1. Що собою являє вірус xtbl?
2. Файли, схильні до вірусної атаки - таблиця
3. відновлення файлів
4. Видалення вірусу за допомогою антивірусу
5. Використання програм-дешифраторів
6. Як розшифрувати файли за допомогою лабораторії Касперського - відео
7. Чого робити не слід?

Вірус xtbl є одним з найнебезпечніших на сьогоднішній день. Підхопити його можна, наприклад, отримавши поштою архівний файл і відкривши його. Якщо ви вже мали справу з подібними проблемами, можна відновити працездатність комп'ютера самостійно, скориставшись інструкціями в статті. Але якщо у вас немає досвіду в цій галузі, то краще негайно вимкнути заражене пристрій і віднести його професіоналам, інакше існує ризик безповоротної втрати файлів.

Що собою являє вірус xtbl?

Вірус xtbl є трояна і складається з декількох шкідливих програм:

1. Блокувальник робочого столу - користувач нічого не може зробити зі своєю системою Windows.
2. Програма, що підключає комп'ютер до ботнету (мережі заражених пристроїв). Машина починає розсилати спам по всьому інтернету і повністю підпорядковується зловмисникам за рахунок чого дуже повільно працює.
3. Руткіт, який допомагає приховати від очей власника системи другу програму.
4. Програма, яка шифрує файли. У своїй роботі вона використовує складний алгоритм-шифратор, якщо його знайти, то можна обійтися меншими втратами і швидше відновити файли, але ще нікому не вдалося це зробити - шифратор самостійно видаляється відразу після завершення своєї роботи.

Після того як вірус xtbl буде запущений, файли на робочому столі поміняють назви на схожі: + InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk = .xtbl.

Файли, зашифровані вірусом xtbl, набувають дивний вигляд

Файли, схильні до вірусної атаки - таблиця

На робочому столі замість заставки з'являється повідомлення:

Увага! Всі важливі файли на всіх дисках вашого комп'ютера були зашифровані. Подробиці ви можете прочитати в файлах README.txt, які можна знайти на будь-якому з дисків.

Attention! All the important files on your disks were encrypted. The details can be found in README.txt files which you can find on any of your disks.

Повідомлення на робочому столі комп'ютера

За всіх папок з файлами розкидані єдині незашифровані файли README.txt, в яких міститься інформація про дані зловмисника, куди потрібно написати, щоб відновити всю інформацію. Зміст приблизно наступне:

Ваші файли були зашифровані. Щоб розшифрувати їх, вам необхідно відправити код: A1D1AFA0C84B19BE9F14 | 0 на електронну адресу [email protected] або [email protected]. Далі ви отримаєте всі необхідні інструкції. Спроби розшифрувати самостійно не приведуть ні до чого, крім безповоротної втрати інформації.

Не поспішайте відправляти повідомлення шахраєві - не факт, що він вас не обдурить. Він може попросити будь-яку суму за програму-дешифратор і продемонструвати його роботу, але коли отримає від вас необхідну суму, чи буде він відправляти вам дешифратор, знаючи, що ви можете поділитися ним з іншими потерпілими?

Ліцензійні антивірусні програми здатні боротися з подібними вірусами, але хакери постійно винаходять щось нове. Вірусні бази просто не встигають оновлюватися, для цього розробникам потрібно кілька днів.

відновлення файлів

Переривання процесу шифрування

Тільки уявіть, скільки на комп'ютері різноманітних файлів, тому шифрувальник не здатний обробити їх все миттєво. А це означає, що цей процес можна перервати, як і будь-яку іншу програму.

1. Відключити комп'ютер від інтернету. Зробити це можна кількома способами на ваш вибір:
   • висмикнути кабель;
   • відключити з'єднання в «Центрі управління мережами і загальним доступом»;
   • в диспетчері пристроїв деактивувати мережевий адаптер.

     У «Центрі управління мережами і загальним доступом» користувач може управляти всіма параметрами мережі, включити або вимкнути Інтернет

2. Відкрити «Диспетчер завдань» (Ctrl + Alt + Delete) позбутися від файлів, які виявляють надмірну активність, і видалити підозрілі процеси.

   Назви процесів можуть відрізнятися в залежності від вірусів, слід дивитися на найактивніші і підозрілі

3. Зберегти код, який вас просять вислати зловмисники (тільки не в файлі на цьому ж комп'ютері), потім ви зможете відправити його розробникам антивірусів.

Видалення вірусу за допомогою антивірусу

Для очищення системи знадобляться дві утиліти - Dr.Web CuteIt! і Anti-Malware. За допомогою незаражених комп'ютера завантажте їх на флешку і використовуйте при появі вірусів на комп'ютері.

1. Завантажуємо систему в безпечному режимі, в ньому будуть працювати тільки основні системні процеси, тому вірус не зможе перешкодити позбутися його.

   Способи входу в безпечний режим на Windows залежать від версії системи

2. Для очищення системи використовуємо утиліту Dr.Web CuteIt !.

   Не починайте перевірку утилітою, поки не виберіть всі об'єкти

3. Вибираємо для перевірки всі об'єкти.

   Вибираємо всі об'єкти для перевірки

4. Чекаємо завершення процесу.

   Перевірка займе якийсь час

5. Знешкоджує всі загрози.

   Знешкоджує всі знайдені загрози

6. Робимо ще одну перевірку за допомогою Anti-Malware від компанії Malwarebytes. Утиліта допоможе позбутися від слідів шкідливих програм.

   Ця програма допоможе позбутися від залишків шкідливих файлів

Використання програм-дешифраторів

Багато хто намагається створити універсальний дешифратор для таких файлів, але в даний час його немає. Не вірте людям в інтернеті, які гарантують вам результат за невелику винагороду, не потрапляйте на вудку шахраїв. Існує кілька антивірусних лабораторій, які зробили нехай поки що не зовсім ідеальні, але все-таки працюють дешифратори.

Єдиною умовою використання дешифратора Dr.Web є наявність платної версії антивіруса на комп'ютері, наприклад, Dr.Web Security Space або Dr.Web Enterprise Security Suite.

1. Перейдіть на офіційний сайт Dr.Web по цим посиланням .
2. Заповніть форму, не забудьте прикріпити один із заражених файлів.

   Заповніть форму на офіційному сайті Dr.Web

У лабораторії Касперського також є рішення цієї проблеми.

1. Перейдіть на офіційний сайт по засланні .
2. Виберіть другий пункт «Як розшифрувати файли».
3. Скачайте файл RectorDecryptor.exe для своєї операційної системи.
4. Запустіть завантажений файл і у вікні натисніть на кнопку «Почати перевірку».

Можна також використовувати онлайн-дешифратор.

1. Перейдіть за посиланням.
2. Натисніть на кнопку «Choose file» або «Виберіть файл».

   Сервіс не гарантує стовідсоткового результату, але спробувати можна

3. Вкажіть файл, який потрібно розшифрувати, і чекайте результату, можливо, вам пощастить.

Як розшифрувати файли за допомогою лабораторії Касперського - відео

Відновлення файлів з резервної копії

1. В панелі управління знаходимо елемент «Архівація та відновлення».
2. Вибираємо «Відновити мої файли».

   Відновлюємо свої файли, також можна вибрати інші опції за бажанням

3. Переходимо на вікно майстра відновлення.

   Майстер відновлення багатий різноманітними функціями

4. Вибираємо дату архіву.
5. Шукаємо файли, які потрібно відновити.
6. Натискаємо кнопку «Далі» і переходимо до вибору місця призначення для відновлюваних файлів.

   Файли можуть відновитися в тій папці, в якій були, або в інший

7. Натискаємо «Відновити» і чекаємо завершення процесу.

Чого робити не слід?

1. Вручну міняти назви і розширення файлів.
2. Зв'язуватися зі зловмисниками.
3. Відключати живлення пристрою (це справі не допоможе).
4. Форматувати все диски і встановлювати заново Windows (безумовно, це ефективно, але тягне за собою втрату всіх файлів) ;.
5. Не вживати ніяких дій (якщо не впевнені в своїх силах, то краще віднесіть пристрій до сервісного центру).

Практично від будь-якого вірусу, в тому числі і від xtbl, можна позбутися своїми силами. Але якщо ви з цим стикаєтеся вперше, то зверніться до фахівців в сервісний центр. Необережна дія може спричинити за собою втрату файлів, які вже не можна повернути.