Кризис миновал: скажем до свидания шифровальщику Crysis
Утилита “Лаборатории Касперского” дает возможность расшифровать файлы, зашифрованные трояном Crysis
В феврале 2016 года появилась новая разновидность троянов-шифровальщиков. Имя этой заразы довольно точно описывает, что чувствуют люди, ставшие жертвой вымогателя. Она называется Crysis, то есть «кризис».
По нашим данным, за последние девять месяцев на долю Crysis пришлось около 1,15% всех атак шифровальщиков, что, в общем-то, не так уж и мало. Этот зловред занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами трояна-шифровальщика в основном стали жители России, Японии, Южной Кореи и Бразилии.
Собственно говоря, жертвы могут перестать грустить и начать радоваться, поскольку на днях был опубликован набор ключей для расшифровки файлов, зашифрованных Crysis. Сразу же после появления ключей наши эксперты создали бесплатную утилиту-декриптор, которая позволяет расшифровать файлы.
«Мы рады анонсировать, что нам удалось найти лекарство от еще одного вымогателя. Бесплатную утилиту «Лаборатории Касперского» для расшифровки файлов, зашифрованных Crysis, можно скачать здесь«, — комментирует Антон Иванов, старший аналитик «Лаборатории Касперского».
Хакеры-вымогатели очень похожи на обычных шантажистов. Как в реальном мире, так и в кибер-среде есть единичный или групповой объект атаки. Его либо крадут либо делают недоступным. Далее преступники используют определенные средства коммуникации с жертвами для передачи своих требований. Компьютерные мошенники обычно выбирают всего несколько форматов для письма с требованием выкупа, но его копии можно обнаружить практически в любом участке памяти инфицированной системы. В случае семьи шпионского ПО, известного как Troldesh или Shade, при контакте с жертвой аферисты практикуют особый подход.
Рассммотрим поближе этот штамм вируса-шифровальщика, который ориентирован на русскоязычную аудиторию. Большинство аналогичных инфекций определяет раскладку клавиатуры на атакуемом ПК, и если одним из языков является русский, вторжение прекращается. Однако вирус-вымогатель XTBL неразборчив: к несчастью для пользователей, атака разворачивается независимо от их географического местоположения и языковых предпочтений. Наглядным воплощением такой универсальности является предупреждение, которое появляется в виде фона рабочего стола, а также ТХТ файла с инструкцией по уплате выкупа.
Рабочий стол пользователя, ПК которого заражен вирусом XTBL
Рабочий стол пользователя, ПК которого заражен вирусом XTBL
Вирус XTBL обычно распространяется через спам. Сообщения напоминают письма известных брендов, или просто бросаются в глаза, поскольку в теме сообщения используются такие выражения, как «Срочно!» или «Важные финансовые документы». Фишинговая уловка сработает, когда получатель такого эл. сообщения загрузит ZIP-файл, содержащий код JavaScript, или объект Docm с потенциально уязвимым макросом.
“Инструкция по расшифровке” файл readme3 вируса xtbl
“Инструкция по расшифровке” файл readme3 вируса xtbl
Очевидно, злоумышленники, внедрив адреса эл. почты непосредственно в названия фалов, указывают жертвам способ коммуникации. Электронная почта также указана в другом месте, а именно в письме-требовании выкупа, которое содержится в файле “Readme.txt”. Такие Notepad-документы появятся на Рабочем столе, а также во всех папках с закодированными данными. Ключевой посыл состоит в следующем:
“Все файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: [Ваш уникальный шифр] на электронный адрес decode00001@gmail.com or decode00002@gmail.com. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации”
Электронный адрес может меняться в зависимости от распространяющей вирус группы шантажистов.
Удалить вирус-шифровальщик XTBL с помощью автоматического чистильщика
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.
Как было отмечено, программа-вымогатель XTBL блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Дешифратор – программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Использовать инструмент “Теневой проводник” ShadowExplorer
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний