Причина проблемы: вирус xtbl
Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение .xtbl. Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.
Как работает вирус xtbl
Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.
Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.
Файлы, зашифрованные вирусом xtbl, меняют свои названия
На рабочем столе вместо заставки появляется сообщение:
Вирус xtbl невозможно не заметить: внешний вид меняют не только пользовательские файлы, но и заставка рабочего стола
Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.
Почему не стоит платить вымогателям
Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.
- Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий — это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
- Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
- Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
- Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.
Как защитить систему от вируса
Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.
- Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
- Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
- Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
- Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.
Средства борьбы от популярных лабораторий
Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.
Kaspersky и вирусы-шифровальщики
Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями. Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: RectorDecryptor, XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Они помогают отыскивать вирус и подбирают пароль.
Dr. Web и шифровальщики
Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов. Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку. Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.
ESET Nod 32 и шифровальщики
В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.
5 . Журнал работы Kaspersky WindowsUnlocker
Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса. Вы можете отправить запрос через сервис Личный кабинет .Чтобы просмотреть журнал работы утилиты, выполните следующие действия:
- На рабочем столе двойным щелчком откройте Диспетчер файлов
(если вы работаете в текстовом режиме, закройтеМеню пользователя
, нажав F10
).
- В меню Диспетчера файлов
(в текстовом режиме — Midnight Commander
) найдите папку /var/kl
(или /var/tmp
в случае недоступности первой папки) и откройте ее.
- В папке находится текстовый файл вида WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt
. В этом файле находится журнал работы Kaspersky WindowsUnlocker
.
После завершения работы с Kaspersky WindowsUnlocker
перезагрузите компьютер и в параметрах BIOS
на закладке Boot
задайте в качестве загрузочного диска ваш жесткий диск.
Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, пишите либо в комментарии, либо .
Путешествуя по интернету, пользователь может случайно заглянуть на сайт, намеренно зараженный вирусом-вымогателем. Если в операционной системе Windows, браузере или другом программном обеспечении есть уязвимости, работа компьютера полностью блокируется, на экране появляется окошко с сообщением о том, что пользователь якобы нарушил те или иные правила и его версия Windows заблокирована. Для разблокировки предлагается отправить SMS-сообщение на указанный телефонный номер. Курсор двигается только по окошку, перезагрузка не помогает.
Удаление вирусов-вымогателей может производиться несколькими способами. Проще всего воспользоваться сайтом Лаборатории Касперского: необходимо зайти на него с другого компьютера или под резервной ОС и перейти на страницу «Удаление SMS-блокеров». Далее введите в окошко поиска телефонный номер, на который вам предлагается отправить SMS, и нажмите кнопку «Получить код». Если нужный код есть, вы его получите. После этого введите его в окне блокировщика, Windows будет разблокирована.
К сожалению, этот способ срабатывает далеко не всегда. При неудаче возможно удаление баннера с помощью Kaspersky WindowsUnlocker. Эту утилиту можно скачать с той же страницы сайта Касперского, она входит в состав спасательного диска Kaspersky Rescue Disk. Необходимо скачать образ диска (его размер чуть больше 300 Мб) и записать его на CD-диск. После этого утилита запускается с компакт-диска при старте компьютера, с ее помощью можно удалить все файлы SMS-блокера и восстановить реестр. После окончания работы утилиты компьютер будет полностью работоспособен.
Использовать Kaspersky WindowsUnlocker следует даже тогда, когда вам удалось подобрать код разблокировки. Файлы вируса-блокировщика все равно остаются на компьютере, их следует удалить.
Профессиональное удаление блокировщиков
Создатели вирусов постоянно создают новые версии, поэтому весьма велика вероятность того, что удалить попавшийся вам вирус штатными методами не получится. В этом случае баннер придется удалять в ручном режиме, что требует большого опыта. Например, опытный мастер может попробовать загрузить компьютер в безопасном режиме с поддержкой командной строки. Когда консоль станет доступна, он запустит рабочий стол командой explorer.exe, вирус при таком способе загрузки обычно не активируется. После этого эксперт проверит системный реестр и папки Windows, вручную удалит из них файлы блокировщика, что позволит полностью вернуть компьютеру работоспособность.
Если вы столкнулись с SMS-блокером и не можете от него избавиться, позвоните нам. Наш специалист приедет и гарантированно восстановит ваш десктоп или ноутбук. Наблюдая за работой мастера, вы сможете многому научиться, что позволит вам уже самостоятельно справляться с подобными ситуациями. Звоните нам в любое удобное для вас время!
Как распространяется WannaCry
В операционной системе Windows существовала уязвимость в протоколе SMB, которую в свое время обнаружило Агентство Национальной Безопасности (АНБ) США. АНБ использовало найденную брешь в своих целях. Корпорация Microsoft не знала о наличии данной проблемы с безопасностью в операционной системе Windows.
Хакерская группа The Shadow Brokers смогла похитить у АНБ эксплойты EternalBlue и DoublePulsar, которые были опубликованы в свободном доступе. На основе выкраденных эксплойтов, злоумышленниками была создана программа, которая использует данную уязвимость в операционной системе.
Вирус сканирует в интернете компьютеры на наличие открытого порта 445, который используется для совместной работы с файлами. После проникновения на компьютер, программа Wanna Decryptor, шифрует файлы, заменяя расширения файлов на «.wncry». Шифрование осуществляется по комбинации алгоритмов AES-128 и RSA, в данный момент, расшифровка файлов затруднена.
Затем на экран монитора выводится сообщение с требованием выкупа на языке операционной системы (всего поддерживается 28 языков, в том числе русский язык).
За разблокировку злоумышленники требуют определенную сумму в биткоинах, в эквиваленте 300-600 долларов. Если в течение 3 дней денежные средства не будут выплачены, сумма выкупа удваивается, а через 7 дней все зашифрованные данные будут удалены с компьютера. Вредоносная программа выполняет команды, поступающие из серверов через анонимную сеть Tor.
Узнав об этой проблеме, 14 марта 2017 года Microsoft выпустила патч MS17-010, который закрывает брешь в безопасности, эксплуатируемый хакерами.
Найти вирус шифровальщик
Процесс нахождения заражённого файла, излечения компьютера, делается с другого оборудования.
После отработки по шифрованию файлов, вам приходит сообщение, в котором предлагают оплатить восстановление. Чаще всего, пользователь теряет не только данные, но и деньги, если выполняет это требование.
Интересно то, что пользователь сам разрешает установку и активацию вируса на своем компьютере.
Это может быть открытие файла с расширением ехе – поступившего через электронную почту или согласите на обновление хорошо известного приложения (JavaScript или FlashPlayer). Вариантов маскировки для скрытного проникновения много.
После изменения расширения файлов на XTBL вы больше не сможете их открыть. Попытки восстановить изменением названия или расширения ни к чему не приведут.
Описание вируса шифровальщика Crusis (Dharma)
Дальше началось расследование. Зашифрованные файлы получили расширение .combo. Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.
За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.
Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю
Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.
После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.
Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.
Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message 501BED27 In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:
all your data has been locked us You want to return? write email [email protected]
Любопытно, что изменились права на директорию Рабочий стол. У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy, в которой был сам вирус — файл l20VHC_playload.exe.
Файлы на компьютере зашифрованы в xtbl
Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.
Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес [email protected], [email protected] или [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).
К сожалению, способа расшифровать .xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.
Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд — это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):
- Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
- Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
- С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
- Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
- Можно так же отправить пример зашифрованного файла и требуемый код на[email protected], если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.
Чего делать не следует:
Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.
Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.
Вирус ставит расширение da_vinci_code на файлы
Итак, вы словили вирус и обнаружили, что все файлы поменяли не только свое расширение на da_vinci_code, но и имена файлов стали вида:
- FCLz7Bp-+HIHOCKm0rlMfw==.8C29FA8A8AC85257C10F.da_vinci_code
- 3Aag8evVDM6H8IWIiRpnhf2XXI6NMbGpB9XQTAKQ==.B604CC12F53D945AF080.da_vinci_code
- 1Fy-zfjTwpz95HtypRQ—Fo8nCVaEECEB+tBgJ4Z7604CC12F53D945AF080.da_vinci_code
Шифрует он почти все полезные файлы. В моем случае он зашифровал все документы, архивы, картинки, видео. Вообще вся полезная информация на компьютере превратилась вот в такую зашифрованную кашу. Прочитать файлы стало невозможно. Даже понять, что это за файлы нельзя. Это, кстати, существенный минус. Все предыдущие модификации шифровальщика, что ко мне попадали, оставляли оригинальное имя файла. Этот же не только расширение поменял, но и заменил все имена файлов. Стало невозможно понять, что конкретно ты потерял. Понимаешь только, что ВСЕ!
Вам повезло, если файлы зашифрованы только на локальном компьютере, как в моем случае. Хуже, если вирус шифровальщик да винчи повредит файлы и на сетевых дисках, например, организации. Это вообще способно полностью парализовать работу компании. С таким я тоже сталкивался и не раз. Приходилось платить злоумышленникам, чтобы возобновить работу.
Принцип действия вируса-шифровальщика
Деньги эта программа вымогает довольно просто: блокирует весь компьютер или часть его файлов, а за снятие блока предлагает оплатить означенную сумму через терминал или посредством СМС на мобильный номер.
Самый простой вариант решения проблемы – заплатить дань за расшифровку файлов. За последние годы шифровальщики изменили свою тактику. Первые каналы их распространения включали:
- порно-сайты;
- варезы;
- массовые спам-рассылки;
- подмену выдачи.
Тогда они были неразборчивы и заражали все компьютеры подряд, в том числе и обычных пользователей. Сейчас же рассылка «писем счастья» стала адресной, делается вручную с почтовых ящиков обычных доменов: gmail, mail.ru и т. д.
А целью их становятся компьютеры юрлиц с их договорами, базами данных и т. д. То есть, из веерных атаки стали целенаправленными.
Как расшифровать и восстановить файлы после вируса Crusis (Dharma)
Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:
- Инструмент теневых копий windows.
- Программы по восстановлению удаленных данных
Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool. Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.
После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.
Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.
Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.
Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.
Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.
Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.
Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.
Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.
Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:
- R.saver
- Starus File Recovery
- JPEG Recovery Pro
- Active File Recovery Professional
Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.
Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.