Les chiffreurs (cryptolockers) désignent une famille de programmes malveillants qui, à l'aide de divers algorithmes de chiffrement, bloquent l'accès des utilisateurs aux fichiers d'un ordinateur (connus, par exemple, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, etc.).

En règle générale, le virus crypte les types courants de fichiers utilisateur : documents, feuilles de calcul, bases de données 1C, tableaux de données, photographies, etc. Le décryptage des fichiers est proposé contre de l'argent - les créateurs exigent le transfert d'un certain montant, généralement en bitcoins. Et si l'organisation n'a pas pris les mesures appropriées pour assurer la sécurité une information important, transférer le montant requis aux attaquants peut être le seul moyen de restaurer les fonctionnalités de l’entreprise.

Dans la plupart des cas, le virus se propage par e-mail se faisant passer pour tout à fait lettres régulières: notification du bureau des impôts, actes et accords, informations sur les achats, etc. En téléchargeant et en ouvrant un tel fichier, l'utilisateur, sans s'en rendre compte, commence code malicieux. Le virus chiffre systématiquement fichiers nécessaires, et supprime également les instances d'origine à l'aide de méthodes de destruction garanties (afin que l'utilisateur ne puisse pas récupérer les fichiers récemment supprimés à l'aide d'outils spéciaux).

Rançongiciel moderne

Les ransomwares et autres virus qui bloquent l'accès des utilisateurs aux données ne sont pas un problème nouveau dans le monde. sécurité des informations. Les premières versions sont apparues dans les années 90, mais elles utilisaient principalement un cryptage soit « faible » (algorithmes instables, petite taille de clé) soit symétrique (les fichiers d'un grand nombre de victimes étaient cryptés avec une seule clé ; il était également possible de récupérer la clé en étudiant le code du virus), ou encore ont inventé leurs propres algorithmes. Les copies modernes ne présentent pas de tels inconvénients ; les attaquants utilisent le cryptage hybride : à l'aide d'algorithmes symétriques, le contenu des fichiers est crypté à très grande vitesse et la clé de cryptage est cryptée avec un algorithme asymétrique. Cela signifie que pour décrypter les fichiers, vous avez besoin d'une clé que seul l'attaquant possède ; elle ne peut pas être trouvée dans le code source du programme. Par exemple, CryptoLocker utilise l'algorithme RSA avec une longueur de clé de 2048 bits en combinaison avec l'algorithme AES symétrique avec une longueur de clé de 256 bits. Ces algorithmes sont actuellement reconnus comme crypto-résistants.

L'ordinateur est infecté par un virus. Ce qu'il faut faire?

Il convient de garder à l’esprit que même si les virus ransomware utilisent des algorithmes de cryptage modernes, ils ne sont pas capables de crypter instantanément tous les fichiers d’un ordinateur. Le cryptage s'effectue de manière séquentielle, la vitesse dépend de la taille des fichiers cryptés. Par conséquent, si vous constatez en travaillant que vos fichiers et programmes habituels ne s'ouvrent plus correctement, vous devez immédiatement arrêter de travailler sur l'ordinateur et l'éteindre. De cette façon, vous pouvez protéger certains fichiers du cryptage.

Une fois que vous rencontrez un problème, la première chose à faire est de vous débarrasser du virus lui-même. Nous ne nous attarderons pas là-dessus en détail, il suffit d'essayer de guérir votre ordinateur à l'aide de programmes antivirus ou de supprimer le virus manuellement. Il convient seulement de noter que le virus s'autodétruit souvent une fois l'algorithme de cryptage terminé, ce qui rend difficile le décryptage des fichiers sans demander de l'aide aux attaquants. Dans ce cas, le programme antivirus peut ne rien détecter.

La question principale est de savoir comment récupérer les données cryptées ? Malheureusement, récupérer des fichiers après un virus ransomware est presque impossible. Au moins une garantie récupération complète En cas d’infection réussie, personne n’aura de données. De nombreux fabricants d'antivirus proposent leur aide pour décrypter les fichiers. Pour ce faire, vous devez envoyer un fichier crypté et Informations Complémentaires(fichier avec les contacts des attaquants, clé publique) via des formulaires spéciaux mis en ligne sur les sites Internet des fabricants. Il y a une petite chance qu'un moyen de lutter contre un virus particulier ait été trouvé et que vos fichiers soient décryptés avec succès.

Essayez d'utiliser les utilitaires de récupération fichiers supprimés. Il est possible que le virus n'ait pas utilisé de méthodes de destruction garanties et que certains fichiers puissent être récupérés (cela peut notamment fonctionner avec des fichiers volumineux, par exemple avec des fichiers de plusieurs dizaines de gigaoctets). Il existe également une possibilité de récupérer des fichiers à partir de clichés instantanés. Lors de l'utilisation des fonctions de récupération Systèmes Windows crée des instantanés pouvant contenir des données de fichier pendant la durée de la création du point de récupération.

Si vos données ont été cryptées dans services cloud, contactez le support technique ou explorez les capacités du service que vous utilisez : dans la plupart des cas, les services fournissent une fonction de « rollback » pour Versions précédentes fichiers afin qu'ils puissent être récupérés.

Ce que nous vous déconseillons fortement de faire, c'est de suivre l'exemple des ransomwares et de payer pour le décryptage. Il y a eu des cas où des gens ont donné de l'argent et n'ont pas reçu les clés. Personne ne garantit que les attaquants, après avoir reçu l'argent, enverront réellement la clé de cryptage et que vous pourrez restaurer les fichiers.

Comment vous protéger contre un virus ransomware. Mesures préventives

Il est plus facile de prévenir les conséquences dangereuses que de les corriger :

• Utilisez des outils antivirus fiables et mettez régulièrement à jour les bases de données antivirus. Cela semble trivial, mais cela réduira considérablement la probabilité mise en œuvre réussie virus sur votre ordinateur.
• Conservez des copies de sauvegarde de vos données.

Il est préférable de le faire en utilisant des outils spécialisés Copie de réserve. La plupart des cryptolockers sont également capables de chiffrer les copies de sauvegarde. Il est donc logique de stocker les copies de sauvegarde sur d'autres ordinateurs (par exemple, sur des serveurs) ou sur des supports aliénés.

Limiter les autorisations pour modifier les fichiers dans les dossiers avec copies de sauvegarde, permettant uniquement un enregistrement supplémentaire. Outre les conséquences des ransomwares, les systèmes de sauvegarde neutralisent de nombreuses autres menaces liées à la perte de données. La propagation du virus démontre une fois de plus la pertinence et l’importance du recours à de tels systèmes. Récupérer des données est bien plus simple que de les décrypter !

• Limitez l’environnement logiciel dans le domaine.

Un de plus façon efficace La solution consiste à restreindre le lancement de certains types de fichiers potentiellement dangereux, par exemple avec les extensions .js, .cmd, .bat, .vba, .ps1, etc. Cela peut être fait à l'aide de l'outil AppLocker (dans les éditions Enterprise) ou politiques SRP est centralisé dans le domaine. Il y en a pas mal sur le net guides détaillés, comment faire. Dans la plupart des cas, l’utilisateur n’aura pas besoin d’utiliser les fichiers de script répertoriés ci-dessus et le ransomware aura moins de chances de s’infiltrer avec succès.

• Fais attention.

La pleine conscience est l’une des méthodes les plus efficaces pour prévenir les menaces. Méfiez-vous de chaque lettre que vous recevez de personnes inconnues. Ne vous précipitez pas pour ouvrir toutes les pièces jointes, en cas de doute, il est préférable de contacter l'administrateur avec une question.

Alexandre Vlassov, ingénieur senior du département de mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur

Aujourd’hui, les virus eux-mêmes ne surprennent presque personne. Si auparavant ils affectaient l’ensemble du système, il existe aujourd’hui différents types de virus. Un de ces types est un virus ransomware. La menace de pénétration affecte davantage d’informations sur les utilisateurs. Cependant, il peut constituer une menace plus grande que les applications exécutables destructrices et les applets de logiciels espions. Qu'est-ce qu'un virus ransomware ? Le code lui-même, qui est écrit dans un virus autocopiant, implique le cryptage de toutes les informations utilisateur avec des algorithmes cryptographiques spéciaux qui n'affectent pas fichiers système le système d'exploitation lui-même.

La logique derrière l’impact du virus n’est peut-être pas claire pour tout le monde. Tout est devenu clair lorsque les pirates qui ont développé ces applets ont commencé à exiger une certaine somme d'argent pour restaurer la structure originale des fichiers. Dans le même temps, le chiffreur qui a pénétré dans le système ne permet pas le décryptage des fichiers. Pour ce faire, vous aurez besoin d'un décrypteur spécial, ou en d'autres termes, d'un algorithme spécial avec lequel vous pourrez restaurer le contenu.

Encryptor : le principe de pénétration dans les systèmes et le fonctionnement du virus

Il est généralement assez difficile de détecter une telle infection sur Internet. Fondamentalement, ce type de virus se transmet par courrier électronique au niveau des clients installés sur un terminal informatique, tels que Bat, Outlook, Thunderbird. Il convient de noter d’emblée que cela ne s’applique pas aux serveurs de messagerie Internet car ils disposent d’un degré de protection assez élevé. L'accès aux informations utilisateur s'effectue uniquement au niveau stockage en ligne information. Une application sur un terminal informatique spécifique est une tout autre affaire.

Le domaine d'activité pour le développement de virus est si vaste qu'il est difficile de l'imaginer. Cependant, une petite mise en garde s’impose ici. Dans la plupart des cas, les cibles des virus sont les grandes organisations et entreprises qui pourront payer une somme importante pour le décryptage. informations personnelles. C'est clair, car sur les terminaux informatiques et les serveurs des sociétés informatiques, il est stocké information confidentielle et les fichiers en un seul exemplaire, qui ne doit en aucun cas être supprimé. Dans ce cas, le décryptage des fichiers après l’action d’un virus ransomware peut s’avérer assez problématique. Bien entendu, un utilisateur ordinaire peut également être soumis à une telle attaque, bien que cela soit peu probable, surtout si l'utilisateur suit les recommandations les plus simples pour travailler avec des pièces jointes d'un type inconnu.

Même si client de messagerie définit les pièces jointes, par exemple, comme des fichiers avec l'extension .jpg ou une autre extension graphique, alors il est préférable de vérifier d'abord ce fichier antivirus standard utilisé dans le système. Si vous ne le faites pas, après avoir ouvert le fichier joint en double-cliquant, le code d'activation peut démarrer et le processus de cryptage commencera. Après cela, il sera impossible de supprimer le virus ransomware lui-même et de restaurer les fichiers une fois la menace éliminée.

Conséquences générales de l'exposition à un virus ransomware

Comme mentionné précédemment, la plupart des virus pénètrent dans le système par courrier électronique. Supposons qu'une grande organisation reçoive une lettre avec un contenu tel que « Le contrat a été modifié, un scan est joint à la lettre » ou « Une facture pour l'expédition de marchandises vous a été envoyée ». Un employé de l'entreprise sans méfiance ouvre simplement le fichier ci-joint et ensuite tout fichiers utilisateur sont instantanément cryptés. Ce sont tous les fichiers de documents de bureau, aux archives et au multimédia. Toutes les données importantes sont cryptées, et si le terminal informatique est connecté à réseau local, le virus peut alors se transmettre davantage, cryptant les données sur d'autres machines.

La mise en œuvre de ce procédé se remarque par le ralentissement et le gel des programmes exécutés sur le terminal informatique en ce moment. Une fois le processus de cryptage terminé, le virus envoie une sorte de rapport, après quoi l'organisation recevra un message indiquant qu'une menace a pénétré dans le système et, afin de décrypter les fichiers, il est nécessaire de contacter le développeur du virus. En règle générale, il s'agit d'un virus [email protégé]. Il faudra ensuite payer pour les services de décryptage. Il sera demandé à l’utilisateur d’envoyer plusieurs fichiers cryptés vers un email très probablement fictif.

Dommages causés par le virus

Si vous n'avez pas encore complètement compris l'essence du problème, il convient de noter que le décryptage des fichiers après l'action d'un virus ransomware est un processus plutôt laborieux. Si l’utilisateur ne se conforme pas aux exigences des attaquants, mais essaie d’impliquer les agences gouvernementales dans la lutte contre la criminalité informatique, il n’en sortira rien de significatif. Si vous essayez de supprimer toutes les données de votre ordinateur, puis effectuez une restauration du système et copiez les informations d'origine à partir d'un support amovible, toutes les informations seront toujours recryptées. Il ne faut donc pas trop se leurrer à ce sujet. De plus, lorsque vous insérez une clé USB dans port USB l'utilisateur ne remarquera même pas que le virus cryptera toutes les données le concernant. Il y aura alors encore plus de problèmes.

Le premier virus rançongiciel

Voyons quel était le premier virus ransomware. Au moment de son apparition, personne ne pensait à la manière de désinfecter ou de décrypter les fichiers après avoir été exposé au code exécutable contenu dans une pièce jointe à un e-mail. Ce n’est qu’avec le temps que l’on a pris conscience de l’ampleur du désastre. Le premier virus ransomware portait le nom plutôt romantique « I Love You ». Un utilisateur peu méfiant ouvrirait simplement une pièce jointe à un e-mail et se retrouverait avec des fichiers multimédias (vidéo, graphiques et audio) totalement illisibles. De telles actions semblaient plus destructrices, mais à cette époque, personne n'exigeait d'argent pour décrypter les données.

Dernières modifications

L'évolution de la technologie est devenue une activité assez rentable, d'autant plus que de nombreux dirigeants de grandes entreprises sont pressés de payer le montant requis aux attaquants dans les plus brefs délais, sans même penser au fait qu'ils pourraient se retrouver sans argent. et sans les informations nécessaires. Il ne faut pas croire tous ces messages de gauche sur Internet, comme « J'ai payé le montant requis, ils m'ont envoyé un décrypteur et toutes les informations ont été restaurées ». Tout cela n’a aucun sens. La plupart du temps, ces critiques sont rédigées par les développeurs de virus eux-mêmes afin d'attirer des victimes potentielles. Selon les normes des utilisateurs ordinaires, les sommes exigées par les attaquants pour le décryptage des données sont assez importantes. Cela peut atteindre plusieurs milliers de dollars ou d’euros. Voyons maintenant quelles sont les fonctionnalités les derniers virus d'un tel type. Tous sont similaires les uns aux autres et peuvent appartenir non seulement à la catégorie des virus de cryptage, mais aussi à ce qu'on appelle la catégorie des ransomwares. Dans certains cas, ils agissent tout à fait correctement, envoyant à l’utilisateur des messages indiquant que quelqu’un souhaite veiller à la sécurité des informations de l’organisation ou de l’utilisateur. Un tel virus chiffrant induit simplement les utilisateurs en erreur avec ses messages. Cependant, si l’utilisateur paie le montant requis, il se fera tout simplement arnaquer.

Virus XTBL

Le virus XTBL, apparu relativement récemment, peut être classé comme un type classique de virus ransomware. Ces objets entrent généralement dans le système via des messages envoyés par courrier électronique. Les messages peuvent contenir des pièces jointes avec l'extension .scr. Cette extension est standard pour l'économiseur d'écran Windows. L'utilisateur pense que tout va bien et active la visualisation ou enregistre la pièce jointe. Cette opération peut avoir des conséquences assez désastreuses. Les noms de fichiers sont convertis en un simple jeu de caractères. La combinaison .xtbl est ajoutée à l'extension du fichier principal. Après cela, un message est envoyé à l'adresse souhaitée concernant la possibilité de décryptage après avoir payé un certain montant.

Ce type de virus peut également être classé parmi les ransomwares classiques. Il apparaît dans le système après l'ouverture des pièces jointes aux e-mails. Ce virus renomme également les fichiers de l'utilisateur et ajoute une combinaison comme .perfect et .nonchance à la fin de l'extension. Malheureusement, il n’est pas possible de décrypter un virus ransomware de ce type. Après avoir terminé toutes les actions, il s’autodétruit simplement. Même ça n'aide pas remède universel, comme RectorDecryptor. L'utilisateur reçoit une lettre exigeant le paiement. L'utilisateur dispose de deux jours pour payer.

Virus Breaking_Bad

Ce type de menace fonctionne selon un schéma familier. Il renomme les fichiers de l'utilisateur en ajoutant la combinaison .breaking_bad à l'extension. Mais l’affaire ne s’arrête pas là. Contrairement à d’autres ransomwares, ce virus peut créer une autre extension : Heisenberg. Il est donc assez difficile de retrouver tous les fichiers infectés. Il convient également de dire que le virus Breaking_Bad constitue une menace assez sérieuse. Il arrive parfois que même le programme antivirus sous licence Kaspersky_Endpoint Security passe à côté d'une telle menace.

Virus [email protégé]

Virus [email protégé] représente une autre menace assez sérieuse, qui vise principalement les grandes organisations commerciales. Habituellement, certains services de l'entreprise reçoivent un email contenant un fichier .jpg ou .js. Comment décrypter un virus de ce type ? À en juger par le fait que l'algorithme RSA-1024 y est utilisé, ce n'est pas possible. D’après le nom de l’algorithme, nous pouvons supposer qu’il utilise un système de cryptage de 1024 bits. Aujourd'hui, le système 256 bits est considéré comme le plus avancé.

Virus Ransomware : pouvez-vous décrypter des fichiers à l’aide d’un logiciel antivirus ?

Aucun moyen de décrypter les fichiers après avoir été exposés à ce type de menace n’a encore été trouvé. Même des maîtres aussi reconnus dans le domaine protection antivirus, comme Dr Web, Kaspersky, Eset ne trouvent pas la clé pour résoudre le problème. Comment désinfecter les fichiers dans ce cas ? En règle générale, il est demandé à l’utilisateur d’envoyer au site Web du développeur programme antivirus demande officielle. Dans ce cas, il est nécessaire de joindre plusieurs fichiers cryptés et leurs originaux, le cas échéant. Aujourd'hui, peu d'utilisateurs magasinent sur média amovible copies de données. Le problème de leur absence ne peut qu’aggraver une situation déjà désagréable.

Supprimer la menace manuellement : méthodes possibles

Dans certains cas, l'analyse avec des programmes antivirus conventionnels identifie ces objets malveillants et élimine même ces menaces. Mais que faire des informations cryptées ? Certains utilisateurs essaient d'utiliser des programmes de décryptage. Il convient de noter d'emblée que ces actions ne mèneront à rien de bon. Dans le cas du virus Breaking_Bad, cela peut même être dangereux. Le fait est que les attaquants qui créent de tels virus tentent de se protéger et de donner une leçon aux autres. Lors de l'utilisation d'utilitaires de décryptage, un virus peut réagir de telle manière que l'ensemble du système d'exploitation plante et en même temps détruit complètement toutes les informations stockées sur les partitions logiques et disques durs. Notre seul espoir réside dans les laboratoires antivirus officiels.

Voies radicales

Si les choses vont vraiment mal, alors vous pouvez formater Disque dur, y compris les partitions virtuelles, puis réinstallez système opérateur. Malheureusement, il n’y a pas encore d’autre issue. Restaurer le système jusqu'à un certain point de restauration n'aidera pas à résoudre la situation. En conséquence, le virus peut disparaître, mais les fichiers resteront cryptés.

Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?

Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.

Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le ransomware « s’installe » dossier système Système32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.

Le ransomware se déguise souvent en images ordinaires, fichiers texte , mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.

Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.

Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors parlons-en Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.

Protéger Windows contre les ransomwares 2017 – règles de base :

• Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
• mise à jour des bases antivirus et des pare-feu à la demande
• une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
• Sauvegarde des informations importantes sur un support amovible.

Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.

En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».

Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.

À l'heure actuelle, le moyen le plus efficace de récupérer les données perdues est de contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, envoyez un courrier ou utilisez le formulaire pour retour sur le site du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.

Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à formatage complet disque dur, ce qui implique un changement complet d'OS. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.

Aujourd'hui, les utilisateurs d'ordinateurs et d'ordinateurs portables sont de plus en plus confrontés à malware, en remplaçant les fichiers par leurs copies cryptées. Ce sont essentiellement des virus. Le ransomware XTBL est considéré comme l'un des plus dangereux de cette série. Qu’est-ce que ce parasite, comment pénètre-t-il dans l’ordinateur de l’utilisateur et est-il possible de restaurer les informations endommagées ?

Qu'est-ce qu'un chiffreur XTBL et comment il pénètre dans un ordinateur

Si vous trouvez sur votre ordinateur ou ordinateur portable des fichiers portant un nom long et l'extension .xtbl, vous pouvez affirmer en toute confiance que le système a été virus dangereux- Chiffreur XTBL. Cela affecte toutes les versions du système d’exploitation Windows. Il est presque impossible de décrypter de tels fichiers par vous-même, car le programme utilise un mode hybride dans lequel la sélection d'une clé est tout simplement impossible.

Les répertoires système sont remplis de fichiers infectés. Les enregistrements sont ajoutés à Registre Windows, lançant automatiquement le virus à chaque démarrage du système d'exploitation.

Presque tous les types de fichiers sont cryptés : graphiques, textes, archives, courrier électronique, vidéo, musique, etc. Il devient impossible de travailler sous Windows.

Comment ça marche? Le chiffreur XTBL lancé sous Windows analyse d'abord tout lecteurs logiques. Cela inclut les stockages cloud et réseau situés sur l'ordinateur. De ce fait, les fichiers sont regroupés par extension puis cryptés. Ainsi, toutes les informations précieuses situées dans les dossiers de l’utilisateur deviennent inaccessibles.

C'est l'image que l'utilisateur verra à la place des icônes avec les noms de fichiers familiers

Sous l'influence du chiffreur XTBL, l'extension du fichier change. Désormais, l'utilisateur voit une icône de feuille vierge et un long titre se terminant par .xtbl au lieu d'une image ou d'un texte dans Word. De plus, un message apparaît sur le bureau, sorte d'instruction de restauration des informations cryptées, vous obligeant à payer pour le déverrouillage. Ce n’est rien d’autre qu’un chantage à la rançon.

Ce message s'affiche dans la fenêtre "bureau" de l'ordinateur

Le ransomware XTBL est généralement distribué par courrier électronique. L'e-mail contient des fichiers joints ou des documents infectés par un virus. L'escroc attire l'utilisateur avec un titre coloré. Tout est fait pour que le message, qui dit que vous avez par exemple gagné un million, soit ouvert. Ne répondez pas à de tels messages, sinon le risque est élevé que le virus se retrouve dans votre système d'exploitation.

Est-il possible de récupérer des informations ?

Vous pouvez essayer de décrypter les informations à l'aide d'utilitaires spéciaux. Cependant, rien ne garantit que vous serez en mesure de vous débarrasser du virus et de restaurer les fichiers endommagés.

Actuellement, le ransomware XTBL constitue une menace indéniable pour tous les ordinateurs exécutant le système d'exploitation Windows. Même les leaders reconnus dans la lutte contre les virus - Dr.Web et Kaspersky Lab - n'ont pas de solution à 100 % à ce problème.

Supprimer un virus et restaurer des fichiers cryptés

Manger différentes méthodes et des programmes qui vous permettent de travailler avec le chiffreur XTBL. Certains suppriment le virus lui-même, d'autres tentent de décrypter les fichiers verrouillés ou de restaurer leurs copies précédentes.

Arrêter une infection informatique

Si vous avez la chance de remarquer que des fichiers portant l'extension .xtbl commencent à apparaître sur votre ordinateur, il est alors tout à fait possible d'interrompre le processus d'infection ultérieure.

Kaspersky Virus Removal Tool pour supprimer le ransomware XTBL

Tous ces programmes doivent être ouverts dans un système d'exploitation préalablement lancé en mode sans échec avec la possibilité de charger des pilotes réseau. Dans ce cas, il est beaucoup plus facile de supprimer le virus, car le nombre minimum de processus système requis pour démarrer Windows est connecté.

Pour le chargement mode sans échec dans Windows XP, 7, lors du démarrage du système, appuyez constamment sur la touche F8 et après l'apparition de la fenêtre de menu, sélectionnez l'élément approprié. À en utilisant Windows 8, 10, vous devez redémarrer le système d'exploitation tout en maintenant la touche Maj enfoncée. Pendant le processus de démarrage, une fenêtre s'ouvrira dans laquelle vous pourrez sélectionner l'option de démarrage sécurisé requise.

Sélection du mode sans échec avec chargement des pilotes réseau

Programme antivirus Kaspersky Outil de suppression Il reconnaît parfaitement le ransomware XTBL et supprime ce type de virus. Exécutez une analyse de l'ordinateur en cliquant sur le bouton approprié après avoir téléchargé l'utilitaire. Une fois l'analyse terminée, supprimez tous les fichiers malveillants trouvés.

Exécuter une analyse de l'ordinateur pour détecter la présence du ransomware XTBL dans le système d'exploitation Windows, puis supprimer le virus

Dr.Web CureIt!

L'algorithme de vérification et de suppression d'un virus n'est pratiquement pas différent de la version précédente. Utilisez l'utilitaire pour analyser tous les lecteurs logiques. Pour ce faire, il vous suffit de suivre les commandes du programme après l'avoir lancé. À la fin du processus, débarrassez-vous des fichiers infectés en cliquant sur le bouton « Décontaminer ».

Neutralisation fichiers malveillants après avoir analysé Windows

Malwarebytes Anti-Malware

Le programme effectuera une vérification étape par étape de votre ordinateur pour détecter la présence de codes malveillants et les détruira.

1. Installez et exécutez l'utilitaire anti-malware.
2. Sélectionnez « Exécuter l'analyse » en bas de la fenêtre qui s'ouvre.
3. Attendez la fin du processus et cochez les cases avec les fichiers infectés.
4. Supprimez la sélection.

Suppression des fichiers malveillants du ransomware XTBL détectés lors de l'analyse

Script de décryptage en ligne de Dr.Web

Sur le site officiel de Dr.Web, dans la section support, il y a un onglet avec un script pour le décryptage des fichiers en ligne. Veuillez noter que seuls les utilisateurs disposant de l’antivirus de ce développeur installé sur leur ordinateur pourront utiliser le décrypteur en ligne.

Lisez les instructions, remplissez tout ce qui est requis et cliquez sur le bouton « Soumettre »

Utilitaire de décryptage RectorDecryptor de Kaspersky Lab

Kaspersky Lab décrypte également les fichiers. Sur le site officiel, vous pouvez télécharger l'utilitaire RectorDecryptor.exe pour les versions Windows Vista, 7, 8, en suivant les liens du menu « Support – Traitement et décryptage des fichiers – RectorDecryptor – Comment décrypter les fichiers ». Exécutez le programme, effectuez une analyse, puis supprimez les fichiers cryptés en sélectionnant l'option appropriée.

Analyse et décryptage des fichiers infectés par le ransomware XTBL

Restauration de fichiers cryptés à partir d'une sauvegarde

Commençant par Versions Windows 7, vous pouvez essayer de restaurer des fichiers à partir de sauvegardes.

ShadowExplorer pour récupérer des fichiers cryptés

Le programme est une version portable, il peut être téléchargé depuis n'importe quel support.

QPhotoRec

Le programme est spécialement créé pour récupérer les fichiers endommagés et supprimés.À l'aide d'algorithmes intégrés, l'utilitaire recherche et revient à l'état original toutes les informations perdues.

QPhotoRec est gratuit.

Malheureusement, il n'existe qu'une version anglaise de QPhotoRec, mais comprendre les paramètres n'est pas difficile du tout, l'interface est intuitive.

1. Exécutez le programme.
2. Marquez les disques logiques avec des informations cryptées.
3. Cliquez sur le bouton Formats de fichiers et OK.
4. Sélectionnez à l'aide du bouton Parcourir situé en bas fenêtre ouverte, l'emplacement où enregistrer les fichiers et démarrez la procédure de récupération en cliquant sur Rechercher.

QPhotoRec récupère les fichiers supprimés par le ransomware XTBL et remplacés par ses propres copies

Comment décrypter des fichiers - vidéo

Ce qu'il ne faut pas faire

1. N'entreprenez jamais d'actions dont vous n'êtes pas complètement sûr. Il est préférable d'inviter un expert de centre de services ou apportez-y vous-même votre ordinateur.
2. N'ouvrez pas les e-mails provenant d'expéditeurs inconnus.
3. Vous ne devez en aucun cas suivre l’exemple des maîtres chanteurs en acceptant de leur transférer de l’argent. Très probablement, cela ne donnera aucun résultat.
4. Ne renommez pas manuellement les extensions des fichiers cryptés et ne vous précipitez pas pour réinstaller Windows. Il sera peut-être possible de trouver une solution qui corrigera la situation.

La prévention

Essayez d'installer une protection fiable contre la pénétration du ransomware XTBL et des virus ransomware similaires sur votre ordinateur. Ces programmes comprennent :

• Malwarebytes Anti-Ransomware ;
• BitDefender Anti-Ransomware ;
• GagnerAntiRansom ;
• CryptoPrevent.

Malgré le fait qu'ils soient tous en anglais, travailler avec de tels utilitaires est assez simple. Lancez le programme et sélectionnez le niveau de protection dans les paramètres.

Lancer le programme et sélectionner le niveau de protection

Si vous avez rencontré un virus ransomware qui crypte les fichiers sur votre ordinateur, vous ne devez bien sûr pas désespérer tout de suite. Essayez d'utiliser les méthodes suggérées pour restaurer les informations endommagées. Cela donne souvent résultat positif. N'utilisez pas de programmes non vérifiés provenant de développeurs inconnus pour supprimer le ransomware XTBL. Après tout, cela ne peut qu’aggraver la situation. Si possible, installez sur votre PC l'un des programmes qui empêchent l'exécution du virus et effectuez régulièrement des analyses de routine de Windows à la recherche de processus malveillants.