные файлы и они готовы помочь другим пользователям попавшим в беду, но для этого у пострадавших должны быть установлены на компьютерах платные версии антивирусов от Dr.Web, например Dr.Web Security Space и Dr.Web Enterprise Security Suite. Что это, реклама? Как бы то не было, если вы обладатель данных продуктов и пострадали от вируса-шифровальщика перейдите по ссылке, заполните форму, выберите файл и нажмите Отправить, затем ждите ответа.
https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

Скачайте файл RectorDecryptor.exe

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

 

Статья близкая по теме: Что делать если на компьютере вирус-майнер

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Назад 1 2 Вперед

Комментарии (86)

  1. img
    3 октября 2015 14:32 admin
    Администратор
    Пока нечего сказать.
    Цитировать replyОтветить
  2. img
    3 октября 2015 13:17 Лерыч
    Гость
    Тож получил привет от вируса. Файлы стали такого вида yOgZUcUK-JwI0UuNllSzmB2j7UWJ0qiZNangoqvJNqb7KYpvmNm5PGXs4hmIjHND.DB7372CCA8D5B05
    650EA.breaking_bad
    Что скажете.
    Цитировать replyОтветить
  3. img
    25 августа 2015 17:20 admin
    Администратор
    Не могу точно сказать, к примеру, мне они не смогли помочь.
    Лицензия нужна любая, даже самая дешёвая подойдёт.
    Цитировать replyОтветить
  4. img
    25 августа 2015 14:49 Фанис
    Цитата: MishaK20
    [/hide]Расшифровать получилось, обратившись в Kaspersky, но для этого необходимо иметь companyaccount и действующую лицензию.
    Скажите пожалуйста, если я сейчас куплю лицензию на Касперского, они мне помогут? И какую самую дешевую можно купить?
    Цитировать replyОтветить
  5. img
    25 августа 2015 09:04 admin
    Администратор
    И Вам спасибо.
    Цитировать replyОтветить
  6. img
    25 августа 2015 08:37 Алксандр
    Гость
    Спасибо Админу за столь содержательный ответ и помощь. Два раза сталкивался с такой проблемой (в первой переустанавливал ОС), во втором случае помогла статья. СПС
    Цитировать replyОтветить
  7. img
    23 августа 2015 22:21 MishaK20
    Внимание! У Вас нет прав для просмотра скрытого текста.

    Расшифровать получилось, обратившись в Kaspersky, но для этого необходимо иметь companyaccount и действующую лицензию.
    Скинул им образцы зашифрованного файла и сам ссылку? по которой был скачан архив с шифровщиком.
    Прислали утилиту для расшифровки.
    Также пояснили, что данная утилита изготовлена конкретно для того пк, с которого были предоставлены файлы, т.к. для каждого ПК вирус-шифровальщик использует определённый ID.
    Цитировать replyОтветить
  8. img
    20 августа 2015 20:36 admin
    Администратор
    Почитав форумы, люди сами справляются с бедой, было бы желание
    обманщиков много встречал на таких форумах, аферистов. Пока таблетки нет.
    Цитировать replyОтветить
  9. img
    20 августа 2015 17:32 Marina
    Гость
    admin помогите пожалуйста! Крик души. На работе открыла письмо и счастье "привалило". Естественно куча отчетов и прочего стало не доступно. Все зашифровано в формате .xtbl, вообщем картинка один в один, как описывается в начале статьи. Наш программист говорит ничего не сделать, типа надо заплатить и получить дешифратор. Почитав форумы, люди сами справляются с бедой, было бы желание. Подскажите что делать? Файлы скачала на флешку на всякий случай.
    Цитировать replyОтветить
  10. img
    17 августа 2015 06:01 admin
    Администратор
    Если появится универсальный расшифровщик, я сразу напишу об этом в статье.
    Цитировать replyОтветить
  11. img
    16 августа 2015 23:31 MishaK20
    Внимание! У Вас нет прав для просмотра скрытого текста.

    Не работает данный расшифровщик. Недавно знакомый словил шифровальщика. Попробовал расшифровать указанной утилитой от Касперского, пишет, что данный файл расшифровать не удалось.
    Скорее для каждого ПК создаётся свой ID и необходим индивидуальный расшифровщик.
    Цитировать replyОтветить
  12. img
    15 августа 2015 09:49 admin
    Администратор
    Попробуем новую утилиту о Касперского и отпишимся.
    Цитировать replyОтветить
  13. img
    15 августа 2015 09:01 Азат
    Гость
    Отправил в лабораторию Касперского один из зашифрованных файлов. На следующий день пришел ответ:
    Здравствуйте,

    Файлы зашифрованы Trojan-Ransom.Win32.Shade
    Воспользуйтесь данной утилитой для расшифровки файлов:
    ftp://decrypt_tools_ro:7p2oUzGEzmU@data14.kaspersky-labs.com/ShadeDecryptor/1.0.
    0.38/ShadeDecryptor.zip
    Обратите внимание, что перед обработкой зашифрованных файлов необходимо сохранить их резервную копию.

    С уважением, антивирусная лаборатория

    125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru
    Все РАСШИФРОВАЛ!!!
    Цитировать replyОтветить
  14. img
    5 августа 2015 19:10 admin
    Администратор
    Сразу новую статью напишу.
    Цитировать replyОтветить
  15. img
    5 августа 2015 18:59 Марина
    Гость
    Ни один из касперских дешифраторов не помог :(((((
    Что делать - ума не приложу :((((

    Скажите, пожалуйста, а как узнать, когда у вас на сайте появится какой-либо новый дешифратор?
    Цитировать replyОтветить
  16. img
    5 августа 2015 07:45 admin
    Администратор
    Не могу сказать даже приблизительно, может завтра, а может через два года.
    Цитировать replyОтветить
  17. img
    4 августа 2015 16:53 Фанис
    Гость
    Как думаете, когда можно ожидать дешифратор от Касперского или Dr.Web? И вообще стоит ли надеяться, что когда-нибудь файлы можно будет расшифровать? recourse
    Цитировать replyОтветить
  18. img
    25 июля 2015 12:09 admin
    Администратор
    Попадались ноутбуки с этой бедой, но скрытые разделы без буквы с заводскими настройками оставались работоспособными.
    Цитировать replyОтветить
  19. img
    25 июля 2015 11:25 Анатолий
    Гость
    Доброго Всем дня !
    Видел два ноутбука с такой бедой-лечил полной переустановкой Windows. При попытке вернуться к заводским установкам - данная табличка оказывается неактивной. Получается, что вирус кроме всего прочего переконвертировал и переименовал все файлы в разделе
    Recovery? С нетерпением жду услышать Ваши соображения?
    Цитировать replyОтветить
  20. img
    9 июля 2015 17:15 admin
    Администратор
    Проверьте компьютер на вирусы лечащей утилитой Dr.Web CureIt, должно помочь и без безопасного режима
    http://remontcompa.ru/222-kak-proverit-kompyuter-na-virusy.html
    Цитировать replyОтветить
  21. img
    9 июля 2015 16:54 Ден
    Гость
    Здравствуйте, подскажите пожалуйста, как удалить вирус-троян с компьютера на ОС Windows 7, я там не нашел никакого безопасного режима и тем более в диспетчере задач раздел "автозагрузка". Некоторые советуют переустановить винду, а некоторые наоборот не переустанавливать. Подскажите что делать?
    Цитировать replyОтветить
  22. img
    2 июля 2015 00:13 НапримерАндрей
    Гость
    А есть, у кого-нибудь!_положительный опыт разблокирования (дешифровки) деятельности такой байды?
    Короче; а есть вообще такой случай в природе, когда данные были зашифрованы(заблокированы), а потом (после оплаты злоумышленикам) были успешно деблокированы?
    Ведь бабосы-то "они" конечно просят-требуют, но у меня очень большое сомнение в том, что после уплаты "выкупа" получишь реальный и рабочий деблокиратор. А если применено, в вирусе, RSA-шифрование большого порядка, то ценность самого деблокиратора очень высока.
    Ну и кто вам его вышлет? wink Даже за 5-15 тыс.р. Когда на этом вирусе можно заработать на порядок больше. ;-))
    Цитировать replyОтветить
  23. img
    19 июня 2015 22:40 Вольдемар
    Гость
    Shadow Defender ставте и эти криптолоккеры не сработают.
    Цитировать replyОтветить
  24. img
    18 июня 2015 17:53 садовник
    Гость
    Спасибо за полезный совет.
    Цитировать replyОтветить
  25. img
    18 июня 2015 07:34 admin
    Администратор
    Да, в моём случае флешка была заражена и при подсоединении её к моему рабочему стационарному компьютеру вирус удалил ESET NOD32. Но я всё равно форматировал флешку и скинул на неё все программы заново с флешки-клона (держу две абсолютно одинаковые флешки с одними и теми же программами на всякий случай).
    Цитировать replyОтветить
  26. img
    17 июня 2015 21:54 садовник
    Гость
    Спасибо за отличный сайт. Принесли комп с таким вирусом - сижу удаляю, своя флешка в компе - после прочитанного как-то не хочется в свой комп втыкать. В системе этот вирус вижу в диспетчере задач, на флешке нет - этот вирус передается флешкой? На флешке файлы как файлы
    Цитировать replyОтветить
  27. img
    2 июня 2015 20:31 admin
    Администратор
    Владимир, да, с программой работаю, оказалась хорошая программулька, напишу статью.
    Насчёт вируса, да, дал всем прикурить. Делайте бэкапы, обновляйте антивирусное программное обеспечение. Используйте менеджер автозагрузки, но это не спасёт, если в ваше отсутствие начальство полезет смотреть порнушку и цепанёт что-нить.
    Цитировать replyОтветить
  28. img
    2 июня 2015 19:42 ВладимирК
    Гость
    Вы не поверите но несколько дней назад я столкнулся с такой же проблемой, утром пришел начальник включил компьютер, а там черный фон, я сделал перезагрузку и включить комп уже не смогли, исчез раздел "зарезервировано системой" наверно это и к лучшему. Потому как зашифровались файлы только на разделе с операционной системой, расширение файлов было *.cbf
    Несколько дней проверял корпоративную почту, так и не нашел откуда он взялся.
    На virusinfo там такое творится это ппц, какая то эпидемия пошла.. Такие вирусы шифруют всё, где есть доступ на запись..
    Самое опасное, что он может шифрануть всю локалку вместе с бекапами, судя по форумам такие случаи были
    Даже не знаю как защититься от таких вирусов кроме как бекапа данных и отсоединения накопителя, можно еще попробовать провести тест создать скрытый раздел и посмотреть зашифрует ли он файлы там.

    ps вы мое письмо с программой получили?
    Цитировать replyОтветить
  29. img
    1 июня 2015 14:25 admin
    Администратор
    Punto Switcher и Mipko Personal Monitor известные программы и не исключаю, что их сигнатуры известны ведущим антивирусным компаниям и находятся в исключениях. Часто приходилось вылавливать на компьютерах с бесплатным антивирусным обеспечением различных "Кейлоггеров", думаю установка хорошего платного антивируса решит вопрос и установка утилит наподобие "Detekt" излишне, тем более она не поддерживает Windows 8.1 64bit.
    Цитировать replyОтветить
  30. img
    1 июня 2015 12:55 barney_
    admin
    Да, имею в виду вид компьютерного шпионажа "Кейлоггинг" (фиксация нажатий на клавиши клавиатуры, в основном для сбора паролей).
    Не всегда так, часто бывает не определяется. Например, безобидная программа для смены раскладки Punto Switcher может быть клавиатурным шпионом (функция вести дневник) либо например, Mipko Personal Monitor тайно установленный никак не определяется ESET Smart Security 8.0.312.3. В интернете советуют эту программу: Detekt
    Что можете про нее сказать? Вы ей раньше пользовались?
    Цитировать replyОтветить
  31. img
    31 мая 2015 14:40 Людмила
    Гость
    Спасибо! Все получилось!
    Ваш сайт прямо находка, Вы отвечаете быстро, точно по теме, ничего лишнего и не спрашиваете какая OC, данные компьютера, как некоторые другие.
    Людмила
    Цитировать replyОтветить
  32. img
    31 мая 2015 14:11 barney_
    Как обнаружить клавиатурный шпион, который мог быть установлен скрытно злоумышленником для сбора личной информации? Есть ли специальные антивирусные программы направленные именно на выявление клавиатурных шпионов? Это тема для отдельной интересной статьи, думаю многие пользователи могут и не знать о таком зловреде.

    admin
    Вы имеете ввиду Keylogger? Но его с успехом сможет обнаружить обычный антивирус.
    Цитировать replyОтветить
  33. img
    31 мая 2015 09:24 admin
    Администратор
    Произведите восстановление целостности системных файлов Windows 8 по этой статье
    http://remontcompa.ru/581-proverka-celostnosti-sistemnyh-faylov-windows-8.html
    Цитировать replyОтветить
  34. img
    31 мая 2015 02:57 Людмила
    Гость
    Здравствуйте!
    У меня проблема. Чистила компьютер антивирусом, он показал, что у меня серьезный вирус в браузере Google Chrome. Я его решила удалить и скачать заново. После удаления я не могу открыть ни одну программу. Нажимаю мой компьютер, пишет: «Ошибка при системном вызове».
    А в верхней строке пишет explorer.EXE.
    Выскочило окно «Обновление библиотеки» Включая папку в библиотеке…, бегает строка.
    Что я могла удалить? И что мне делать дальше? Подскажите, пожалуйста.
    Спасибо!
    Людмила.
    Цитировать replyОтветить
  35. img
    31 мая 2015 00:09 Студент
    Тьфу...тьфу...не сталкивался...
    Лучшая защита важных данных это Backup...
    За статью спасибо, сохраню...
    Цитировать replyОтветить
  36. img
    30 мая 2015 16:45 валя
    Гость
    Да, страшная конечно ситуация. Такой вирус вообще по сути портит все данные на компьютере. Уберечь от этого может лишь заблаговременное копирование этих данных на внешний винчестер, USB флеш-картридж (флешку) или на картету (карту памяти). Любой из этих носителей после создания на нем резервной копии этой информации следует отсоединить от компьютера, чтобы с ней, если вообще что-то произойдет с компьютером, в том числе и его заражение вирусом-шифровальщиком, ничего не случилось.
    Цитировать replyОтветить