Un programa para descifrar archivos cifrados. Virus de cifrado: qué es y cómo funciona. Los archivos en la computadora están cifrados en xtbl

1. ¡No habrá mucha demagogia ya que el artículo ya será bastante largo! Averigüemos qué puede hacer si su computadora está infectada con un cifrador: Primero, necesita averiguar qué tipo de cifrado hizo este daño a sus archivos. A continuación, al final del artículo, hay enlaces a Servicios que proporcionarán toda la información sobre el mal que está operando en su computadora. Si el nombre de su maligno daño coincide con los nombres de este artículo, entonces es la mitad del problema, por lo que leemos más a fondo lo que nos ofrece Kaspersky en la lucha contra los cifradores de ransomware. Honestamente, estos virus son bastante fuertes y realmente tienes problemas. Puedes eliminar esta basura de tu computadora, esto no es un problema, pero recuperar los archivos es una cuestión:
2. Enumero el nombre del ransomware y al final publicas el nombre del programa que puede ayudarte:

Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan-Ransom.Win32.CryptXXX versiones 1 y 2 .

¿Qué nombres tendrán sus archivos después del cifrado?

3. Cuando se infecta con Trojan-Ransom.Win32.Rannoh, los nombres y extensiones están bloqueados. .
4. Cuando se infecta, se añade Trojan-Ransom.Win32.Cryakl al final de los archivos (CRYPTENDBLACKDC).
5. La extensión Trojan-Ransom.Win32.AutoIt cambia según el patrón @_.
6. Por ejemplo, _.RZWDTDIC.
7. Cuando está infectado, Trojan-Ransom.Win32.CryptXXX se modifica utilizando la plantilla .crypt.
8. Verificamos la precisión utilizando el servicio que publicaré al final del artículo y, si todo coincide, descargamos la utilidad:
9. .desde la oficina, sitio web de Kaspersky
.
10. .con nube verificada por Kaspersky
11. Después de hacer clic en el botón Iniciar escaneo, se abrirá una ventana en la que deberá mostrar el archivo cifrado.
12. Entonces el programa hará todo por sí solo. ¡Si lo hace!))) Pero no hablemos de lo malo, ¡todo estará bien!

XoristDecryptor

13. Diseñado para combatir virus cifrados: Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
14. Puede reconocer el codificador siguiendo los siguientes pasos: Muestra una ventana similar a la siguiente:
15. En la unidad C:/ crea archivos con el nombre "Léame - cómo descifrar archivos". Una vez abierto dicho archivo, contendrá un contenido similar al de la imagen siguiente.
16. También hay un archivo llamado CryptLogFile.txt en la carpeta de Windows. Registra todo lo que fue cifrado.

17. Descifrado de archivos

18. desde la oficina, sitio web de Kaspersky
19. con nube verificada por Kaspersky
20. Iniciamos y mostramos el archivo cifrado y esperamos mientras la utilidad intenta descifrar el archivo.
21. Si la utilidad XoristDecryptor no detecta el archivo, ofrecerá enviarlo por correo electrónico. Kaspersky Lab examinará el archivo y actualizará la base de datos antivirus XoristDecryptor. Que cuando vuelvas a tratar, exista la opción de devolver tus archivos.

    La siguiente utilidad se llama RectorDecryptor.

22. Como se indicó anteriormente, es de la empresa Kaspersky y se utiliza para descifrar archivos infectados con ransomware mediante el cifrador: Trojan-Ransom.Win32.Rector.

¿Qué archivos cifra?

23. jpg, .doc, .pdf, .rar.
24. Nombres de archivos después del cifrado:
25. vscrypt, .infectado, .bloc, .korrektor
26. Se puede mantener la firma del autor en el formulario ††KOPPEKTOP†† y el contacto con él:
27. ICQ: 557973252 o 481095
28. En algunos casos, el atacante solicita dejar un mensaje en el libro de visitas de uno de sus sitios que no funciona o funciona en el momento que necesita:
29. https://troyano....sooot.cn/
30. https://malware....66ghz.com/
31. Además, el banner en el escritorio a continuación indica que sus archivos están cifrados con este cifrador:
32. Cómo intentar recuperar sus archivos:
33. Descargue una utilidad de Kaspersky llamada
34. desde la oficina, sitio web de Kaspersky
35. con nube verificada por Kaspersky
36. Como ocurre con todas las demás utilidades de Kaspersky mencionadas anteriormente. Ejecute la utilidad descargada y al hacer clic en el botón Iniciar escaneo en la ventana que se abre, especifique el archivo cifrado.
37. Un informe del trabajo realizado, como en los ejemplos anteriores con programas, lo podrás encontrar en: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt La hora y fecha son aproximadas, tendrás la tuya.

Utilidad RakhniDecryptor

38. Para combatir el ransomware de Kaspersky:
39. Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman versiones 3 y 4, Trojan-Ransom.Win32. Libra, Trojan-Ransom.MSIL.Lobzik y Trojan-Ransom.Win32.Chimera

¿Se ha convertido en víctima de ransomware? ¡No pagues el rescate!

Nuestros descifradores gratuitos le ayudarán a recuperar el acceso a los archivos bloqueados por varios tipos de ransomware que se describen a continuación. Simplemente seleccione un nombre para ver los signos de infección y obtener ayuda gratuita.

¿Quiere evitar infecciones de ransomware en el futuro?

Casillero de Alcatraz

Alcatraz Locker es uno de los programas ransomware que se descubrió por primera vez a mediados de noviembre de 2016. Utiliza el método AES 256 en combinación con la codificación Base64 para cifrar archivos.

Cambiar nombres de archivos.

Los archivos cifrados reciben la extensión .Alcatraz.

Mensaje de rescate.

rescatado.html» en el escritorio:

Si Alcatraz ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Apocalipsis

Apocalipsis es un tipo de ransomware que se descubrió por primera vez en junio de 2016. Los signos de infección se describen a continuación.

Cambiar nombres de archivos.

Apocalipsis añade extensiones .cifrado, .FuckYourData, .bloqueado, .archivo cifrado o .SecureCrypted Tesis.doc.bloqueada.)

Mensaje de rescate.

Al abrir un archivo con la extensión .How_To_Decrypt.txt, .README.Txt, .Contacte_aquí_para_recuperar_sus_archivos.txt, .Cómo_recuperar_datos.txt o .Dónde_mis_archivos.txt(Por ejemplo, Tesis.doc.How_To_Decrypt.txt) aparecerá un mensaje similar al siguiente:

Bloque malo

BadBlock es un tipo de ransomware que se descubrió por primera vez en mayo de 2016. Los signos de infección se describen a continuación.

Cambiar nombres de archivos.

BadBlock no cambia el nombre de los archivos.

Mensaje de rescate.

Después de cifrar sus archivos, el troyano BadBlock muestra uno de los siguientes mensajes (usando el archivo de ejemplo Ayuda Decrypt.html):

Si BadBlock ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Bart

Bart es un tipo de ransomware que se descubrió por primera vez a finales de junio de 2016. Los signos de infección se describen a continuación.

Cambiar nombres de archivos.

El programa Bart agrega texto .bart.zip al final de los nombres de los archivos (por ejemplo, en lugar de Thesis.doc el archivo se llamará Tesis.docx.bart.zip). Este archivo ZIP cifrado contiene los archivos fuente.

Mensaje de rescate.

Después de cifrar los archivos, Bart cambia el fondo del escritorio como se muestra a continuación. El texto de esta imagen también se puede utilizar para identificar el programa Bart. El texto se almacena en el escritorio en archivos. recuperar.bmp Y recuperar.txt.

Si Bart ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Gratitud. Nos gustaría agradecer a Peter Conrad, el autor del programa PkCrack, quien nos permitió usar su biblioteca en nuestro descifrador del troyano ransomware Bart.

Cripta888

Crypt888 (también conocido como Mircop) es un tipo de ransomware que se descubrió por primera vez en junio de 2016. Los signos de infección se describen a continuación.

Cambiar nombres de archivos.

El programa Crypt888 agrega texto Cerrar con llave. al principio de los nombres de los archivos (por ejemplo, en lugar de Thesis.doc el archivo se llamará Bloquear.Tesis.doc).

Mensaje de rescate.

Después de cifrar sus archivos, Crypt888 cambia el fondo de su escritorio a una de las siguientes opciones.

Si Crypt888 ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

CryptoMix (versión independiente)

CryptoMix (también conocido como CryptFile2 y Zeta) es uno de los programas ransomware que se detectó por primera vez en marzo de 2016. A principios de 2017 apareció una nueva variedad de CryptoMix, llamada CryptoShield. Ambas versiones del programa cifran archivos utilizando el algoritmo AES256 con una clave de cifrado única, que se descarga desde un servidor remoto. Si el servidor no está disponible o el usuario no tiene conexión a Internet, el ransomware cifra los archivos utilizando una clave fija (“clave fuera de línea”).

Tenga en cuenta. El descifrador propuesto es capaz de desbloquear sólo archivos cifrados utilizando una "clave sin conexión". En los casos en los que no se utilizó una clave fuera de línea para cifrar archivos, nuestro descifrador no podrá restaurar el acceso a los archivos.

Cambiar nombres de archivos.

.CRYPTOSHIELD, .rdmk, lesly, .scl, .código, .rmd o .rscl.

Mensaje de rescate.

Después de cifrar archivos en su PC, puede encontrar los siguientes archivos:

Si CryptoMix ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode o Aura) es uno de los programas ransomware que se detectó por primera vez en septiembre de 2015. Utiliza cifrado AES256 en combinación con el método de cifrado asimétrico RSA1024.

Cambiar nombres de archivos.

Los archivos cifrados tienen una de las siguientes extensiones:
[correo electrónico protegido] ,
[correo electrónico protegido] ,
[correo electrónico protegido] ,
[correo electrónico protegido] ,
.{[correo electrónico protegido]).CrySiS,
.{[correo electrónico protegido]).xtbl,
.{[correo electrónico protegido]).xtbl,
.{[correo electrónico protegido]).xtbl

Mensaje de rescate.

Después de cifrar sus archivos, el programa muestra uno de los siguientes mensajes. Este mensaje está contenido en un archivo llamado " Instrucciones de descifrado.txt», « Instrucciones de descifrado.txt" o "* LÉAME.txt"en el escritorio.

Si CrySiS ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Globo

Globe es uno de los ransomware que se descubrió por primera vez en agosto de 2016. Utiliza el método de cifrado RC4 o Blowfish. Los signos de infección se describen a continuación.

Cambiar nombres de archivos.

Globe agrega una de las siguientes extensiones al nombre del archivo: .ACRIPTAR, .GSoporte, .bloquenegro, .dll555, .duhust, .explotar, .congelado, .globo, .gsoporte, .kyra, .purgado, .RAID, [correo electrónico protegido] , .xtbl, .zendrz, .zendr o .hnaño. Además, algunas versiones del programa cifran el propio nombre del archivo.

Mensaje de rescate.

Después de cifrar los archivos, el programa muestra el siguiente mensaje, que se encuentra en el archivo “ Cómo restaurar archivos.hta" o " Léame por favor.hta»):

Si Globe ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

lágrima oculta

HiddenTear es uno de los primeros programas de ransomware de código abierto alojado en GitHub y conocido desde agosto de 2015. Desde entonces, los estafadores han creado cientos de variantes del programa HiddenTear utilizando código fuente abierto. HiddenTear utiliza cifrado AES.

Cambiar nombres de archivos.

Los archivos cifrados reciben una de las siguientes extensiones (pero pueden tener otras): .bloqueado, .34xxx, .bloqueado, .BUGSECCC, .Hollycrypt, .cerrar, .saeid, .desbloquearlo, .razy, .mecpt, .monstruo, .lok, .암호화됨 , .8bloqueo8, .jodido, .volador, .kratos, .cifrado, .CAZZO, .condenado.

Mensaje de rescate.

Cuando los archivos están cifrados, aparece un archivo de texto en la pantalla de inicio del usuario. (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Varias opciones también pueden mostrar un mensaje de rescate:

Si HiddenTear ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Rompecabezas

Jigsaw es uno de los programas de ransomware que existe desde marzo de 2016. Lleva el nombre del villano de la película apodado "Jigsaw Killer". Algunas variantes de este programa utilizan una imagen de este personaje en la pantalla con una demanda de rescate para desbloquearlo.

Cambiar nombres de archivos.

Los archivos cifrados reciben una de las siguientes extensiones: .kkk, .btc, .gws, .j, .cifrado, .porno, .pagarrescate, .pornorescate, .épico, .xyz, .versiegelt, .cifrado, .payb, .paga, .pagos, .pagos, .pagos, .pago, .pagos, .pagos, .pagos, .paybtcs, .divertido, .Cállate, [correo electrónico protegido] o .gefickt.

Mensaje de rescate.

Una vez que los archivos estén cifrados, se mostrará una de las siguientes pantallas:

Si Jigsaw ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Legión

Legion es un tipo de ransomware que se descubrió por primera vez en junio de 2016. Los siguientes son los síntomas de una infección.

Cambiar nombres de archivos.

Legion agrega algo como [correo electrónico protegido]$.legión o [correo electrónico protegido]$.cbf al final de los nombres de los archivos. (Por ejemplo, en lugar de Thesis.doc el archivo se llamará [correo electrónico protegido]$.legión.)

Mensaje de rescate.

Después de cifrar sus archivos, Legion cambia el fondo de su escritorio y muestra una ventana emergente similar a esta:

Si Legion ha cifrado sus archivos, haga clic aquí para descargar nuestro descifrador gratuito y desbloquearlo.

Los virus cifrados, que aparecieron hace aproximadamente 8 o 10 años, han ganado una enorme popularidad entre varios tipos de estafadores informáticos.

Los expertos atribuyen esto a la aparición de programas de creación de acceso gratuito, con los que incluso un especialista débil puede crear un virus informático con determinadas propiedades.

¿Cómo funciona un virus de cifrado?

La mayoría de las veces, se introduce un virus de cifrado en la computadora de la víctima a través del correo. La empresa recibe una carta supuestamente enviada por un solicitante de empleo, posible socio o comprador, pero que contiene un mensaje implantado archivo pdf con el virus.

Cuando un empleado de la empresa abre un correo electrónico, el virus se inserta en la lista de programas de inicio. Después de reiniciar la computadora, se inicia, cambia el nombre, cifra los archivos y luego se autodestruye.

A menudo, los correos electrónicos infectados se disfrazan de mensajes de autoridades fiscales, organismos encargados de hacer cumplir la ley, bancos, etc.

En un directorio con archivos dañados, se encuentra una carta que indica que la información está cifrada de forma segura y resistente a las criptomonedas y no se puede descifrar de forma independiente sin una pérdida permanente de los archivos.


Si desea restaurarlo, debe transferir una determinada cantidad dentro del período especificado para poder recibir la clave de descifrado.

¿Es posible encargarse del descifrado de archivos usted mismo?

La mayoría de las veces, los ransomware utilizan un virus para sus fines, que Doctor Web llamó Trojan.Encoder. Convierte archivos presentes en la computadora víctima dándoles la extensión .cripta. Casi todos los formatos comunes de archivos de texto, imágenes, pistas de audio y archivos comprimidos se pueden cifrar.

Para restaurar archivos cifrados, los especialistas de la empresa crearon una utilidad te19desencriptar. Hoy está disponible gratuitamente, donde cualquier internauta puede descargarlo. Este es un programa pequeño, que ocupa sólo 233 KB. Después de la descarga necesitas:

- en la ventana que se abre, haga clic en el botón "Continuar" ;

- si aparece un mensaje "Error" , complementado con la entrada “No puedo obtener el archivo clave [nombre del archivo]. ¿Quieres especificar su ubicación manualmente?", presione el botón DE ACUERDO;

- en la ventana que aparece "Abierto" especificar la ruta al archivo cifrado.txt;

- entonces comenzará el proceso de descifrado.


Nunca debes eliminar el archivo. cifrado.txt antes de ejecutar la utilidad descifradora, ya que su pérdida hará imposible restaurar la información cifrada.

Programa descifrador RectorDecryptor

Para restaurar archivos cifrados, muchas personas utilizan el programa especial RectorDecryptor. Necesitas trabajar con él de la siguiente manera:

- descargar el programa rectordecryptor, si no está a su disposición;

- eliminar todos los programas de la lista de inicio excepto el antivirus;

- reinicie la computadora;

— revise la lista de archivos y resalte los sospechosos, especialmente aquellos que no contienen información sobre el fabricante;

— eliminar archivos sospechosos que puedan contener un virus;

- borrar el caché del navegador y las carpetas temporales usando el programa Limpiador o similar;

- lanzamiento rectordecryptor, indique el archivo cifrado, así como su extensión, y luego haga clic en el botón "Empiece a comprobar" ;

— en las últimas versiones del programa, solo puede especificar el nombre del archivo y luego hacer clic en "Abierto" ;

— Espere hasta que se descifre el archivo y pase al siguiente.

Próximo programa rectordecryptorÉl mismo continúa escaneando todos los archivos ubicados en su computadora, incluidos los ubicados en medios extraíbles.


El descifrado puede tardar varias horas, dependiendo de la cantidad de archivos dañados y del rendimiento de la computadora. La información recuperada se escribe en el mismo directorio donde estaba antes.

Puede indicar la necesidad de eliminar material cifrado después del descifrado marcando la casilla junto a la solicitud correspondiente. Pero los usuarios experimentados aconsejan no hacer esto, ya que si el descifrado no tiene éxito, perderá por completo la capacidad de recuperar sus datos.

Los piratas informáticos de ransomware son muy similares a los chantajistas habituales. Tanto en el mundo real como en el entorno cibernético, existe un objetivo de ataque único o grupal. Es robado o hecho inaccesible. Luego, los delincuentes utilizan ciertos medios de comunicación con las víctimas para transmitir sus demandas. Los estafadores informáticos suelen elegir sólo unos pocos formatos para las cartas de rescate, pero se pueden encontrar copias en casi cualquier ubicación de la memoria de un sistema infectado. En el caso de la familia de software espía conocida como Troldesh o Shade, los estafadores adoptan un enfoque especial al contactar a la víctima.

Echemos un vistazo más de cerca a esta variedad de virus ransomware, que está dirigida al público de habla rusa. La mayoría de infecciones similares detectan la distribución del teclado en la PC atacada y, si uno de los idiomas es el ruso, la intrusión se detiene. Sin embargo, el virus ransomware XTBL Indescifrable: desafortunadamente para los usuarios, el ataque se desarrolla independientemente de su ubicación geográfica y preferencias de idioma. Una clara encarnación de esta versatilidad es una advertencia que aparece en el fondo del escritorio, así como un archivo TXT con instrucciones para pagar el rescate.

El virus XTBL suele propagarse a través del spam. Los mensajes se parecen a cartas de marcas famosas o simplemente llaman la atención porque en el asunto se utilizan expresiones como “¡Urgente!” o “Documentos financieros importantes”. El truco de phishing funcionará cuando el destinatario de dicho correo electrónico. Los mensajes descargarán un archivo ZIP que contiene código JavaScript o un objeto Docm que contiene una macro potencialmente vulnerable.

Una vez completado el algoritmo básico en la PC comprometida, el troyano ransomware procede a buscar datos que puedan ser valiosos para el usuario. Para ello, el virus escanea la memoria local y externa, comparando simultáneamente cada archivo con un conjunto de formatos seleccionados en función de la extensión del objeto. Todos los archivos .jpg, .wav, .doc, .xls, así como muchos otros objetos, se cifran utilizando el algoritmo criptográfico de bloques simétricos AES-256.

Este impacto dañino tiene dos aspectos. En primer lugar, el usuario pierde el acceso a datos importantes. Además, los nombres de los archivos están profundamente codificados, lo que da como resultado una cadena de caracteres hexadecimales sin sentido. Lo único que une los nombres de los archivos afectados es la extensión xtbl que se les agrega, es decir. nombre de la amenaza cibernética. Los nombres de archivos cifrados a veces tienen un formato especial. En algunas versiones de Troldesh, los nombres de los objetos cifrados pueden permanecer sin cambios y se agrega un código único al final: [correo electrónico protegido], [correo electrónico protegido], o [correo electrónico protegido].

Obviamente, los atacantes, al haber introducido direcciones de correo electrónico. correo directamente en los nombres de los archivos, indicando a las víctimas el método de comunicación. El correo electrónico también aparece en otra parte, concretamente en la carta de rescate contenida en el archivo "Readme.txt". Dichos documentos del Bloc de notas aparecerán en el escritorio, así como en todas las carpetas con datos cifrados. El mensaje clave es este:

“Todos los archivos estaban cifrados. Para descifrarlos, debe enviar el código: [Su cifrado único] a la dirección de correo electrónico [correo electrónico protegido] o [correo electrónico protegido]. A continuación recibirás todas las instrucciones necesarias. Los intentos de descifrar por su cuenta no conducirán más que a una pérdida irrecuperable de información”.

La dirección de correo electrónico puede cambiar según el grupo de chantaje que propague el virus.

En cuanto a novedades: en términos generales, los estafadores responden con una recomendación de transferir un rescate, que puede ser de 3 bitcoins u otra cantidad en este rango. Tenga en cuenta que nadie puede garantizar que los piratas informáticos cumplan su promesa incluso después de recibir el dinero. Para restaurar el acceso a los archivos .xtbl, se recomienda a los usuarios afectados que primero prueben todos los métodos alternativos disponibles. En algunos casos, los datos se pueden ordenar utilizando el servicio Volume Shadow Copy proporcionado directamente en el sistema operativo Windows, así como programas de descifrado y recuperación de datos de desarrolladores de software independientes.

Elimine el ransomware XTBL usando un limpiador automático

Un método extremadamente eficaz para trabajar con malware en general y ransomware en particular. El uso de un complejo protector probado garantiza una detección exhaustiva de cualquier componente viral y su eliminación completa con un solo clic. Tenga en cuenta que estamos hablando de dos procesos diferentes: desinstalar una infección y restaurar archivos en su PC. Sin embargo, es necesario eliminar la amenaza, ya que existe información sobre la introducción de otros troyanos informáticos que la utilizan.

1. . Después de iniciar el software, haga clic en el botón Iniciar escaneo de computadora(Comience a escanear).
2. El software instalado proporcionará un informe sobre las amenazas detectadas durante el escaneo. Para eliminar todas las amenazas detectadas, seleccione la opción Reparar amenazas(Eliminar amenazas). El malware en cuestión se eliminará por completo.

Restaurar el acceso a archivos cifrados con la extensión .xtbl

Como se señaló, el ransomware XTBL bloquea los archivos mediante un potente algoritmo de cifrado, de modo que los datos cifrados no se pueden restaurar con un movimiento de una varita mágica, a menos que se pague una cantidad de rescate sin precedentes. Pero algunos métodos realmente pueden salvarle la vida y ayudarle a recuperar datos importantes. A continuación puede familiarizarse con ellos.

Decryptor – programa de recuperación automática de archivos

Se conoce una circunstancia muy inusual. Esta infección borra los archivos originales sin cifrar. Por lo tanto, el proceso de cifrado con fines de extorsión se dirige a copias de ellos. Esto hace posible que software como este recupere objetos borrados, incluso si se garantiza la confiabilidad de su eliminación. Se recomienda encarecidamente recurrir al procedimiento de recuperación de archivos, cuya eficacia ha sido confirmada más de una vez.

Instantáneas de volúmenes

El enfoque se basa en el proceso de copia de seguridad de archivos de Windows, que se repite en cada punto de restauración. Una condición importante para que este método funcione: la función "Restaurar sistema" debe estar activada antes de la infección. Sin embargo, cualquier cambio en el archivo realizado después del punto de restauración no aparecerá en la versión restaurada del archivo.

Respaldo

Este es el mejor entre todos los métodos sin rescate. Si el procedimiento para hacer una copia de seguridad de los datos en un servidor externo se utilizó antes del ataque de ransomware en su computadora, para restaurar archivos cifrados simplemente necesita ingresar a la interfaz adecuada, seleccionar los archivos necesarios e iniciar el mecanismo de recuperación de datos desde la copia de seguridad. Antes de realizar la operación, debe asegurarse de que el ransomware se haya eliminado por completo.

Compruebe la posible presencia de componentes residuales del virus ransomware XTBL

La limpieza manual corre el riesgo de perder piezas individuales de ransomware que podrían escapar de la eliminación como objetos ocultos del sistema operativo o elementos de registro. Para eliminar el riesgo de retención parcial de elementos maliciosos individuales, escanee su computadora utilizando un paquete antivirus universal confiable.

Instrucciones

Llame al menú principal del sistema Microsoft Windows haciendo clic en el botón "Inicio" y vaya a "Todos los programas" para realizar la operación de descifrado de archivos previamente cifrados.

Llame al menú contextual del archivo, carpeta o disco que se va a descifrar haciendo clic derecho y seleccione "Propiedades".

Vaya a la pestaña "General" del cuadro de diálogo que se abre y seleccione el comando "Otros".

Desmarque la casilla de verificación Cifrar contenido para proteger los datos y haga clic en Aceptar para aplicar los cambios seleccionados. Recuerde que cuando desencripta carpetas que están cifradas archivos y las subcarpetas permanecen cifradas a menos que se indique lo contrario, y los archivos y subcarpetas recién creados de la carpeta descifrada no estarán sujetos a cifrado.

Descargue la herramienta gratuita te19decrypt.exe del sitio web oficial del desarrollador de la aplicación antivirus Dr.Web y ejecute el archivo ejecutable de la utilidad para realizar la operación de descifrado de archivos cifrados por el virus Trojan.Encoder. (Este virus es un programa ransomware que cifra los archivos del usuario y luego se elimina a sí mismo. Esto deja un archivo de texto crypted.txt en la unidad del sistema que contiene una solicitud de transferencias de dinero de diversos montos para descifrar los archivos dañados).

Haga clic en el botón "Continuar" en la ventana principal del programa y acepte la propuesta de especificar la ubicación del archivo clave c:crypted.txt manualmente.

Ingrese la ruta completa al archivo deseado en el cuadro de diálogo Abrir y haga clic en Aceptar para confirmar el comando.

tenga en cuenta

No intente eliminar el archivo de texto con:\crypted.txt usted mismo, ya que descifrar archivos cifrados por un virus será imposible.

Fuentes:

• Descifrar un archivo o carpeta
• ¿Cómo descifrar archivos cifrados por el virus Trojan.Encoder?
• el archivo está cifrado
• Descifrando archivos EFS

Algunos virus cifran los archivos del usuario, después de lo cual el acceso a ellos por medios normales puede ser limitado. La restauración del modo normal se produce mediante la intervención del software.

Instrucciones

Realice un análisis adicional de su computadora en busca de virus. Después de esto, descargue uno de los programas antitroyanos de Internet. Esto es necesario si el programa malicioso estaba oculto al antivirus. Realice una verificación y luego encuentre el cifrado archivos.

Haz una copia de seguridad de ellos por si acaso y asegúrate de que no haya amenazas en tu ordenador. Anota el nombre completo de los troyanos encontrados en tu ordenador. Esto es necesario para poder acceder posteriormente a información sobre los métodos de cifrado de archivos, ya que es poco probable que las utilidades de uso general sean adecuadas aquí. Por la misma razón, no se apresure a eliminar el malware de su computadora cuando la analice inicialmente.

Descargue cualquier utilidad para descifrar archivos después de haber sido infectados por virus. Estas utilidades suelen estar disponibles en los sitios web oficiales de los desarrolladores de sistemas antivirus. Además, a la hora de elegir un programa, guíese por el nombre del troyano que realizó el cifrado, ya que muchos de ellos utilizan métodos diferentes.

Lo mejor es descargarlo desde sitios de desarrolladores de sistemas de seguridad que conozca, ya que nuevamente existe el riesgo de encontrar malware. Normalmente, estas utilidades tienen un período de prueba durante el cual se pueden utilizar para el tratamiento.

Siguiendo las instrucciones del sistema, seleccione los virus cifrados en la utilidad descargada que se ejecuta en su computadora. archivos y, siguiendo las instrucciones del sistema, realizar las acciones necesarias. Después de esto, vuelva a buscar virus, en particular en lo que respecta a los archivos que descifró.

Después de esto, instale un software antivirus confiable y actualizado en su computadora para evitar que ocurran situaciones similares en el futuro.

Vídeo sobre el tema.

Consejos útiles

Utilice software antivirus.

Número de bastidor car contiene casi toda la información importante y valiosa sobre el vehículo: desde el país donde se ensambló el automóvil hasta su color, año de fabricación y equipamiento. Para poner toda esta información a su disposición, Número de bastidor solo necesitas aprender a leer.

necesitarás

• - Código VIN del coche

Instrucciones

Identifique los componentes de su Número de bastidor A.
Número de bastidor-código Consta de 17 personajes, que se dividen en tres partes:
- índice mundial de fabricantes o WMI;
- parte descriptiva o VDS;
- parte distintiva o índice mundial VIS del fabricante: estos son los tres primeros caracteres. Número de bastidor a, la parte descriptiva consta de los siguientes seis caracteres, y los últimos ocho caracteres son la parte distintiva. Echemos un vistazo más de cerca a qué información se puede obtener descifrando cada uno de los componentes. Número de bastidor A.

Descifre el índice mundial de fabricantes. El primer carácter del índice le indicará en qué parte del mundo se fabricó el suyo, el segundo en qué país y el tercero indicará el fabricante específico. Las letras del alfabeto latino de la A a la H están en esta parte código y, si el coche fue ensamblado en África; de J a R, en uno de los países asiáticos, y de S a Z, en Europa. También entre los tres primeros personajes. Número de bastidor y también puedes encontrar números. Si tu tierra natal es Norteamérica, encontrarás números del 1 al 5; si se fabricó en Oceanía, el índice del fabricante contendrá los números 6 o 7, y para los fabricantes de América del Sur los números serán 8 o 9.

Descifrar la parte descriptiva del índice. Estos seis símbolos se utilizan para describir el tipo de vehículo: en base a su construcción, modelo de automóvil, tipo de carrocería y otros. Estos símbolos son únicos para cada fabricante, por lo que para una decodificación más detallada debes buscar información relacionada con tu marca específica. Última parte descriptiva Número de bastidor y la mayoría de los fabricantes después de 1980 lo utilizan para indicar el tipo de motor. Sin embargo, observamos que esto solo es válido para aquellos modelos en cuya producción el fabricante previó la instalación de un tipo y/o volumen diferente.

Descifrar la parte distintiva. Contiene información que se aplica exclusivamente a su vehículo. El fabricante podría cifrar los últimos ocho caracteres. Número de bastidor y la configuración de su automóvil, su color, tipo de transmisión. A veces sucede que la parte distintiva es simplemente una secuencia de caracteres que corresponde a cada automóvil específico en la base de datos general del fabricante y no está descifrada en absoluto. Sin embargo, esto es lo que se puede decir con seguridad: el décimo carácter de cualquiera. Número de bastidor-código y el coche es el código de su año de fabricación. Las letras del alfabeto latino de la A a la Y corresponden a los años 1980 a 2000, respectivamente. Si el automóvil se fabricó entre 2001 y 2009, entonces Número de bastidor en el número, el décimo carácter será un número del 1 al 9. Todos los años posteriores, a partir de 2010, se designan nuevamente de acuerdo con letras latinas, comenzando con A.

Consejos útiles

Para ayudar a los entusiastas de los automóviles, existe una gran cantidad de organizaciones en Internet que ofrecen descifrar información general en el código VIN de forma gratuita.
Además, por una tarifa, las grandes organizaciones internacionales como Carfax y Autocheck pueden proporcionar información confiable sobre si el vehículo estuvo involucrado en un accidente de tránsito, dónde fue revisado, cuál es su kilometraje y otros datos. Es completamente legal y está diseñado para permitir a los entusiastas de los automóviles de todo el mundo conocer el historial de un automóvil usado antes de comprarlo.

Fuentes:

• vinilo del coche

El cifrado de carpetas es la forma más confiable de proteger la información proporcionada por el sistema operativo Windows. El usuario que ha cifrado el archivo puede trabajar con él de la misma forma que con otras carpetas, pero para garantizar el acceso a los datos cifrados, se requiere una copia de seguridad del certificado y la clave de cifrado.

Instrucciones

Llame al menú contextual de la carpeta o archivo a cifrar y vaya a "Propiedades".

Seleccione la pestaña "General" del cuadro de diálogo que se abre y seleccione "Avanzado".

Seleccione la casilla Cifrar contenido para proteger datos y haga clic en Aceptar para confirmar la operación de cifrado.

Desmarque la casilla de verificación Cifrar contenido para proteger datos y haga clic en Aceptar para confirmar la operación de descifrado para el archivo o carpeta seleccionado.

Presione Enter para confirmar el comando y expandir carpeta“Personal” haciendo clic en la flecha al lado.

Especifique la sección Certificados y seleccione el certificado que enumera el sistema de archivos EFS en Destinos.

Asegúrese de que el certificado seleccionado sea correcto desplazándose por sus detalles hacia la derecha y aplique este algoritmo a todos los certificados EFS existentes.

Seleccione "Todas las tareas" en el menú "Acción" en la barra de herramientas superior de la ventana de la aplicación y seleccione el comando "Exportar".

Confirme la contraseña del administrador de la computadora volviendo a ingresar el campo de confirmación y haga clic en "Siguiente" para crear el archivo de almacenamiento del certificado.

Especifique el nombre del archivo seleccionado y su ruta completa y haga clic en el botón "Finalizar".

Vídeo sobre el tema.

tenga en cuenta

Las carpetas y archivos comprimidos no se pueden cifrar.

Consejos útiles

Sólo se pueden cifrar archivos y carpetas ubicados en volúmenes NTFS.

Fuentes:

• Cifrar y descifrar carpetas y archivos en 2019

El sistema operativo Windows le permite configurar la opción de cifrado en los atributos. Entonces, el archivo sólo será legible por ese usuario, el que especifique como "agente de recuperación" o el usuario que tiene la "clave pública". Si es necesario cancelar en el futuro cifrado, también puedes hacer esto en la configuración del archivo o carpeta.

Inicie "Explorador": presione la combinación de teclas Win + E o seleccione "Computadora" en el menú principal del sistema operativo. Utilice el árbol de directorios en el panel izquierdo para navegar a la carpeta deseada.

Hay otra forma de acceder al archivo cifrado mediante el motor de búsqueda del sistema operativo. En Windows 7 y Vista, esto es muy fácil: presione la tecla Win y comience a escribir el nombre del archivo. Cuando aparezca un enlace al objeto deseado en la lista de resultados, haga clic derecho sobre él y seleccione "Ubicación del archivo".

Seleccione este archivo y haga clic derecho en el archivo o presione la tecla del menú contextual; se encuentra en el teclado entre los botones derechos Win y Ctrl. En ambos casos, aparecerá un menú contextual en la pantalla, en el que necesitará la última línea: "Propiedades". Selecciónelo en el menú y se abrirá una ventana separada con la configuración de propiedades del archivo.

La pestaña General (abierta de forma predeterminada) está dividida en secciones. En la parte inferior hay varias casillas de verificación relacionadas con los atributos del archivo y el botón "Otros": haga clic en él.

En la ventana Atributos de archivos adicionales, desmarque la casilla "Cifrar contenido para proteger los datos". Luego haga clic en los botones Aceptar en ambas ventanas abiertas y se completará la operación.

Cancelar si es necesario cifrado no para un solo archivo, sino para todos archivos En la carpeta debes actuar casi de la misma manera. Después de los primeros tres pasos, no seleccione el archivo, sino la carpeta deseada en el panel izquierdo del Explorador. El menú contextual con el elemento "Propiedades" para una carpeta, así como para un archivo, se abre haciendo clic con el botón derecho del mouse, y en la ventana de propiedades del objeto debe repetir los dos pasos anteriores.

Descifrar datos codificados utilizando software profesional requiere el mismo paquete de software o una enorme potencia informática e incluso programas más avanzados. Sin embargo, con mayor frecuencia se utilizan medios de codificación más accesibles y que son mucho más fáciles de decodificar.

Instrucciones

En la construcción web, se utiliza con mayor frecuencia el método más accesible de cifrado de datos: utilizar las funciones integradas de los lenguajes de programación. Entre los lenguajes del lado del servidor, el más común hoy en día es PHP, que utiliza la función base64_encode para el cifrado. Los datos codificados con él se pueden decodificar utilizando la función inversa: base64_decode. Si tiene la capacidad de ejecutar scripts PHP en su computadora o servidor web, cree este código simple:

Entre las comillas de la función base64_decode, coloque la cadena de datos que desea descifrar. Luego guarde el código en un archivo con la extensión php y abra esta página a través de un navegador; verá los datos descifrados en una página en blanco.

Si no puede ejecutar scripts PHP, utilice el formulario web en uno de los sitios de Internet; el enlace a la página requerida se proporciona a continuación. Copie y pegue los datos cifrados en el campo sobre el botón Decodificar Base 64. Después de hacer clic en este botón, aparecerá un campo adicional con datos descifrados; también puede copiarlos y utilizarlos a su discreción.

Si desconoce el método de cifrado, intente decodificar los datos utilizando uno de los programas que pueden probar múltiples algoritmos. Una de estas aplicaciones se llama “Stirlitz”, no requiere instalación y es bastante popular en Internet, por lo que encontrarla no será difícil. El programa intenta descifrar datos utilizando cinco algoritmos de cifrado.

Las últimas versiones de los sistemas operativos Windows le permiten cifrar todos los archivos en un disco determinado o en todos los medios informáticos. Si necesita decodificar datos de un archivo de este tipo, es mejor confiarlo al propio sistema operativo: desactive el cifrado en su configuración y Windows reescribirá todos los archivos con estos datos en sus versiones no cifradas. Para hacer esto, presione el botón Win, escriba y seleccione "BitLocker Drive Encryption" de la lista de resultados de búsqueda. Luego haga clic en el enlace "Desactivar BitLocker" al lado de la unidad deseada. Una vez que el sistema haya completado este comando, podrá abrir el archivo con datos previamente cifrados.

Fuentes:

• Formulario web para la función base64_decode

Cuando trabaje con documentos, es posible que necesite enviárselos a alguien a través de Internet (por ejemplo, por correo electrónico). Sin embargo, en algunos casos la importancia de la información que contienen no permite hacerlo de forma abierta. Por supuesto, la solución es el cifrado, que muchos asocian con algo lejano y complejo. Sin embargo, este problema se puede resolver fácilmente utilizando un programa de archivo de archivos gratuito, por ejemplo, 7-Zip, y usándolo para crear un archivo cifrado.

necesitarás

• -Internet;
• - Sistema operativo Microsoft Windows;
• - Programa de archivado 7-Zip.

Instrucciones

Descargar e instalar. Para cifrar un documento usando 7-Zip, primero debe instalarlo. Para hacer esto, vaya al sitio web http://7-zip.org/ (sección “Descargar”), seleccione la versión del programa adecuada para su computadora (32 o 64 bits) y descárguelo. Después de la descarga, ejecute el instalador del programa y siga sus instrucciones; esto no debería generarle ninguna pregunta.

Comprobar asociaciones de archivos. Después de la instalación, como regla general, 7-Zip no cambia la configuración del sistema operativo y no agrega su sección al menú contextual del Explorador. Para realizar estos cambios, debe abrir el menú Inicio, Programas, 7-Zip y seleccionar Administrador de archivos 7-Zip. En el menú principal, abra la sección “Herramientas” y seleccione “Configuración...”. A continuación, vaya a la pestaña "Sistema" y haga clic en "Seleccionar todo". Confirme los cambios haciendo clic en el botón "Aceptar" en la parte inferior de la ventana del programa.

Seleccionar archivo de documento. Puedes cifrar cualquier archivo, no importa su formato. Para hacer esto, abra el Explorador y busque el archivo que necesita. A continuación, haga clic derecho sobre él y seleccione "7-Zip", "Agregar al archivo..." en el menú que aparece.

Establezca la configuración y ejecute. En la ventana que se abre, puede configurar el nombre del archivo, la contraseña de apertura, configurar el cifrado del nombre del archivo y otras configuraciones. Tenga en cuenta que, de forma predeterminada, el cifrado de nombres está deshabilitado y no se especifica ninguna contraseña para el archivo. Una vez especificadas todas las configuraciones deseadas, puede comenzar a crear un archivo cifrado haciendo clic en el botón "Aceptar" en la ventana actual.

Espera hasta el final. La operación puede tardar algún tiempo en completarse, según el tamaño de los archivos que se cifran, la relación de compresión y otras configuraciones configuradas. Al finalizar, aparecerá un archivo con el nombre especificado previamente junto a los archivos cifrados.