Název viru, který šifruje soubory. Způsoby pronikání šifrovacího malwaru do operačního systému. Obnovení předchozí verze

Ransomwaroví hackeři jsou velmi podobní běžným vyděračům. Jak v reálném světě, tak v kybernetickém prostředí existuje jediný nebo skupinový cíl útoku. Buď je odcizen nebo znepřístupněn. Dále zločinci používají určité prostředky komunikace s oběťmi, aby sdělili své požadavky. Počítačoví podvodníci si pro výkupní dopis obvykle vybírají jen několik formátů, ale kopie lze nalézt téměř v jakémkoli paměťovém místě infikovaného systému. V případě spywarové rodiny známé jako Troldesh nebo Shade mají podvodníci při kontaktování oběti zvláštní přístup.

Pojďme se blíže podívat na tento kmen viru ransomware, který je zaměřen na rusky mluvící publikum. Většina podobných infekcí detekuje rozložení klávesnice na napadeném PC, a pokud je jedním z jazyků ruština, narušení se zastaví. Nicméně, ransomware virus XTBL nerozluštitelný: bohužel pro uživatele se útok odehrává bez ohledu na jejich geografickou polohu a jazykové preference. Jasným ztělesněním této všestrannosti je varování, které se objeví na pozadí plochy, stejně jako TXT soubor s pokyny k zaplacení výkupného.

Virus XTBL se obvykle šíří prostřednictvím spamu. Zprávy připomínají dopisy slavných značek nebo jsou prostě poutavé, protože v předmětu jsou použity výrazy jako „Naléhavé!“ nebo „Důležité finanční dokumenty“. Phishingový trik bude fungovat, když příjemce takového e-mailu. zprávy stáhne soubor ZIP obsahující kód JavaScript nebo objekt Docm obsahující potenciálně zranitelné makro.

Po dokončení základního algoritmu na kompromitovaném počítači pokračuje trojský kůň ransomware ve vyhledávání dat, která mohou mít pro uživatele hodnotu. Za tímto účelem virus kontroluje místní a externí paměť a současně každý soubor porovnává se sadou formátů vybraných na základě přípony objektu. Všechny soubory .jpg, .wav, .doc, .xls, stejně jako mnoho dalších objektů, jsou šifrovány pomocí šifrovacího algoritmu symetrických bloků AES-256.

Tento škodlivý dopad má dva aspekty. Za prvé, uživatel ztratí přístup k důležitým datům. Názvy souborů jsou navíc hluboce zakódovány, což má za následek nesmyslný řetězec hexadecimálních znaků. Jediné, co spojuje názvy dotčených souborů, je k nim přidaná přípona xtbl, tzn. název kybernetické hrozby. Zašifrované názvy souborů mají někdy speciální formát. V některých verzích Troldesh mohou názvy zašifrovaných objektů zůstat nezměněny a na konec je přidán jedinečný kód: [e-mail chráněný], [e-mail chráněný] nebo [e-mail chráněný].

Je zřejmé, že útočníci, kteří představili e-mailové adresy. e-mailem přímo do názvů souborů s uvedením způsobu komunikace obětem. E-mail je také uveden jinde, konkrétně ve výkupném obsaženém v souboru „Readme.txt“. Takové dokumenty Poznámkového bloku se objeví na Ploše a také ve všech složkách se zašifrovanými daty. Klíčová zpráva je tato:

„Všechny soubory byly zašifrovány. Chcete-li je dešifrovat, musíte na e-mailovou adresu odeslat kód: [Vaše jedinečná šifra] [e-mail chráněný] nebo [e-mail chráněný]. Dále obdržíte všechny potřebné pokyny. Pokusy o vlastní dešifrování nepovedou k ničemu jinému než k nenapravitelné ztrátě informací.“

E-mailová adresa se může změnit v závislosti na vyděračské skupině šířící virus.

Co se týče dalšího vývoje: obecně řečeno, podvodníci reagují doporučením převést výkupné, což může být 3 bitcoiny, nebo jiná částka v tomto rozmezí. Vezměte prosím na vědomí, že nikdo nemůže zaručit, že hackeři splní svůj slib i po obdržení peněz. Pro obnovení přístupu k souborům .xtbl se dotčeným uživatelům doporučuje nejprve vyzkoušet všechny dostupné alternativní metody. V některých případech lze data uvést do pořádku pomocí služby Volume Shadow Copy poskytované přímo v operačním systému Windows a také pomocí programů pro dešifrování a obnovu dat od nezávislých softwarových vývojářů.

Odstraňte XTBL ransomware pomocí automatického čističe

Extrémně efektivní metoda práce s malwarem obecně a ransomwarem zvlášť. Použití osvědčeného ochranného komplexu zaručuje důkladnou detekci jakýchkoli virových složek a jejich úplné odstranění jedním kliknutím. Upozorňujeme, že mluvíme o dvou různých procesech: odinstalování infekce a obnovení souborů v počítači. Hrozbu je však určitě potřeba odstranit, protože existují informace o zavedení dalších počítačových trojských koní, které ji používají.

1. . Po spuštění softwaru klikněte na tlačítko Spusťte kontrolu počítače(Začněte skenovat).
2. Nainstalovaný software poskytne zprávu o hrozbách zjištěných během kontroly. Chcete-li odstranit všechny zjištěné hrozby, vyberte možnost Opravte hrozby(Odstranění hrozeb). Dotyčný malware bude zcela odstraněn.

Obnovte přístup k zašifrovaným souborům s příponou .xtbl

Jak již bylo uvedeno, XTBL ransomware zamyká soubory pomocí silného šifrovacího algoritmu, takže šifrovaná data nelze mávnutím kouzelného proutku obnovit – bez zaplacení neslýchané částky výkupného. Některé metody ale mohou být skutečně záchranou, která vám pomůže obnovit důležitá data. Níže se s nimi můžete seznámit.

Decryptor - program pro automatickou obnovu souborů

Je známa velmi neobvyklá okolnost. Tato infekce vymaže původní soubory v nezašifrované podobě. Proces šifrování pro účely vydírání se tak zaměřuje na jejich kopie. To umožňuje software, jako je obnova vymazaných objektů, i když je zaručena spolehlivost jejich odstranění. Důrazně se doporučuje uchýlit se k postupu obnovy souborů, jehož účinnost byla potvrzena více než jednou.

Stínové kopie svazků

Tento přístup je založen na procesu zálohování souborů Windows, který se opakuje v každém bodu obnovy. Důležitá podmínka pro fungování této metody: před infekcí musí být aktivována funkce „Obnovení systému“. Jakékoli změny v souboru provedené po bodu obnovení se však v obnovené verzi souboru nezobrazí.

Zálohování

Toto je nejlepší ze všech metod bez výkupného. Pokud byl postup pro zálohování dat na externí server použit před útokem ransomwaru na váš počítač, k obnovení zašifrovaných souborů stačí vstoupit do příslušného rozhraní, vybrat potřebné soubory a spustit mechanismus obnovy dat ze zálohy. Před provedením operace se musíte ujistit, že je ransomware zcela odstraněn.

Zkontrolujte možnou přítomnost zbytkových součástí viru XTBL ransomware

Ruční čištění riskuje, že budou chybět jednotlivé části ransomwaru, které by mohly uniknout odstranění jako skryté objekty operačního systému nebo položky registru. Chcete-li eliminovat riziko částečného zadržení jednotlivých škodlivých prvků, prohledejte počítač pomocí spolehlivé univerzální antivirové sady.

Pokud je systém infikován malwarem z rodin Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl nebo Trojan-Ransom.Win32.CryptXXX, pak budou všechny soubory v počítači zašifrovány následovně:

• Při infekci Trojan-Ransom.Win32.Rannoh jména a přípony se změní podle šablony zamčeno-<оригинальное_имя>.<4 произвольных буквы> .
• Při infekci Trojan-Ransom.Win32.Cryakl na konec obsahu souboru je přidán štítek (CRYPTENDBLACKDC) .
• Při infekci Trojan-Ransom.Win32.AutoIt rozšíření se mění podle šablony <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Například, [e-mail chráněný] _.RZWDTDIC.
• Při infekci Trojan-Ransom.Win32.CryptXXX rozšíření se mění podle šablon <оригинальное_имя>.krypta,<оригинальное_имя>. kryptoměna A <оригинальное_имя>. krypt1.

Nástroj RannohDecryptor je určen k dešifrování souborů po infekci Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl nebo Trojan-Ransom.Win32.CryptXXX verze 1 , 2 A 3 .

Jak vyléčit systém

Chcete-li vyléčit infikovaný systém:

1. Stáhněte si soubor RannohDecryptor.zip.
2. Spusťte RannohDecryptor.exe na infikovaném počítači.
3. V hlavním okně klikněte na Začněte kontrolovat.

1. Zadejte cestu k zašifrovanému a nezašifrovanému souboru.
   Pokud je soubor zašifrován Trojan-Ransom.Win32.CryptXXX, zadejte největší soubory. Dešifrování bude dostupné pouze pro soubory stejné nebo menší velikosti.
2. Počkejte na konec vyhledávání a dešifrování zašifrovaných souborů.
3. V případě potřeby restartujte počítač.
4. Chcete-li odstranit kopii zašifrovaných souborů, jako je zamčeno-<оригинальное_имя>.<4 произвольных буквы> Po úspěšném dešifrování vyberte .

Pokud byl soubor zašifrován Trojan-Ransom.Win32.Cryakl, poté nástroj uloží soubor do starého umístění s příponou .decryptedKLR.original_extension. Pokud jste si vybrali Po úspěšném dešifrování smažte zašifrované soubory, pak bude dešifrovaný soubor uložen obslužným programem s původním názvem.

1. Ve výchozím nastavení nástroj vygeneruje pracovní zprávu do kořenového adresáře systémového disku (disku, na kterém je nainstalován OS).

   Název přehledu je následující: UtilityName.Version_Date_Time_log.txt

   Například, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

V infikovaném systému Trojan-Ransom.Win32.CryptXXX, nástroj skenuje omezený počet formátů souborů. Pokud uživatel vybere soubor ovlivněný CryptXXX v2, může obnovení klíče trvat dlouho. V tomto případě nástroj zobrazí varování.

Malware je obvykle zaměřen na získání kontroly nad počítačem, jeho připojení k síti zombie nebo krádež osobních údajů. Nepozorný uživatel si nemusí po dlouhou dobu všimnout, že je systém infikován. Ale šifrovací viry, konkrétně xtbl, fungují úplně jinak. Dělají uživatelské soubory nepoužitelnými tím, že je šifrují složitým algoritmem a požadují od vlastníka velkou částku za možnost obnovit informace.

Příčina problému: virus xtbl

Virus xtbl ransomware dostal své jméno, protože uživatelské dokumenty, které jsou jím zašifrovány, dostávají příponu .xtbl.

Kodéry obvykle ponechávají klíč v těle souboru, takže program univerzálního dekodéru může obnovit informace v původní podobě. Virus je ale určen k jiným účelům, a tak se na obrazovce místo klíče objeví nabídka na zaplacení určité částky pomocí anonymních údajů.

Jak funguje virus xtbl

Virus se do počítače dostává prostřednictvím e-mailů odeslaných s infikovanými přílohami, což jsou soubory kancelářských aplikací. Poté, co uživatel otevře obsah zprávy, malware začne vyhledávat fotografie, klíče, videa, dokumenty atd. a poté je pomocí originálního komplexního algoritmu (hybridní šifrování) přemění na úložiště xtbl.

Virus používá k ukládání svých souborů systémové složky.

• Virus se sám přidá do spouštěcího seznamu. K tomu přidá položky v registru Windows v sekcích:
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Infikovaný počítač funguje stabilně, systém nepadá, ale vždy se v RAM najde malá aplikace (nebo dvě) s nejasným názvem. A složky s pracovními soubory uživatele získávají zvláštní vzhled.

Na ploše se místo spořiče obrazovky zobrazí zpráva:

Vaše soubory byly zašifrovány. Chcete-li je dešifrovat, musíte kód odeslat na e-mailovou adresu: [e-mail chráněný](následuje kód). Poté obdržíte další pokyny. Nezávislé pokusy o dešifrování souborů povedou k jejich úplnému zničení.

Virus xtbl si nelze nevšimnout: vzhled mění nejen uživatelské soubory, ale také spořič obrazovky na ploše

Stejný text je obsažen ve vygenerovaném souboru Jak dešifrovat soubory.txt. E-mailová adresa, kód, požadovaná částka se mohou změnit.

Poměrně často někteří podvodníci vydělávají peníze na ostatních – číslo ransomwarové elektronické peněženky je vloženo do těla viru a oni nemají jak soubory dešifrovat. Takže důvěřivý uživatel, který poslal peníze, nedostane nic na oplátku.

Proč byste neměli platit vyděračům

Není možné se dohodnout na spolupráci s vyděrači nejen kvůli morálním zásadám. To je nerozumné i z praktického hlediska.

1. Podvod. Není pravda, že útočníci budou schopni dešifrovat vaše soubory. Jedna z údajně dešifrovaných fotografií, které se vám vrátily, neslouží jako důkaz – může to být jednoduše originál odcizený před zašifrováním. Peníze, které jste zaplatili, přijdou vniveč.
2. Možnost opakování. Potvrzením své ochoty zaplatit se stanete žádanější kořistí pro druhý útok. Možná příště budou mít vaše soubory jinou příponu a na úvodní obrazovce se objeví jiná zpráva, ale peníze půjdou stejným lidem.
3. Důvěrnost. Zatímco jsou soubory zašifrovány, jsou umístěny ve vašem počítači. Po dohodě s „čestnými padouchy“ budete nuceni jim poslat všechny své osobní údaje. Algoritmus nezajišťuje získání klíče a jeho samostatné dešifrování, pouze odesílání souborů do dekodéru.
4. Počítačová infekce. Váš počítač je stále infikován, takže dešifrování souborů není úplným řešením problému.

Jak chránit váš systém před virem

Univerzální pravidla pro ochranu před malwarem a minimalizaci škod pomohou i v tomto případě.

1. Pozor na náhodná spojení. Vyhněte se otevírání e-mailů od neznámých odesílatelů, včetně reklam a bonusových nabídek. V krajním případě si je můžete přečíst tak, že si přílohu nejprve uložíte na disk a naskenujete ji antivirem.
2. Používejte ochranu. Antivirové programy neustále rozšiřují knihovny škodlivých kódů, takže současná verze obránce nedovolí většině virů proniknout do vašeho počítače.
3. Distribuovat přístup. Virus nadělá mnohem více škody, pokud se dostane přes účet správce. Je lepší pracovat jménem uživatele, čímž se výrazně zužují možnosti infekce.
4. Vytvářejte zálohy. Důležité informace by měly být pravidelně kopírovány na externí média uložená odděleně od počítače. Nezapomeňte také na vytvoření záložních bodů obnovení systému Windows.

Je možné obnovit zašifrované informace?

Dobrou zprávou je, že obnova dat je možná. Špatné: sami to nezvládnete. Důvodem je zvláštnost šifrovacího algoritmu, pro který výběr klíče vyžaduje mnohem více zdrojů a nashromážděných znalostí, než má průměrný uživatel. Naštěstí si vývojáři antivirů kladou za cíl vypořádat se s každým malwarem, takže i když si momentálně s vaším ransomwarem neporadí, určitě najdou řešení za měsíc nebo dva. Budeš muset být trpělivý.

Kvůli nutnosti kontaktovat specialisty se mění algoritmus pro práci s infikovaným počítačem. Obecné pravidlo zní: čím méně změn, tím lépe. Antiviry určují způsob léčby na základě „obecných charakteristik“ malwaru, takže infikované soubory jsou pro ně zdrojem důležitých informací. Měly by být odstraněny až po vyřešení hlavního problému.

Druhé pravidlo: přerušit virus za každou cenu. Možná ještě nepoškodil všechny informace a v paměti RAM zůstaly také stopy po šifrovači, pomocí kterého jej můžete identifikovat. Proto musíte okamžitě vypnout počítač ze sítě a vypnout notebook dlouhým stisknutím tlačítka sítě. Tentokrát nebude fungovat standardní „jemný“ postup vypnutí, který umožňuje správné ukončení všech procesů, protože jedním z nich je kódování vašich informací.

Obnova zašifrovaných souborů

Pokud se vám podařilo vypnout počítač

Pokud se vám podařilo vypnout počítač před dokončením procesu šifrování, nemusíte jej sami zapínat. Vezměte „pacienta“ přímo ke specialistům; přerušené kódování výrazně zvyšuje šance na uložení osobních souborů. Zde můžete bezpečně zkontrolovat úložná média a vytvořit záložní kopie. Je vysoce pravděpodobné, že samotný virus bude znám, takže jeho léčba bude úspěšná.

Pokud je šifrování dokončeno

Pravděpodobnost úspěšného přerušení procesu šifrování je bohužel velmi nízká. Obvykle se viru podaří zakódovat soubory a odstranit zbytečné stopy z počítače. A nyní máte dva problémy: Windows je stále infikován a vaše osobní soubory se změnily na hromadu postav. Chcete-li vyřešit druhý problém, musíte si vzít pomoc od výrobců antivirového softwaru.

Laboratoř Dr.Web poskytuje své dešifrovací služby zdarma pouze držitelům komerčních licencí. Jinými slovy, pokud ještě nejste jejich klientem, ale chcete obnovit své soubory, budete si muset program zakoupit. Vzhledem k současné situaci se jedná o nutnou investici.

Dalším krokem je přejít na web výrobce a vyplnit vstupní formulář.

Vyplňte formulář na oficiálních stránkách Dr.Web

Pokud jsou mezi zašifrovanými soubory nějaké, jejichž kopie jsou uloženy na externích médiích, jejich přenos značně usnadní práci dekodérů.

Kaspersky

Společnost Kaspersky Lab vyvinula vlastní dešifrovací nástroj nazvaný RectorDecryptor, který lze stáhnout do počítače z oficiálních webových stránek společnosti.

Stáhněte si soubor určený pro vaši verzi Windows a začněte kontrolovat

Každá verze operačního systému, včetně Windows 7, má svůj vlastní nástroj. Po stažení klikněte na tlačítko na obrazovce „Spustit skenování“.

Provoz služeb může nějakou dobu trvat, pokud je virus relativně nový. V tomto případě společnost obvykle zašle odpovídající oznámení. Někdy může dešifrování trvat několik měsíců.

Ostatní služby

Služeb s podobnými funkcemi přibývá, což svědčí o poptávce po dešifrovacích službách. Algoritmus akcí je stejný: přejděte na web (například https://decryptcryptolocker.com/), zaregistrujte se a odešlete zašifrovaný soubor.

Služba nezaručuje 100% výsledek, ale můžete to zkusit

Dešifrovací programy

Na internetu je spousta nabídek „univerzálních dešifrovačů“ (samozřejmě placených), ale jejich užitečnost je sporná. Samozřejmě, že pokud samotní výrobci virů napíší decryptor, bude úspěšně fungovat, ale stejný program bude pro další zákeřnou aplikaci k ničemu. Specialisté, kteří se pravidelně potýkají s viry, navíc obvykle disponují plným balíkem potřebných utilit, takže pravděpodobně budou mít všechny funkční programy. Nákup takového dešifrovače bude s největší pravděpodobností vyhozené peníze.

Jak dešifrovat soubory pomocí Kaspersky Lab - video

Vlastní obnova informací

Pokud z nějakého důvodu nemůžete kontaktovat specialisty třetích stran, můžete se pokusit získat informace sami. Udělejme rezervaci, že v případě selhání může dojít k trvalé ztrátě souborů.

Obnovení smazaných souborů

Po zašifrování virus odstraní původní soubory. Windows 7 však všechny smazané informace nějakou dobu uchovává ve formě tzv. stínové kopie.

ShadowExplorer je nástroj určený k obnově souborů z jejich stínových kopií.

Vyberte adresář pro obnovené soubory

Bezplatná utilita PhotoRec funguje na stejném principu, ale v dávkovém režimu.

1. Stáhněte si archiv z webu vývojáře a rozbalte jej na disk. Spustitelný soubor se nazývá QPhotoRec_Win.

   

   Spustitelný soubor se nazývá QPhotoRec_Win

2. Po spuštění aplikace se v dialogovém okně zobrazí seznam všech dostupných diskových zařízení. Vyberte umístění, kde byly zašifrované soubory uloženy, a zadejte cestu k uložení obnovených kopií.
   

   Pro ukládání je lepší používat externí média, například USB flash disk, protože každý zápis na disk je nebezpečný mazáním stínových kopií.

3. Jakmile vyberete požadované adresáře, klepněte na tlačítko Formáty souborů.

   

   Vyberte cílový adresář kliknutím na tlačítko Procházet

4. Nabídka, která se otevře, je seznam typů souborů, které může aplikace obnovit. Ve výchozím nastavení je vedle každého zaškrtnutí, ale pro urychlení práce můžete odstranit nadbytečná zaškrtávací políčka a ponechat pouze ta, která odpovídají typům obnovovaných souborů. Po dokončení výběru stiskněte na obrazovce tlačítko „OK“.

   

   Odstraňte nepotřebné poznámky, abyste zvýšili rychlost práce

5. Jakmile je výběr dokončen, zpřístupní se softwarové tlačítko Hledat. Klikněte na něj. Postup obnovy je pracný proces, takže buďte trpěliví.

   

   Zpráva je celkem stručná

6. Po čekání na dokončení procesu stiskněte na obrazovce tlačítko Ukončit a ukončete program.
7. Obnovené soubory jsou umístěny v dříve zadaném adresáři a jsou rozděleny do složek se stejnými názvy recup_dir.1, recup_dir.2, recup_dir.3 a tak dále. Projděte každý jeden po druhém a vraťte je k jejich předchozím jménům.

   

   Nyní ručně projděte složky a vraťte je na předchozí názvy

Odstranění virů

Protože se virus dostal do počítače, nainstalované bezpečnostní programy nezvládly svůj úkol. Můžete zkusit využít pomoc zvenčí.

Důležité! Odstranění viru dezinfikuje počítač, ale neobnoví zašifrované soubory. Instalace nového softwaru může navíc poškodit nebo vymazat některé stínové kopie souborů potřebné k jejich obnovení. Proto je lepší instalovat aplikace na jiné disky.

Programu bude chvíli trvat, než systém zkontroluje

Nezbývá než počkat na dokončení skenování a odstranit nalezené nezvané hosty.

Další vývojář antivirového softwaru, který poskytuje bezplatnou verzi skeneru. Algoritmus akcí je stejný:

Co nedělat

Virus XTBL, stejně jako jiné šifrovací viry, způsobuje poškození systému i uživatelských informací. Pro snížení možného poškození je proto třeba přijmout některá opatření:

1. Nečekejte na dokončení šifrování. Pokud šifrování souborů začalo před vašima očima, neměli byste čekat na jeho ukončení ani se pokoušet přerušit proces pomocí softwaru. Okamžitě vypněte napájení počítače a zavolejte odborníka.
2. Pokud můžete důvěřovat profesionálům, nepokoušejte se virus odstranit sami.
3. Neinstalujte systém znovu, dokud není léčba dokončena. Virus bezpečně infikuje nový systém.
4. Nepřejmenovávejte šifrované soubory. To jen zkomplikuje práci dekodéru.
5. Nepokoušejte se číst infikované soubory na jiném počítači, dokud není virus odstraněn. To může vést k šíření infekce.
6. Neplaťte vyděračům. To je zbytečné a povzbuzuje to tvůrce virů a podvodníky.
7. Nezapomínejte na prevenci. Instalace antiviru, pravidelné zálohování a vytváření bodů obnovení výrazně sníží možné škody způsobené malwarem.

Léčba počítače infikovaného šifrovacím virem je dlouhý a ne vždy úspěšný postup. Proto je tak důležité přijmout opatření při získávání informací ze sítě a práci s neověřenými externími médii.

Obnova zašifrovaných souborů- to je problém, kterému čelí velké množství uživatelů osobních počítačů, kteří se stali obětí různých šifrovacích virů. Počet malwaru v této skupině je velmi velký a každým dnem se zvyšuje. Teprve nedávno jsme se setkali s desítkami variant ransomwaru: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt atd.

Zašifrované soubory můžete samozřejmě obnovit jednoduše podle pokynů, které tvůrci viru zanechají na infikovaném počítači. Nejčastěji jsou však náklady na dešifrování velmi významné a také musíte vědět, že některé ransomwarové viry šifrují soubory takovým způsobem, že je jednoduše nelze dešifrovat později. A samozřejmě je jen otravné platit za obnovu vlastních souborů.

Způsoby, jak zdarma obnovit zašifrované soubory

Existuje několik způsobů, jak obnovit zašifrované soubory pomocí zcela bezplatných a osvědčených programů, jako je ShadowExplorer a PhotoRec. Před a během obnovy se snažte infikovaný počítač využívat co nejméně, zvýšíte tak své šance na úspěšnou obnovu souboru.

Níže popsaný návod je nutné dodržovat krok za krokem, pokud vám cokoliv nevyjde, tak ZASTAVTE, požádejte o pomoc napsáním komentáře k tomuto článku nebo založením nového tématu u nás.

1. Odstraňte ransomware virus

Kaspersky Virus Removal Tool a Malwarebytes Anti-malware dokážou detekovat různé typy aktivních ransomwarových virů a snadno je odstraní z vašeho počítače, ALE nemohou obnovit zašifrované soubory.

1.1. Odstraňte ransomware pomocí nástroje Kaspersky Virus Removal Tool

Klikněte na tlačítko Skenovat spustit kontrolu počítače na přítomnost viru ransomware.

Počkejte na dokončení tohoto procesu a odstraňte veškerý nalezený malware.

1.2. Odstraňte ransomware pomocí Malwarebytes Anti-malware

Stáhněte si program. Po dokončení stahování spusťte stažený soubor.

Proces aktualizace programu se spustí automaticky. Když skončí, stiskněte tlačítko Spustit skenování. Malwarebytes Anti-malware začne skenovat váš počítač.

Ihned po skenování počítače Malwarebytes Anti-malware otevře seznam nalezených součástí viru ransomware.

Klikněte na tlačítko Smazat vybrané k čištění počítače. Během odstraňování malwaru může Malwarebytes Anti-malware vyžadovat restartování počítače, aby proces mohl pokračovat. Potvrďte to výběrem Ano.

Po opětovném spuštění počítače bude Malwarebytes Anti-malware automaticky pokračovat v procesu čištění.

2. Obnovte zašifrované soubory pomocí ShadowExplorer

ShadowExplorer je malý nástroj, který umožňuje obnovit stínové kopie souborů, které jsou automaticky vytvářeny operačním systémem Windows (7-10). To vám umožní obnovit vaše šifrované soubory do jejich původního stavu.

Stáhněte si program. Program je v zip archivu. Klikněte proto pravým tlačítkem myši na stažený soubor a vyberte Extrahovat vše. Poté otevřete složku ShadowExplorerPortable.

Spusťte ShadowExplorer. Vyberte požadovaný disk a datum vytvoření stínových kopií, čísla 1 a 2 na obrázku níže.

Klepněte pravým tlačítkem myši na adresář nebo soubor, jehož kopii chcete obnovit. Z nabídky, která se zobrazí, vyberte Export.

A nakonec vyberte složku, do které bude obnovený soubor zkopírován.

3. Obnovte zašifrované soubory pomocí PhotoRec

PhotoRec je bezplatný program určený k obnově smazaných a ztracených souborů. Pomocí něj můžete obnovit původní soubory, které ransomwarové viry smazaly po vytvoření jejich šifrovaných kopií.

Stáhněte si program. Program je v archivu. Klikněte proto pravým tlačítkem myši na stažený soubor a vyberte Extrahovat vše. Poté otevřete složku testdisk.

Najděte QPhotoRec_Win v seznamu souborů a spusťte jej. Otevře se okno programu se všemi oddíly dostupných disků.

V seznamu oddílů vyberte ten, na kterém jsou umístěny šifrované soubory. Poté klikněte na tlačítko Formáty souborů.

Ve výchozím nastavení je program nakonfigurován tak, aby obnovoval všechny typy souborů, ale pro urychlení práce se doporučuje ponechat pouze typy souborů, které potřebujete obnovit. Po dokončení výběru klepněte na tlačítko OK.

V dolní části okna programu QPhotoRec najděte tlačítko Procházet a klikněte na něj. Musíte vybrat adresář, kam budou obnovené soubory uloženy. Je vhodné použít disk, který neobsahuje zašifrované soubory vyžadující obnovu (můžete použít flash disk nebo externí disk).

Chcete-li spustit postup vyhledávání a obnovit původní kopie zašifrovaných souborů, klepněte na tlačítko Hledat. Tento proces trvá poměrně dlouho, takže buďte trpěliví.

Po dokončení vyhledávání klikněte na tlačítko Ukončit. Nyní otevřete složku, kterou jste vybrali pro uložení obnovených souborů.

Složka bude obsahovat adresáře s názvem recup_dir.1, recup_dir.2, recup_dir.3 atd. Čím více souborů program najde, tím více adresářů bude. Chcete-li najít soubory, které potřebujete, zkontrolujte postupně všechny adresáře. Aby bylo snazší najít požadovaný soubor mezi velkým počtem obnovených, použijte vestavěný vyhledávací systém Windows (podle obsahu souboru) a nezapomeňte také na funkci třídění souborů v adresářích. Jako možnost řazení můžete vybrat datum, kdy byl soubor změněn, protože QPhotoRec se při obnově souboru pokouší obnovit tuto vlastnost.

Šifrovací viry, které se objevily asi před 8-10 lety, si nyní získaly obrovskou popularitu mezi různými typy počítačových podvodníků.

Odborníci to připisují vzniku volně dostupných stavitelských programů, pomocí kterých dokáže sestavit počítačový virus se zadanými vlastnostmi i slabý specialista.

Jak funguje šifrovací virus?

Šifrovací virus je nejčastěji zaváděn do počítače oběti prostřednictvím pošty. Společnost obdrží dopis údajně zaslaný uchazečem o zaměstnání, potenciálním partnerem nebo kupujícím, ale obsahující implantovaný pdf soubor s virem.

Když zaměstnanec společnosti otevře e-mail, virus se vloží do seznamu spouštěcích programů. Po restartování se počítač spustí, přejmenuje a zašifruje soubory a poté se sám zničí.

Infikované e-maily jsou často maskovány jako zprávy od daňových úřadů, donucovacích orgánů, bank atd.

V adresáři s poškozenými soubory je nalezen dopis, který uvádí, že informace jsou zašifrovány bezpečným způsobem odolným vůči šifrování a nelze je samostatně dešifrovat bez trvalé ztráty souborů.


Pokud jej chcete obnovit, musíte ve stanovené lhůtě převést určitou částku, abyste obdrželi dešifrovací klíč.

Je možné zvládnout dešifrování souborů vlastními silami?

Nejčastěji ransomware pro své účely používá virus, který Doctor Web nazval Trojan.Encoder. Převádí soubory přítomné na počítači oběti tím, že jim přidělí příponu .krypta. Téměř všechny běžné formáty textových souborů, obrázků, zvukových stop a komprimovaných souborů lze šifrovat.

Pro obnovení zašifrovaných souborů vytvořili specialisté společnosti nástroj te19dešifrovat. Dnes je volně dostupná, kde si ji může stáhnout každý uživatel internetu. Jedná se o malý program, který zabírá pouze 233 KB. Po stažení potřebujete:

- v okně, které se otevře, klikněte na tlačítko "Pokračovat" ;

- pokud se objeví zpráva "Chyba" , doplněné heslem „Nemohu získat soubor klíče [název souboru]. Chcete jeho umístění zadat ručně?", stiskněte tlačítko OK;

- v okně, které se objeví "OTEVŘENO" zadejte cestu k souboru encrypted.txt;

— poté začne proces dešifrování.


Soubor byste nikdy neměli smazat encrypted.txt před spuštěním obslužného programu decryptor, protože jeho ztráta znemožní obnovení zašifrovaných informací.

Program Decryptor RectorDecryptor

K obnově zašifrovaných souborů mnoho lidí používá speciální program RectorDecryptor. Je potřeba s tím pracovat následovně:

- stáhněte si program RectorDecryptor, pokud ji nemáte k dispozici;

- odebrat všechny programy ze spouštěcího seznamu kromě antiviru;

- restartujte počítač;

— prohlédněte si seznam souborů, zvýrazněte podezřelé, zejména ty, které neobsahují informace o výrobci;

— odstranit podezřelé soubory, které mohou obsahovat virus;

- vymažte mezipaměť prohlížeče a dočasné složky pomocí programu CCleaner nebo podobné;

- spuštění RectorDecryptor, označte zašifrovaný soubor a jeho příponu a klikněte na tlačítko "Zahájit kontrolu" ;

- v nejnovějších verzích programu můžete zadat pouze název souboru a poté kliknout "OTEVŘENO" ;

— počkejte, až bude soubor dešifrován, a přejděte k dalšímu.

Další program RectorDecryptor Pokračuje ve skenování všech souborů umístěných ve vašem počítači, včetně souborů umístěných na vyměnitelných médiích.


Dešifrování může trvat několik hodin v závislosti na počtu poškozených souborů a výkonu počítače. Obnovené informace jsou zapsány do stejného adresáře, kde byly předtím.

Potřebu smazat šifrovaný materiál po dešifrování můžete označit zaškrtnutím políčka vedle příslušného požadavku. Zkušení uživatelé však doporučují, abyste to nedělali, protože pokud bude dešifrování neúspěšné, zcela ztratíte možnost obnovit svá data.