¿Cómo descifrar archivos cifrados por un virus? Archivos con la extensión .xtbl: cómo descifrar y recuperar información

¿Cómo descifrar archivos cifrados por un virus? Archivos con la extensión .xtbl: cómo descifrar y recuperar información

Los virus cifrados, que aparecieron hace aproximadamente 8 o 10 años, han ganado una enorme popularidad entre varios tipos de estafadores informáticos.

Los expertos atribuyen esto a la aparición de programas de creación de acceso gratuito, con los que incluso un especialista débil puede crear un virus informático con determinadas propiedades.

¿Cómo funciona un virus de cifrado?

La mayoría de las veces, se introduce un virus de cifrado en la computadora de la víctima a través del correo. La empresa recibe una carta supuestamente enviada por un solicitante de empleo, posible socio o comprador, pero que contiene un mensaje implantado archivo PDF con el virus.

Cuando un empleado de la empresa abre un correo electrónico, el virus se inserta en la lista de programas de inicio. Después de reiniciar la computadora, se inicia, cambia el nombre, cifra los archivos y luego se autodestruye.

A menudo, los correos electrónicos infectados se disfrazan de mensajes de autoridades fiscales, organismos encargados de hacer cumplir la ley, bancos, etc.

En un directorio con archivos dañados, se encuentra una carta que indica que la información está cifrada de forma segura y resistente a las criptomonedas y no se puede descifrar de forma independiente sin una pérdida permanente de los archivos.


Si desea restaurarlo, debe transferir una cierta cantidad dentro del período especificado para poder recibir la clave de descifrado.

¿Es posible encargarse del descifrado de archivos usted mismo?

La mayoría de las veces, los ransomware utilizan un virus para sus fines, que Doctor Web llamó Trojan.Encoder. Convierte archivos presentes en la computadora víctima dándoles la extensión .cripta. Casi todos los formatos comunes de archivos de texto, imágenes, pistas de audio y archivos comprimidos se pueden cifrar.

Para restaurar archivos cifrados, los especialistas de la empresa crearon una utilidad te19desencriptar. Hoy está disponible gratuitamente, donde cualquier internauta puede descargarlo. Este es un programa pequeño, que ocupa sólo 233 KB. Después de la descarga necesitas:

- en la ventana que se abre, haga clic en el botón "Continuar" ;

- si aparece un mensaje "Error" , complementado con la entrada “No puedo obtener el archivo clave [nombre del archivo]. ¿Quieres especificar su ubicación manualmente?", presiona el botón DE ACUERDO;

- en la ventana que aparece "Abierto" especificar la ruta al archivo cifrado.txt;

- entonces comenzará el proceso de descifrado.


Nunca debes eliminar el archivo. cifrado.txt antes de ejecutar la utilidad descifradora, ya que su pérdida hará imposible restaurar la información cifrada.

Programa descifrador RectorDecryptor

Para restaurar archivos cifrados, muchas personas utilizan el programa especial RectorDecryptor. Necesitas trabajar con él de la siguiente manera:

- descargar el programa rectordecryptor, si no está a su disposición;

- eliminar todos los programas de la lista de inicio excepto el antivirus;

- reinicia la computadora;

— revise la lista de archivos y resalte los sospechosos, especialmente aquellos que no contienen información sobre el fabricante;

— eliminar archivos sospechosos que puedan contener un virus;

- borrar el caché del navegador y las carpetas temporales usando el programa Limpiador o similar;

- lanzamiento rectordecryptor, indique el archivo cifrado, así como su extensión, y luego haga clic en el botón "Empiece a comprobar" ;

- en las últimas versiones del programa, solo puede especificar el nombre del archivo y luego hacer clic "Abierto" ;

— Espere hasta que se descifre el archivo y pase al siguiente.

Próximo programa rectordecryptorÉl mismo continúa escaneando todos los archivos ubicados en su computadora, incluidos los ubicados en medios extraíbles.


El descifrado puede tardar varias horas, dependiendo de la cantidad de archivos dañados y del rendimiento de la computadora. La información recuperada se escribe en el mismo directorio donde estaba antes.

Puede indicar la necesidad de eliminar material cifrado después del descifrado marcando la casilla junto a la solicitud correspondiente. Pero los usuarios experimentados aconsejan no hacer esto, ya que si el descifrado no tiene éxito, perderá por completo la capacidad de recuperar sus datos.

Te recordamos: Los troyanos de la familia Trojan.Encoder son programas maliciosos que cifran archivos en el disco duro de una computadora y exigen dinero por descifrarlos. Los archivos *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar, etc., pueden estar cifrados.
No fue posible conocer personalmente a toda la familia de este virus, pero, como muestra la práctica, el método de infección, tratamiento y decodificación es aproximadamente el mismo para todos:
1. la víctima está infectada a través de un correo electrónico no deseado con un archivo adjunto (con menos frecuencia por medios infecciosos),
2. el virus es reconocido y eliminado (ya) por casi cualquier antivirus con bases de datos nuevas,
3. los archivos se descifran seleccionando claves de contraseña para los tipos de cifrado utilizados.
Por ejemplo, Trojan.Encoder.225 usa cifrado RC4 (modificado) + DES y Trojan.Encoder.263 usa BlowFish en modo CTR. Estos virus son actualmente descifrables en un 99% según la experiencia personal.

Pero no todo es tan sencillo. Algunos virus de cifrado requieren meses de descifrado continuo (Trojan.Encoder.102), mientras que otros (Trojan.Encoder.283) no pueden descifrarse correctamente ni siquiera los especialistas de Doctor Web, lo que, de hecho, juega un papel clave en este artículo.

Ahora, en orden.

A principios de agosto de 2013, unos clientes me contactaron con el problema de los archivos cifrados por el virus Trojan.Encoder.225. El virus en ese momento era nuevo, nadie sabía nada, había 2-3 enlaces temáticos de Google en Internet. Después de una larga búsqueda en Internet, resulta que la única organización (encontrada) que se ocupa del problema de descifrar archivos después de este virus es la empresa Doctor Web. A saber: da recomendaciones, ayuda a la hora de contactar con el soporte técnico, desarrolla sus propios descifradores, etc.

Retirada negativa.

Y, aprovechando esta oportunidad, quisiera señalar dos engordando menos de Kaspersky Lab. Lo cual, al contactar con su soporte técnico, restan importancia “estamos trabajando en este tema, les notificaremos los resultados por correo”. Y, sin embargo, la desventaja es que nunca recibí respuesta a la solicitud. Después de 4 meses. Maldito el tiempo de reacción. Y aquí estoy, esforzándome por alcanzar el estándar "no más de una hora después de completar la solicitud".
Qué vergüenza, camarada Evgeniy Kaspersky, Director General de Kaspersky Lab. Pero tengo una buena mitad de todas las empresas "sentadas" en ello. Bueno, está bien, las licencias vencen en enero-marzo de 2014. ¿Vale la pena hablar sobre si renovaré mi licencia?;)

Les presento las caras de "especialistas" de empresas "más simples", por así decirlo, NO de gigantes de la industria antivirus. Probablemente simplemente “se acurrucaron en un rincón” y “lloraron en silencio”.
Aunque, es más, absolutamente todo el mundo estaba completamente jodido. El antivirus, en principio, no debería haber permitido que este virus entrara en el ordenador. Especialmente considerando la tecnología moderna. Y “ellos”, los GIGANTES de la industria antivirus, supuestamente lo tienen todo cubierto, “análisis heurístico”, “sistema preventivo”, “protección proactiva”...

¿¿¿DÓNDE ESTABAN TODOS ESTOS SÚPER SISTEMAS CUANDO EL TRABAJADOR DEL DEPARTAMENTO DE RRHH ABRIÓ UNA CARTA “HALMONEST” CON EL ASUNTO “RESUMEN”???
¿Qué se suponía que debía pensar el empleado?
Si TÚ no puedes protegernos, entonces ¿por qué te necesitamos?

Y con Doctor Web todo estaría bien, pero para obtener ayuda es necesario, por supuesto, tener una licencia para cualquiera de sus productos de software. Al comunicarse con el soporte técnico (en adelante TS), debe proporcionar el número de serie Dr.Web y no olvide seleccionar "solicitud de tratamiento" en la línea "Categoría de solicitud:" o simplemente proporcionarles un archivo cifrado al laboratorio. Inmediatamente haré una reserva de que las llamadas "claves de diario" de Dr.Web, que se publican en lotes en Internet, no son adecuadas, ya que no confirman la compra de ningún producto de software y se eliminan mediante Especialistas en TP una o dos veces. Es más fácil comprar la licencia más "barata". Porque si acepta el descifrado, esta licencia le reembolsará un millón de veces. Especialmente si la carpeta con las fotos “Egipto 2012” estaba en una sola copia...

Intento número 1

Entonces, después de comprar una "licencia para 2 PC por un año" por una cantidad de dinero n, comunicarme con el TP y proporcionar algunos archivos, recibí un enlace a la utilidad de descifrado te225decrypt.exe versión 1.3.0.0. Anticipando el éxito, ejecuto la utilidad (debe apuntar a uno de los archivos *.doc cifrados). La utilidad comienza la selección, cargando sin piedad el antiguo procesador E5300 DualCore, 2600 MHz (overclockeado a 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital al 90-100%.
Aquí, en paralelo conmigo, un colega en una PC core i5 2500k (overclockeado a 4.5ghz) / 16 ram 1600 / ssd intel se une al trabajo (esto es para comparar el tiempo dedicado al final del artículo).
Después de 6 días, la utilidad informó que se habían descifrado 7277 archivos. Pero la felicidad no duró mucho. Todos los archivos fueron descifrados "torcidamente". Es decir, por ejemplo, documentos de Microsoft Office abiertos, pero con varios errores: “La aplicación Word detectó contenido en el documento *.docx que no se pudo leer” o “El archivo *.docx no se puede abrir debido a errores en su contenido .” Los archivos *.jpg también se abren con un error o el 95% de la imagen resulta ser un fondo negro o verde claro descolorido. Para archivos *.rar: “Fin inesperado del archivo”.
En general un completo fracaso.

Intento número 2

Escribimos a TP sobre los resultados. Le piden que proporcione un par de archivos. Un día después, volvieron a proporcionar un enlace a la utilidad te225decrypt.exe, pero esta vez en la versión 1.3.2.0. Bueno, comencemos, de todos modos no había otra alternativa. Pasan aproximadamente 6 días y la utilidad finaliza con el error "No se pueden seleccionar los parámetros de cifrado". En total 13 días “por el desagüe”.
Pero no nos rendimos, tenemos documentos importantes de nuestro *estúpido* cliente sin copias de seguridad básicas.

Intento número 3

Escribimos a TP sobre los resultados. Le piden que proporcione un par de archivos. Y, como habrás adivinado, un día después proporcionan un enlace a la misma utilidad te225decrypt.exe, pero con la versión 1.4.2.0. Bueno, comencemos, no había alternativa, y no ha aparecido ni de Kaspersky Lab, ni de ESET NOD32, ni de otros fabricantes de soluciones antivirus. Y ahora, después de 5 días, 3 horas y 14 minutos (123,5 horas), la utilidad informa que los archivos han sido descifrados (a un colega con un Core i5, el descifrado le tomó solo 21 horas y 10 minutos).
Bueno, creo que lo fue o no lo fue. Y he aquí: ¡éxito total! Todos los archivos se descifran correctamente. Todo se abre, cierra, mira, edita y guarda correctamente.

Todos contentos, FINAL.

“¿Dónde está la historia del virus Trojan.Encoder.263?”, se preguntará. Y en la siguiente PC, debajo de la mesa... estaba. Allí todo fue más sencillo: escribimos en Doctor Web TP, obtenemos la utilidad te263decrypt.exe, la ejecutamos, esperamos 6,5 días, ¡listo! y todo está listo. En resumen, puedo dar algunos consejos del foro Doctor Web en mi edición:

Qué hacer si está infectado con un virus ransomware:
- enviar al laboratorio de virus Dr. Web o en "Enviar archivo sospechoso" forme un archivo doc cifrado.
- Espere la respuesta de un empleado de Dr.Web y luego siga sus instrucciones.

Qué no hacer:
- cambiar la extensión de los archivos cifrados; De lo contrario, con una clave seleccionada correctamente, la utilidad simplemente no "verá" los archivos que deben descifrarse.
- utilizar de forma independiente, sin consultar con especialistas, cualquier programa para descifrar/recuperar datos.

Atención, al tener un servidor libre de otras tareas, ofrezco mis servicios gratuitos para descifrar TUS datos. Núcleo de servidor i7-3770K con overclocking a *ciertas frecuencias*, 16GB de RAM y SSD Vertex 4.
Para todos los usuarios activos de Habr, el uso de mis recursos será GRATIS!!!
Escríbeme en un mensaje personal o a través de otros contactos. Ya me “comí el perro” con esto. Por lo tanto, no soy demasiado vago para descifrar el servidor durante la noche.
Este virus es el “flagelo” de nuestro tiempo y recibir “botín” de compañeros soldados no es humano. Aunque, si alguien "arroja" un par de dólares a mi cuenta Yandex.money 410011278501419, no me importará. Pero esto no es del todo necesario. Contáctenos. Proceso solicitudes en mi tiempo libre.

¡Nueva información!

A partir del 8 de diciembre de 2013, comenzó a difundirse un nuevo virus de la misma serie Trojan.Encoder bajo la clasificación Doctor Web: Trojan.Encoder.263, pero con cifrado RSA. Esta vista es de hoy (20/12/2013) no se puede descifrar, ya que utiliza un método de cifrado muy fuerte.

Recomiendo a todos los que han padecido este virus:
1. Utilizando la búsqueda integrada de Windows, busque todos los archivos que contengan la extensión .perfect y cópielos a un medio externo.
2. Copie también el archivo CONTACT.txt.
3. Coloque este medio externo "en el estante".
4. Espere a que aparezca la utilidad descifradora.

Qué no hacer:
No hay necesidad de meterse con los delincuentes. Esto es una tontería. En más del 50% de los casos, después del “pago” de aproximadamente 5000 rublos, no recibirá NADA. Sin dinero, sin descifrador.
Para ser justos, vale la pena señalar que hay personas "afortunadas" en Internet que recuperaron sus archivos descifrados para obtener un "botín". Pero no deberías confiar en esta gente. Si fuera un creador de virus, lo primero que haría sería difundir información como “¡¡¡Pagué y me enviaron un decodificador!!!”
Detrás de estos “afortunados” puede haber los mismos atacantes.

Bueno... deseamos buena suerte a otras empresas de antivirus en la creación de una utilidad para descifrar archivos después del grupo de virus Trojan.Encoder.

Un agradecimiento especial al camarada v.martyanov del foro Doctor Web por el trabajo realizado en la creación de utilidades de descifrado.

Recuperar archivos cifrados- este es un problema al que se enfrentan una gran cantidad de usuarios de computadoras personales que han sido víctimas de varios virus de cifrado. La cantidad de malware en este grupo es muy grande y aumenta cada día. Recientemente nos hemos encontrado con decenas de variantes de ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, etc.

Por supuesto, puedes restaurar archivos cifrados simplemente siguiendo las instrucciones que los creadores del virus dejan en el ordenador infectado. Pero la mayoría de las veces, el coste del descifrado es muy importante y también hay que saber que algunos virus ransomware cifran los archivos de tal forma que es simplemente imposible descifrarlos más tarde. Y, por supuesto, es molesto pagar para restaurar sus propios archivos.

Formas de recuperar archivos cifrados gratis

Hay varias formas de recuperar archivos cifrados utilizando programas probados y absolutamente gratuitos como ShadowExplorer y PhotoRec. Antes y durante la recuperación, intente utilizar la computadora infectada lo menos posible, de esta manera aumentará sus posibilidades de recuperación exitosa del archivo.

Las instrucciones que se describen a continuación deben seguirse paso a paso, si algo no le funciona, DETÉNGASE, pida ayuda escribiendo un comentario en este artículo o creando un nuevo tema en el nuestro.

1. Eliminar el virus ransomware

Kaspersky Virus Removal Tool y Malwarebytes Anti-malware pueden detectar diferentes tipos de virus ransomware activos y los eliminarán fácilmente de su computadora, PERO no pueden recuperar archivos cifrados.

1.1. Eliminar ransomware con la herramienta de eliminación de virus Kaspersky

Haga clic en el botón Escanear para ejecutar un análisis de su computadora en busca de la presencia de un virus ransomware.

Espere a que se complete este proceso y elimine cualquier malware encontrado.

1.2. Eliminar ransomware usando Malwarebytes Anti-malware

Descarga el programa. Una vez completada la descarga, ejecute el archivo descargado.

El procedimiento de actualización del programa se iniciará automáticamente. Cuando termine presione el botón Ejecutar escaneo. Malwarebytes Anti-malware comenzará a escanear su computadora.

Inmediatamente después de escanear su computadora, Malwarebytes Anti-malware abrirá una lista de componentes encontrados del virus ransomware.

Haga clic en el botón Eliminar selección para limpiar tu computadora. Mientras se elimina el malware, es posible que Malwarebytes Anti-malware requiera que reinicie su computadora para continuar con el proceso. Confirme esto seleccionando Sí.

Después de que la computadora se reinicie, Malwarebytes Anti-malware continuará automáticamente con el proceso de limpieza.

2. Recuperar archivos cifrados usando ShadowExplorer

ShadowExplorer es una pequeña utilidad que le permite restaurar instantáneas de archivos creados automáticamente por el sistema operativo Windows (7-10). Esto le permitirá restaurar sus archivos cifrados a su estado original.

Descarga el programa. El programa está en un archivo zip. Por lo tanto, haga clic derecho en el archivo descargado y seleccione Extraer todo. Luego abra la carpeta ShadowExplorerPortable.

Inicie ShadowExplorer. Seleccione el disco que necesita y la fecha en que se crearon las instantáneas, números 1 y 2 en la figura siguiente, respectivamente.

Haga clic derecho en el directorio o archivo del que desea restaurar una copia. En el menú que aparece, seleccione Exportar.

Y por último, seleccione la carpeta donde se copiará el archivo recuperado.

3. Recuperar archivos cifrados usando PhotoRec

PhotoRec es un programa gratuito diseñado para recuperar archivos borrados y perdidos. Al usarlo, puede restaurar archivos originales que los virus ransomware eliminaron después de crear sus copias cifradas.

Descarga el programa. El programa está en el archivo. Por lo tanto, haga clic derecho en el archivo descargado y seleccione Extraer todo. Luego abra la carpeta testdisk.

Busque QPhotoRec_Win en la lista de archivos y ejecútelo. Se abrirá una ventana del programa que muestra todas las particiones de los discos disponibles.

En la lista de particiones, seleccione aquella en la que se encuentran los archivos cifrados. Luego haga clic en el botón Formatos de archivo.

De forma predeterminada, el programa está configurado para recuperar todos los tipos de archivos, pero para acelerar el trabajo, se recomienda dejar solo los tipos de archivos que necesita recuperar. Cuando haya completado su selección, haga clic en Aceptar.

En la parte inferior de la ventana del programa QPhotoRec, busque el botón Examinar y haga clic en él. Debe seleccionar el directorio donde se guardarán los archivos recuperados. Es recomendable utilizar un disco que no contenga archivos cifrados que requieran recuperación (puede utilizar una unidad flash o un disco externo).

Para iniciar el procedimiento de búsqueda y restauración de copias originales de archivos cifrados, haga clic en el botón Buscar. Este proceso lleva bastante tiempo, así que tenga paciencia.

Cuando se complete la búsqueda, haga clic en el botón Salir. Ahora abra la carpeta que ha elegido para guardar los archivos recuperados.

La carpeta contendrá directorios llamados recup_dir.1, recup_dir.2, recup_dir.3, etc. Cuantos más archivos encuentre el programa, más directorios habrá. Para encontrar los archivos que necesita, verifique todos los directorios uno por uno. Para que sea más fácil encontrar el archivo que necesita entre una gran cantidad de archivos recuperados, utilice el sistema de búsqueda integrado de Windows (por contenido de archivo) y no se olvide de la función de ordenar archivos en directorios. Puede seleccionar la fecha en que se modificó el archivo como opción de clasificación, ya que QPhotoRec intenta restaurar esta propiedad al restaurar un archivo.

Las tecnologías modernas permiten a los piratas informáticos mejorar constantemente sus métodos de fraude contra usuarios comunes. Por regla general, para estos fines se utiliza software antivirus que penetra en el ordenador. Los virus de cifrado se consideran especialmente peligrosos. La amenaza es que el virus se propaga muy rápidamente, cifrando archivos (el usuario simplemente no podrá abrir ni un solo documento). Y si es bastante simple, entonces es mucho más difícil descifrar los datos.

Qué hacer si un virus ha cifrado archivos en tu computadora

Cualquiera puede ser atacado por ransomware; incluso los usuarios que tienen un potente software antivirus no son inmunes. Los troyanos de cifrado de archivos vienen en una variedad de códigos que pueden estar más allá de las capacidades de un antivirus. Los piratas informáticos incluso logran atacar de forma similar a grandes empresas que no han cuidado la necesaria protección de su información. Por lo tanto, al detectar un programa ransomware en línea, es necesario tomar una serie de medidas.

Los principales signos de infección son el funcionamiento lento del ordenador y los cambios en los nombres de los documentos (se pueden ver en el escritorio).

  1. Reinicie su computadora para detener el cifrado. Al encender, no confirme el inicio de programas desconocidos.
  2. Ejecute su antivirus si no ha sido atacado por ransomware.
  3. En algunos casos, las instantáneas ayudarán a restaurar la información. Para encontrarlos, abra las "Propiedades" del documento cifrado. Este método funciona con datos cifrados de la extensión Vault, sobre los cuales hay información en el portal.
  4. Descargue la última versión de la utilidad para combatir virus ransomware. Los más eficaces los ofrece Kaspersky Lab.

Virus ransomware en 2016: ejemplos

Al combatir cualquier ataque de virus, es importante comprender que el código cambia muy a menudo y se complementa con una nueva protección antivirus. Por supuesto, los programas de seguridad necesitan algo de tiempo hasta que el desarrollador actualice las bases de datos. Hemos seleccionado los virus de cifrado más peligrosos de los últimos tiempos.

Ishtar ransomware

Ishtar es un ransomware que extorsiona al usuario. El virus se detectó en el otoño de 2016 e infectó una gran cantidad de computadoras de usuarios de Rusia y otros países. Se distribuye mediante newsletter por correo electrónico, que contiene documentos adjuntos (instaladores, documentos, etc.). Los datos infectados por el cifrador Ishtar reciben el prefijo "ISHTAR" en su nombre. El proceso crea un documento de prueba que indica dónde acudir para obtener la contraseña. Los atacantes exigen por ello entre 3.000 y 15.000 rublos.

El peligro del virus Ishtar es que hoy en día no existe ningún descifrador que ayude a los usuarios. Las empresas de software antivirus necesitan tiempo para descifrar todo el código. Ahora solo puede aislar información importante (si es de particular importancia) en un medio separado, esperando el lanzamiento de una utilidad capaz de descifrar documentos. Se recomienda reinstalar el sistema operativo.

neitrino

El cifrador Neitrino apareció en Internet en 2015. El principio de ataque es similar al de otros virus de categoría similar. Cambia los nombres de carpetas y archivos agregando "Neitrino" o "Neutrino". El virus es difícil de descifrar; no todos los representantes de las empresas antivirus lo hacen, citando un código muy complejo. Algunos usuarios pueden beneficiarse al restaurar una instantánea. Para hacer esto, haga clic derecho en el documento cifrado, vaya a "Propiedades", pestaña "Versiones anteriores", haga clic en "Restaurar". No estaría de más utilizar una utilidad gratuita de Kaspersky Lab.

Billetera o .billetera.

El virus de cifrado Wallet apareció a finales de 2016. Durante el proceso de infección, cambia el nombre de los datos a “Nombre...billetera” o algo similar. Como la mayoría de los virus ransomware, ingresa al sistema a través de archivos adjuntos en correos electrónicos enviados por atacantes. Dado que la amenaza apareció hace muy poco tiempo, los programas antivirus no la detectan. Después del cifrado, crea un documento en el que el estafador indica el correo electrónico para comunicarse. Actualmente, los desarrolladores de software antivirus están trabajando para descifrar el código del virus ransomware. [correo electrónico protegido]. Los usuarios que han sido atacados sólo pueden esperar. Si los datos son importantes, se recomienda guardarlos en una unidad externa limpiando el sistema.

Enigma

El virus ransomware Enigma comenzó a infectar los ordenadores de usuarios rusos a finales de abril de 2016. Se utiliza el modelo de cifrado AES-RSA, que se encuentra en la mayoría de los virus ransomware actuales. El virus penetra en el ordenador mediante un script que el usuario ejecuta abriendo archivos de un correo electrónico sospechoso. Todavía no existe un medio universal para combatir el ransomware Enigma. Los usuarios con licencia de antivirus pueden solicitar ayuda en el sitio web oficial del desarrollador. También se encontró una pequeña "laguna jurídica": Windows UAC. Si el usuario hace clic en "No" en la ventana que aparece durante el proceso de infección del virus, podrá restaurar posteriormente la información utilizando instantáneas.

granito

Un nuevo virus ransomware, Granit, apareció en Internet en el otoño de 2016. La infección se produce según el siguiente escenario: el usuario inicia el instalador, que infecta y cifra todos los datos de la PC, así como las unidades conectadas. Luchar contra el virus es difícil. Para eliminarlo, puede utilizar utilidades especiales de Kaspersky, pero aún no hemos podido descifrar el código. Quizás sea útil restaurar versiones anteriores de los datos. Además, un especialista con amplia experiencia puede descifrar, pero el servicio es caro.

Tyson

Fue visto recientemente. Es una extensión del ya conocido ransomware no_more_ransom, del que puede obtener información en nuestro sitio web. Llega a los ordenadores personales desde el correo electrónico. Muchas PC corporativas fueron atacadas. El virus crea un documento de texto con instrucciones de desbloqueo y ofrece pagar un "rescate". El ransomware Tyson apareció recientemente, por lo que aún no existe una clave de desbloqueo. La única forma de restaurar la información es devolver versiones anteriores si no fueron eliminadas por un virus. Por supuesto, puedes correr el riesgo transfiriendo dinero a la cuenta especificada por los atacantes, pero no hay garantía de que recibirás la contraseña.

espora

A principios de 2017, varios usuarios fueron víctimas del nuevo ransomware Spora. En cuanto a su principio de funcionamiento, no se diferencia mucho de sus homólogos, pero cuenta con un diseño más profesional: las instrucciones para obtener una contraseña están mejor escritas y el sitio web tiene un aspecto más bonito. El virus ransomware Spora fue creado en lenguaje C y utiliza una combinación de RSA y AES para cifrar los datos de la víctima. Como regla general, las computadoras en las que se utilizaba activamente el programa de contabilidad 1C fueron atacadas. El virus, escondido bajo la apariencia de una simple factura en formato .pdf, obliga a los empleados de la empresa a ejecutarlo. Aún no se ha encontrado ningún tratamiento.

1C.Gota.1

Este virus de cifrado 1C apareció en el verano de 2016, interrumpiendo el trabajo de muchos departamentos de contabilidad. Fue desarrollado específicamente para computadoras que utilizan software 1C. Una vez en la PC a través de un archivo en un correo electrónico, le solicita al propietario que actualice el programa. Cualquiera que sea el botón que presione el usuario, el virus comenzará a cifrar archivos. Los especialistas de Dr.Web están trabajando en herramientas de descifrado, pero aún no se ha encontrado ninguna solución. Esto se debe al código complejo, que puede tener varias modificaciones. La única protección contra 1C.Drop.1 es la vigilancia del usuario y el archivado regular de documentos importantes.

Código da Vinci

Un nuevo ransomware con un nombre inusual. El virus apareció en la primavera de 2016. Se diferencia de sus predecesores por su código mejorado y su modo de cifrado seguro. da_vinci_code infecta el ordenador gracias a una aplicación de ejecución (normalmente adjunta a un correo electrónico), que el usuario inicia de forma independiente. La herramienta de cifrado da Vinci copia el cuerpo en el directorio y registro del sistema, lo que garantiza el inicio automático cuando se enciende Windows. A la computadora de cada víctima se le asigna una identificación única (ayuda a obtener una contraseña). Es casi imposible descifrar los datos. Puedes pagar dinero a los atacantes, pero nadie garantiza que recibirás la contraseña.

[correo electrónico protegido] / [correo electrónico protegido]

Dos direcciones de correo electrónico que a menudo iban acompañadas de virus ransomware en 2016. Sirven para conectar a la víctima con el atacante. Se adjuntaron direcciones para una variedad de tipos de virus: da_vinci_code, no_more_ransom, etc. Se recomienda encarecidamente no contactar ni transferir dinero a estafadores. En la mayoría de los casos, los usuarios se quedan sin contraseñas. Demostrando así que el ransomware de los atacantes funciona generando ingresos.

Breaking Bad

Apareció a principios de 2015, pero se difundió activamente solo un año después. El principio de infección es idéntico al de otros ransomware: instalar un archivo desde un correo electrónico y cifrar datos. Los programas antivirus convencionales, por regla general, no detectan el virus Breaking Bad. Algunos códigos no pueden eludir el UAC de Windows, lo que deja al usuario la opción de restaurar versiones anteriores de los documentos. Ninguna empresa que desarrolle software antivirus ha presentado todavía un descifrador.

XTBL

Un ransomware muy común que ha causado problemas a muchos usuarios. Una vez en la PC, el virus cambia la extensión del archivo a .xtbl en cuestión de minutos. Se crea un documento en el que el atacante extorsiona. Algunas variantes del virus XTBL no pueden destruir archivos para la recuperación del sistema, lo que le permite recuperar documentos importantes. Muchos programas pueden eliminar el virus, pero descifrar documentos es muy difícil. Si es propietario de un antivirus con licencia, utilice el soporte técnico adjuntando muestras de datos infectados.

kukaracha

El ransomware Cucaracha fue descubierto en diciembre de 2016. El virus con un nombre interesante oculta los archivos de los usuarios mediante el algoritmo RSA-2048, que es muy resistente. El antivirus Kaspersky lo etiquetó como Trojan-Ransom.Win32.Scatter.lb. Kukaracha se puede eliminar de la computadora para que otros documentos no se infecten. Sin embargo, actualmente es casi imposible descifrar los infectados (un algoritmo muy potente).

¿Cómo funciona un virus ransomware?

Hay una gran cantidad de ransomware, pero todos funcionan según un principio similar.

  1. Subirse a una computadora personal. Normalmente, gracias a un archivo adjunto a un correo electrónico. La instalación la inicia el propio usuario abriendo el documento.
  2. Infección de archivos. Casi todos los tipos de archivos están cifrados (según el virus). Se crea un documento de texto que contiene contactos para comunicarse con los atacantes.
  3. Todo. El usuario no puede acceder a ningún documento.

Agentes de control de laboratorios populares.

El uso generalizado de ransomware, reconocido como la amenaza más peligrosa para los datos de los usuarios, se ha convertido en un impulso para muchos laboratorios antivirus. Todas las empresas populares ofrecen a sus usuarios programas que les ayudan a combatir el ransomware. Además, muchos de ellos ayudan con el descifrado de documentos y la protección del sistema.

Kaspersky y los virus ransomware

Uno de los laboratorios antivirus más famosos de Rusia y del mundo ofrece hoy las herramientas más efectivas para combatir los virus ransomware. La primera barrera contra el virus ransomware será Kaspersky Endpoint Security 10 con las últimas actualizaciones. El antivirus simplemente no permitirá que la amenaza ingrese a su computadora (aunque es posible que no detenga las nuevas versiones). Para descifrar información, el desarrollador presenta varias utilidades gratuitas: XoristDecryptor, RakhniDecryptor y Ransomware Decryptor. Ayudan a encontrar el virus y seleccionar la contraseña.

Dr. Web y ransomware

Este laboratorio recomienda utilizar su programa antivirus, cuya característica principal es la copia de seguridad de archivos. El almacenamiento de copias de documentos también está protegido contra el acceso no autorizado por parte de intrusos. Propietarios del producto con licencia Dr. La función web está disponible para solicitar ayuda al soporte técnico. Es cierto que ni siquiera los especialistas experimentados siempre pueden resistir este tipo de amenaza.

ESET Nod 32 y ransomware

Esta empresa tampoco se quedó al margen, brindando a sus usuarios una buena protección contra la entrada de virus a su computadora. Además, el laboratorio lanzó recientemente una utilidad gratuita con bases de datos actualizadas: Eset Crysis Decryptor. Los desarrolladores dicen que ayudará en la lucha incluso contra el ransomware más nuevo.

Hola a todos, hoy les contaré cómo descifrar archivos después de un virus en Windows. Uno de los programas maliciosos más problemáticos en la actualidad es un troyano o virus que cifra archivos en el disco de un usuario. Algunos de estos archivos se pueden descifrar, pero otros aún no se pueden descifrar. En el artículo describiré posibles algoritmos de acción en ambas situaciones.

Existen varias modificaciones de este virus, pero la esencia general del trabajo es que después de la instalación en su computadora, sus archivos de documentos, imágenes y otros archivos potencialmente importantes se cifran con un cambio de extensión, después de lo cual recibe un mensaje de que todos sus Los archivos han sido cifrados y para descifrarlos es necesario enviar una cierta cantidad al atacante.

Los archivos en la computadora están cifrados en xtbl

Una de las últimas variantes del virus ransomware cifra los archivos, reemplazándolos con archivos con la extensión .xtbl y un nombre que consta de un conjunto aleatorio de caracteres.

Al mismo tiempo, se coloca un archivo de texto readme.txt en la computadora con aproximadamente el siguiente contenido: “Sus archivos han sido cifrados. Para descifrarlos, debe enviar el código a la dirección de correo electrónico [correo electrónico protegido], [correo electrónico protegido] o [correo electrónico protegido]. A continuación recibirás todas las instrucciones necesarias. Los intentos de descifrar archivos usted mismo provocarán una pérdida irrecuperable de información” (la dirección de correo electrónico y el texto pueden diferir).

Desafortunadamente, no hay forma de descifrar .xtbl en este momento (tan pronto como esté disponible, las instrucciones se actualizarán). Algunos usuarios que tenían información realmente importante en su computadora informan en foros de antivirus que enviaron a los autores del virus 5.000 rublos u otra cantidad requerida y recibieron un descifrador, pero esto es muy arriesgado: es posible que no reciba nada.

¿Qué hacer si los archivos estaban cifrados en .xtbl? Mis recomendaciones son las siguientes (pero difieren de las de muchos otros sitios temáticos, donde, por ejemplo, recomiendan apagar inmediatamente la computadora de la fuente de alimentación o no eliminar el virus. En mi opinión, esto es innecesario y, según algunas circunstancias puede incluso ser perjudicial, pero tú decides):

  1. Si sabe cómo, interrumpa el proceso de cifrado borrando las tareas correspondientes en el administrador de tareas, desconectando la computadora de Internet (esta puede ser una condición necesaria para el cifrado)
  2. Recuerde o anote el código que los atacantes exigen que se envíe a una dirección de correo electrónico (pero no en un archivo de texto en la computadora, por si acaso, para que tampoco esté cifrado).
  3. Usando Malwarebytes Antimalware, una versión de prueba de Kaspersky Internet Security o Dr.Web Cure It, elimine el virus de cifrado de archivos (todas estas herramientas hacen un buen trabajo). Le aconsejo que utilice alternativamente el primer y segundo producto de la lista (sin embargo, si tiene un antivirus instalado, no es deseable instalar el segundo "desde arriba", ya que puede provocar problemas con la computadora).
  4. Espere a que aparezca un descifrador de alguna empresa antivirus. Kaspersky Lab está a la vanguardia en este aspecto.
  5. También puede enviar un ejemplo de un archivo cifrado y el código requerido a [correo electrónico protegido], si tiene una copia sin cifrar del mismo archivo, envíela también. En teoría, esto podría acelerar la aparición del descifrador.

Qué no hacer:

  • Cambie el nombre de los archivos cifrados, cambie la extensión y elimínelos si son importantes para usted.

Probablemente esto es todo lo que puedo decir sobre los archivos cifrados con la extensión .xtbl por el momento.

Trojan-Ransom.Win32.Aura y Trojan-Ransom.Win32.Rakhni

El siguiente troyano cifra archivos e instala extensiones de esta lista:

  • .bloqueado
  • .cripto
  • .kraken
  • .AES256 (no necesariamente este troyano, hay otros que instalan la misma extensión).
  • .codercsu@gmail_com
  • .oh mierda
  • Y otros.

Para descifrar archivos después de la operación de estos virus, el sitio web de Kaspersky tiene una utilidad gratuita llamada RakhniDecryptor, disponible en la página oficial http://support.kaspersky.ru/viruses/disinfection/10556.

También hay instrucciones detalladas para usar esta utilidad, que muestran cómo restaurar archivos cifrados, de los cuales, por si acaso, eliminaría el elemento "Eliminar archivos cifrados después de un descifrado exitoso" (aunque creo que todo estará bien con la opción instalada) .

Si tiene una licencia del antivirus Dr.Web, puede utilizar el descifrado gratuito de esta empresa en la página http://support.drweb.com/new/free_unlocker/

Más opciones de virus ransomware

Menos comunes, pero también encontrados, son los siguientes troyanos que cifran archivos y exigen dinero para descifrarlos. Los enlaces proporcionados no sólo contienen utilidades para devolver sus archivos, sino también una descripción de los signos que ayudarán a determinar que tiene este virus en particular. Aunque, en general, la forma óptima es escanear el sistema con el antivirus Kaspersky, averiguar el nombre del troyano según la clasificación de esta empresa y luego buscar una utilidad con ese nombre.

  • Trojan-Ransom.Win32.Rector: la utilidad gratuita de descifrado RectorDecryptor y las instrucciones de uso están disponibles aquí: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist es un troyano similar que muestra una ventana que le pide que envíe un SMS pago o se ponga en contacto por correo electrónico para recibir instrucciones de descifrado. Las instrucciones para restaurar archivos cifrados y la utilidad XoristDecryptor para ello están disponibles en la página http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilidad RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 y otros con el mismo nombre (al buscar en el antivirus Dr.Web o en la utilidad Cure It) y números diferentes: intente buscar en Internet por el nombre del troyano. Para algunos de ellos existen utilidades de descifrado de Dr.Web, también si no pudo encontrar la utilidad pero tiene una licencia Dr.Web, puede utilizar la página oficial http://support.drweb.com/new/free_unlocker /
  • CryptoLocker: para descifrar archivos después de que CryptoLocker funcione, puede utilizar el sitio http://decryptcryptolocker.com; después de enviar el archivo de muestra, recibirá una clave y una utilidad para recuperar sus archivos.

Bueno, según las últimas noticias: Kaspersky Lab, junto con agentes del orden de los Países Bajos, desarrolló Ransomware Decryptor (http://noransom.kaspersky.com) para descifrar archivos después de CoinVault, pero este ransomware aún no se encuentra en nuestras latitudes.

Por cierto, si de repente resulta que tienes algo que agregar (porque es posible que no tenga tiempo para monitorear lo que sucede con los métodos de descifrado), házmelo saber en los comentarios, esta información será útil para otros usuarios que estén frente a un problema.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba