В сети появился опасный вирус-шифровальщик, который меняет формат фотографий, музыки и т.д. на .xtbl, а вместо названия, случайное сочетание букв и цифр.
Вот так это выглядит (мой личный скриншот):
Как проверить, есть ли у меня этот вирус?
1.Ну конечно же проверить мультимедийные файлы (фото, видео, музыку)
2. Зайти на любой диск, и посмотреть наличие txt файлов с названием «README1», «README2» и т.д.
3. Бывает несколько разновидностей: 1-й, это тупо наличие txt файлов из второго пункта, и непосредственно зашифрованных файлов, 2-й, имеет те же признаки, но и сменяется картинка рабочего стола на эту:
Можно ли расшифровать файлы?
Ответ — НЕТ!
И не пытайтесь, зря угробите до конца файлы.
Дешифровщика также нет, ответы от DrWeB и Лаборатории Касперского читайте в конце статьи.
А какая выгода создателям вируса?
О, это хороший вопрос, дело в том, что в тех самых «README.txt», и указано, как расшифровать файлы, а именно, будет указан e-mail и код, который нужно будет отправить туда.
Дальше придут инструкции по дешифровке, а именно, она будет стоить5 тысяч рублей, 2015.03.29 вымогатели увеличили стоимость расшифровки — 15000 рублей!
И то, не факт, что ваши файлы будут расшифрованы, та что, ни в коем случае, не отправляйте деньги!
Как не подхватить вирус?
1. Установите антивирус;
2. Установите программы, которые блокируют рекламу;
3. Меньше используйте файлoобменники, по типу turbobit и других, где полно рекламы;
4. Не заходите на подозрительные сайты.
Ответы от Компаний:
Ответ лаборатории Касперского:
Ответ от антивирусной лаборатории Drweb:
Ответ от Microsoft:
Вот так это выглядит (мой личный скриншот):
Как проверить, есть ли у меня этот вирус?
1.Ну конечно же проверить мультимедийные файлы (фото, видео, музыку)
2. Зайти на любой диск, и посмотреть наличие txt файлов с названием «README1», «README2» и т.д.
3. Бывает несколько разновидностей: 1-й, это тупо наличие txt файлов из второго пункта, и непосредственно зашифрованных файлов, 2-й, имеет те же признаки, но и сменяется картинка рабочего стола на эту:
Можно ли расшифровать файлы?
Ответ — НЕТ!
И не пытайтесь, зря угробите до конца файлы.
Дешифровщика также нет, ответы от DrWeB и Лаборатории Касперского читайте в конце статьи.
А какая выгода создателям вируса?
О, это хороший вопрос, дело в том, что в тех самых «README.txt», и указано, как расшифровать файлы, а именно, будет указан e-mail и код, который нужно будет отправить туда.
Дальше придут инструкции по дешифровке, а именно, она будет стоить
И то, не факт, что ваши файлы будут расшифрованы, та что, ни в коем случае, не отправляйте деньги!
Как не подхватить вирус?
1. Установите антивирус;
2. Установите программы, которые блокируют рекламу;
3. Меньше используйте файлoобменники, по типу turbobit и других, где полно рекламы;
4. Не заходите на подозрительные сайты.
Ответы от Компаний:
Ответ лаборатории Касперского:
Файлы зашифрованы Trojan-Ransom.Win32.Shade. Для шифрования он использует криптографически стойкий алгоритм, поэтому расшифровка данных, к сожалению, не представляется возможной.
Если нет заранее созданных резервный копий пострадавших файлов, можно попробовать воспользоваться встроенным в Windows механизмом «предыдущие версии файлов»: windows.microsoft.com/ru-ru/windows/previous-versions-files-faq
Ответ от антивирусной лаборатории Drweb:
Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования.
Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно.
Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим.
>Какие действия необходимо произвести чтобы данного заражения не происходило?
К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности «энкодеров».
Это если говорить об антивирусах.
Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами.
Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных.
Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования:
в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.
Общая рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: legal.drweb.com/templates
Ответ от Microsoft:
Отправлять средства на счета злоумышленников не рекомендуется, так как всё равно никто не гарантирует, что после уплаты выкупа ваши файлы будут расшифрованы.
Вымогательство с применением вирусов–шифровальщиков получило значительное распространение в последние пару лет по всему миру. Последние версии этих вирусов используют стойкие алгоритмы шифрования. Без доступа к серверам злоумышленников получить ключ для расшифровки практически невозможно. Для борьбы с этим видом вымогательства нужны действия, которые выходят за рамки чисто IT-технологий.
Рекомендую Вам обратиться в территориальное управление «K» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений есть на сайте DrWeb на странице, посвящённой этой проблеме.
legal.drweb.com/templates
st.drweb.com/static/new-www/legal/tmpl_statement_Encoder.doc
Форум по теме вирус-шифровальщик xtbl: