Fakta bahwa Internet penuh dengan virus tidak mengejutkan siapa pun saat ini. Banyak pengguna menganggap situasi terkait dengan dampaknya terhadap sistem atau data pribadi, secara sederhana, menutup mata, tetapi hanya sampai virus ransomware secara spesifik menguasai sistem. Kebanyakan pengguna awam tidak tahu cara mendisinfeksi dan mendekripsi data yang tersimpan di hard drive. Oleh karena itu, kontingen ini “digiring” pada tuntutan yang diajukan para penyerang. Tapi mari kita lihat apa yang bisa dilakukan jika ancaman tersebut terdeteksi atau mencegahnya memasuki sistem.

Apa itu virus ransomware?

Jenis ancaman ini menggunakan algoritma enkripsi file standar dan non-standar yang sepenuhnya mengubah kontennya dan memblokir akses. Misalnya, sangat tidak mungkin membuka file teks terenkripsi untuk dibaca atau diedit, serta memutar konten multimedia (grafik, video, atau audio) setelah terpapar virus. Bahkan tindakan standar untuk menyalin atau memindahkan objek tidak tersedia.

Perangkat lunak virus itu sendiri adalah alat yang mengenkripsi data sedemikian rupa sehingga tidak selalu mungkin untuk mengembalikan keadaan semula bahkan setelah ancaman dari sistem dihilangkan. Biasanya, program jahat seperti itu membuat salinan dirinya sendiri dan menetap sangat dalam di sistem, sehingga virus enkripsi file mungkin mustahil untuk dihapus. Dengan menghapus program utama atau menghapus bagian utama virus, pengguna tidak menghilangkan ancaman, apalagi memulihkan informasi terenkripsi.

Bagaimana ancaman memasuki sistem?

Biasanya, ancaman jenis ini sebagian besar ditujukan pada struktur komersial besar dan dapat menembus komputer melalui program email ketika seorang karyawan membuka dokumen yang seharusnya terlampir di email, yang, misalnya, merupakan tambahan pada semacam perjanjian kerja sama atau pasokan produk. plan (penawaran komersial dengan investasi dari sumber yang meragukan adalah jalur pertama masuknya virus).

Masalahnya adalah virus ransomware pada mesin yang memiliki akses ke jaringan lokal mampu beradaptasi dengannya, membuat salinannya sendiri tidak hanya di lingkungan jaringan, tetapi juga di terminal administrator, jika tidak memiliki sarana yang diperlukan perlindungan berupa software anti virus, firewall atau firewall.

Terkadang ancaman semacam itu dapat menembus sistem komputer pengguna biasa, yang pada umumnya tidak menarik bagi penyerang. Ini terjadi selama instalasi beberapa program yang diunduh dari sumber Internet yang meragukan. Banyak pengguna mengabaikan peringatan sistem perlindungan anti-virus saat memulai pengunduhan, dan selama proses instalasi mereka tidak memperhatikan tawaran untuk menginstal perangkat lunak tambahan, panel atau plugin browser, dan kemudian, seperti yang mereka katakan, menggigit mereka. siku.

Jenis-jenis virus dan sedikit sejarahnya

Secara umum, ancaman jenis ini, khususnya virus ransomware paling berbahaya No_more_ransom, diklasifikasikan tidak hanya sebagai alat untuk mengenkripsi data atau memblokir akses ke data tersebut. Faktanya, semua aplikasi berbahaya tersebut termasuk dalam kategori ransomware. Dengan kata lain, penyerang memerlukan suap tertentu untuk mendekripsi informasi, percaya bahwa tanpa program awal proses ini tidak mungkin dilakukan. Hal ini sebagian benar.

Namun, jika Anda menggali sejarah, Anda akan melihat bahwa salah satu virus pertama jenis ini, meskipun tidak memerlukan uang, adalah applet I Love You yang terkenal, yang sepenuhnya mengenkripsi file multimedia (terutama trek musik) di sistem pengguna. . Mendekripsi file setelah virus ransomware ternyata tidak mungkin dilakukan pada saat itu. Kini ancaman inilah yang bisa dilawan dengan cara yang mendasar.

Namun perkembangan virus itu sendiri atau algoritma enkripsi yang digunakan tidak berhenti. Apa yang ada di antara virus - di sini Anda memiliki XTBL, dan CBF, dan Breaking_Bad, dan [dilindungi email], dan banyak omong kosong lainnya.

Metode mempengaruhi file pengguna

Dan jika hingga saat ini sebagian besar serangan dilakukan menggunakan algoritma RSA-1024 berdasarkan enkripsi AES dengan kedalaman bit yang sama, virus No_more_ransom ransom yang sama kini disajikan dalam beberapa interpretasi menggunakan kunci enkripsi berdasarkan teknologi RSA-2048 dan bahkan RSA-3072.

Masalah menguraikan algoritma yang digunakan

Masalahnya adalah sistem dekripsi modern tidak berdaya menghadapi bahaya seperti itu. Dekripsi file setelah virus ransomware berbasis AES256 masih didukung, tetapi mengingat kedalaman bit kunci yang lebih tinggi, hampir semua pengembang mengabaikannya. Omong-omong, hal ini telah dikonfirmasi secara resmi oleh spesialis dari Kaspersky Lab dan Eset.

Dalam versi paling primitif, pengguna yang menghubungi layanan dukungan diminta untuk mengirim file terenkripsi dan aslinya untuk perbandingan dan operasi lebih lanjut guna menentukan algoritma enkripsi dan metode pemulihan. Namun, sebagai aturan, dalam banyak kasus hal ini tidak membuahkan hasil. Namun diyakini bahwa virus enkripsi dapat mendekripsi file dengan sendirinya, asalkan korban menyetujui persyaratan penyerang dan membayar sejumlah uang. Namun, rumusan pertanyaan ini menimbulkan keraguan yang wajar. Dan inilah alasannya.

Virus enkripsi: bagaimana cara mendisinfeksi dan mendekripsi file dan dapatkah dilakukan?

Diduga, setelah pembayaran, peretas mengaktifkan dekripsi melalui akses jarak jauh ke virus mereka yang ada di sistem, atau melalui applet tambahan jika badan virus dihapus. Ini terlihat lebih dari meragukan.

Saya juga ingin mencatat fakta bahwa Internet penuh dengan posting palsu yang mengklaim bahwa jumlah yang diperlukan telah dibayarkan dan data berhasil dipulihkan. Itu semua bohong! Dan sungguh - di manakah jaminan bahwa setelah pembayaran, virus enkripsi tidak akan diaktifkan kembali di sistem? Tidak sulit memahami psikologi pencuri: bayar sekali, bayar lagi. Dan jika kita berbicara tentang informasi yang sangat penting, seperti perkembangan komersial, ilmiah, atau militer tertentu, pemilik informasi tersebut bersedia membayar berapa pun untuk memastikan bahwa file tersebut tetap aman dan sehat.

Obat pertama untuk menghilangkan ancaman tersebut

Ini adalah sifat dari virus enkripsi. Bagaimana cara mendisinfeksi dan mendekripsi file setelah terpapar ancaman? Tidak mungkin, jika tidak ada sarana yang tersedia, yang juga tidak selalu membantu. Tapi Anda bisa mencobanya.

Anggaplah virus ransomware telah muncul di sistem. Bagaimana cara menyembuhkan file yang terinfeksi? Pertama, Anda harus melakukan pemindaian sistem secara mendalam tanpa menggunakan teknologi S.M.A.R.T., yang mendeteksi ancaman hanya ketika sektor boot dan file sistem rusak.

Dianjurkan untuk tidak menggunakan pemindai standar yang ada, yang telah melewatkan ancaman, tetapi menggunakan utilitas portabel. Pilihan terbaik adalah melakukan booting dari Kaspersky Rescue Disk, yang dapat dimulai bahkan sebelum sistem operasi mulai berjalan.

Tapi ini hanya setengah dari perjuangan, karena dengan cara ini Anda hanya bisa menghilangkan virus itu sendiri. Tetapi dengan decoder akan lebih sulit. Tapi lebih dari itu nanti.

Ada kategori lain yang termasuk dalam virus ransomware. Cara mendekripsi informasi akan dibahas secara terpisah, tetapi untuk saat ini mari kita fokus pada fakta bahwa informasi tersebut dapat ada sepenuhnya secara terbuka di sistem dalam bentuk program dan aplikasi yang diinstal secara resmi (kelancangan penyerang tidak mengenal batas, karena ancamannya bahkan tidak ada. mencoba menyamar).

Dalam hal ini, Anda harus menggunakan bagian Program dan Fitur, tempat penghapusan instalasi standar dilakukan. Namun, Anda perlu memperhatikan fakta bahwa uninstaller standar untuk sistem Windows tidak sepenuhnya menghapus semua file program. Secara khusus, virus tebusan tebusan mampu membuat foldernya sendiri di direktori root sistem (biasanya direktori Csrss, di mana terdapat file yang dapat dieksekusi dengan nama yang sama csrss.exe). Direktori Windows, System32 atau pengguna (Pengguna di drive sistem) dipilih sebagai lokasi utama.

Selain itu, virus No_more_ransom ransom menulis kuncinya sendiri di registri dalam bentuk tautan, tampaknya ke layanan resmi sistem Client Server Runtime Subsystem, yang menyesatkan banyak orang, karena layanan ini harus bertanggung jawab atas interaksi perangkat lunak klien dan server . Kuncinya sendiri terletak di folder Run yang dapat dijangkau melalui cabang HKLM. Jelas bahwa kunci tersebut perlu dihapus secara manual.

Untuk mempermudah, Anda dapat menggunakan utilitas seperti iObit Uninstaller, yang mencari file sisa dan kunci registri secara otomatis (tetapi hanya jika virus terlihat di sistem sebagai aplikasi yang diinstal). Namun ini adalah hal paling sederhana yang dapat Anda lakukan.

Solusi yang ditawarkan oleh pengembang perangkat lunak antivirus

Dekripsi virus ransomware diyakini dapat dilakukan menggunakan utilitas khusus, meskipun jika Anda memiliki teknologi dengan kunci 2048 atau 3072 bit, Anda tidak boleh terlalu mengandalkannya (selain itu, banyak dari mereka menghapus file setelah dekripsi, dan kemudian file yang dipulihkan hilang karena kesalahan tubuh virus yang belum dihapus sebelumnya).

Meski begitu, Anda bisa mencobanya. Dari semua program, ada baiknya menyoroti RectorDecryptor dan ShadowExplorer. Diyakini bahwa belum ada yang lebih baik yang tercipta. Namun masalahnya mungkin juga ketika Anda mencoba menggunakan decryptor, tidak ada jaminan bahwa file yang disembuhkan tidak akan terhapus. Artinya, jika Anda tidak membasmi virus pada awalnya, segala upaya dekripsi akan gagal.

Selain menghapus informasi terenkripsi, akibat yang fatal juga bisa terjadi - seluruh sistem tidak dapat dioperasikan. Selain itu, virus enkripsi modern tidak hanya dapat memengaruhi data yang disimpan di hard drive komputer, tetapi juga file di penyimpanan cloud. Namun tidak ada solusi untuk pemulihan data. Selain itu, ternyata, banyak layanan mengambil tindakan perlindungan yang kurang efektif (OneDrive yang sama terpasang di Windows 10, yang diekspos langsung dari sistem operasi).

Solusi radikal untuk masalah ini

Seperti yang sudah jelas, sebagian besar metode modern tidak memberikan hasil positif ketika terinfeksi virus tersebut. Tentu saja, jika Anda memiliki file asli yang rusak, dapat dikirim untuk diperiksa ke laboratorium anti virus. Benar, ada juga keraguan yang sangat serius tentang fakta bahwa rata-rata pengguna akan membuat salinan cadangan data, yang bila disimpan di hard drive, juga dapat terkena kode berbahaya. Dan fakta bahwa untuk menghindari masalah, pengguna menyalin informasi ke media yang dapat dipindahkan tidak dibahas sama sekali.

Jadi, untuk menyelesaikan masalah secara radikal, kesimpulannya menunjukkan dirinya sendiri: menyelesaikan pemformatan hard drive dan semua partisi logis dengan penghapusan informasi. Apa yang harus saya lakukan? Anda harus berkorban jika Anda tidak ingin virus atau salinannya yang disimpan sendiri diaktifkan kembali di sistem.

Untuk melakukan ini, Anda tidak boleh menggunakan alat dari sistem Windows itu sendiri (ini berarti memformat partisi virtual, karena jika Anda mencoba mengakses disk sistem, larangan akan dikeluarkan). Lebih baik melakukan booting dari media optik seperti LiveCD atau distribusi instalasi, seperti yang dibuat menggunakan Media Creation Tool untuk Windows 10.

Sebelum memulai pemformatan, jika virus telah dihapus dari sistem, Anda dapat mencoba memulihkan integritas komponen sistem melalui baris perintah (sfc /scannow), tetapi ini tidak akan berpengaruh apa pun dalam hal mendekripsi dan membuka kunci data. Oleh karena itu format c: adalah satu-satunya solusi yang tepat, suka atau tidak. Ini adalah satu-satunya cara untuk sepenuhnya menghilangkan ancaman jenis ini. Sayangnya, tidak ada jalan lain! Bahkan pengobatan dengan pengobatan standar yang ditawarkan oleh sebagian besar paket antivirus ternyata tidak berdaya.

Alih-alih kata penutup

Berdasarkan kesimpulan yang jelas, kami hanya dapat mengatakan bahwa saat ini tidak ada solusi tunggal dan universal untuk menghilangkan konsekuensi dari jenis ancaman ini (menyedihkan, tetapi benar - hal ini telah dikonfirmasi oleh sebagian besar pengembang dan pakar perangkat lunak anti-virus. di bidang kriptografi).

Masih belum jelas mengapa munculnya algoritma berdasarkan enkripsi 1024-, 2048- dan 3072-bit yang disahkan oleh mereka yang terlibat langsung dalam pengembangan dan implementasi teknologi tersebut? Memang, saat ini algoritma AES256 dianggap paling menjanjikan dan paling aman. Melihat! 256! Ternyata sistem ini tidak dapat menandingi virus modern. Lalu apa yang dapat kami katakan tentang upaya mendekripsi kunci mereka?

Meskipun demikian, menghindari masuknya ancaman ke dalam sistem cukup sederhana. Dalam versi paling sederhana, Anda harus memindai semua pesan masuk dengan lampiran di Outlook, Thunderbird, dan klien email lainnya dengan antivirus segera setelah diterima dan jangan pernah membuka lampiran hingga pemindaian selesai. Anda juga harus hati-hati membaca saran untuk menginstal perangkat lunak tambahan saat menginstal beberapa program (biasanya ditulis dalam cetakan yang sangat kecil atau disamarkan sebagai add-on standar seperti memperbarui Flash Player atau yang lainnya). Sebaiknya perbarui komponen multimedia melalui situs resmi. Ini adalah satu-satunya cara untuk setidaknya mencegah ancaman tersebut memasuki sistem Anda sendiri. Konsekuensinya benar-benar tidak dapat diprediksi, mengingat virus jenis ini langsung menyebar ke jaringan lokal. Dan bagi perusahaan, kejadian seperti ini dapat mengakibatkan kehancuran seluruh upaya.

Terakhir, administrator sistem tidak boleh duduk diam. Lebih baik mengecualikan alat perlindungan perangkat lunak dalam situasi seperti ini. Firewall (firewall) yang sama tidak boleh berupa perangkat lunak, tetapi “perangkat keras” (tentu saja, dengan perangkat lunak yang menyertainya). Dan sudah jelas bahwa Anda juga tidak boleh berhemat dalam membeli paket antivirus. Lebih baik membeli paket berlisensi daripada menginstal program primitif yang seharusnya memberikan perlindungan real-time hanya menurut pengembangnya.

Dan jika ancaman telah menembus sistem, urutan tindakannya harus mencakup penghapusan tubuh virus itu sendiri, dan baru kemudian mencoba mendekripsi data yang rusak. Idealnya, format lengkap (perhatikan, bukan format cepat dengan pembersihan daftar isi, tetapi format lengkap, sebaiknya dengan pemulihan atau penggantian sistem file, sektor boot, dan catatan yang ada).

Virus-virus ini mungkin sedikit berbeda, tetapi secara umum tindakannya selalu sama:

• instal di komputer Anda;
• mengenkripsi semua file yang mungkin memiliki nilai apa pun (dokumen, foto);
• ketika mencoba membuka file-file ini, mintalah pengguna untuk menyetor sejumlah uang ke dompet atau akun penyerang, jika tidak, akses ke konten tidak akan pernah dibuka.

File terenkripsi virus di xtbl

Saat ini, virus telah menyebar luas, mampu mengenkripsi file dan mengubah ekstensinya menjadi .xtbl, serta mengganti namanya dengan karakter yang sepenuhnya acak.

Selain itu, file khusus dengan instruksi dibuat di tempat yang terlihat readme.txt. Di dalamnya, penyerang menghadapkan pengguna dengan fakta bahwa semua data penting mereka telah dienkripsi dan sekarang tidak dapat dibuka dengan mudah, menambahkan bahwa untuk mengembalikan semuanya ke keadaan semula, perlu melakukan tindakan tertentu terkait dengan mentransfer uang. kepada penipu (biasanya Sebelum melakukan ini, Anda perlu mengirimkan kode tertentu ke salah satu alamat email yang disarankan). Seringkali pesan seperti itu juga dilengkapi dengan catatan bahwa jika Anda mencoba mendekripsi sendiri semua file Anda, Anda berisiko kehilangannya selamanya.

Sayangnya, saat ini, belum ada yang secara resmi dapat mendekripsi .xtbl; jika metode yang berfungsi muncul, kami pasti akan melaporkannya di artikel. Di antara pengguna ada orang-orang yang memiliki pengalaman serupa dengan virus ini dan mereka membayar jumlah yang diperlukan kepada penipu, sebagai imbalannya menerima dekripsi dokumen mereka. Tapi ini adalah langkah yang sangat berisiko, karena di antara para penyerang ada juga yang tidak terlalu peduli dengan dekripsi yang dijanjikan; pada akhirnya, uangnya akan sia-sia.

Lalu apa yang harus dilakukan, Anda bertanya? Kami menawarkan beberapa tip yang akan membantu Anda mendapatkan kembali semua data Anda dan pada saat yang sama, Anda tidak akan mengikuti jejak penipu dan memberikan uang Anda kepada mereka. Lalu apa yang perlu dilakukan:

1. Jika Anda mengetahui cara bekerja di Task Manager, segera hentikan enkripsi file dengan menghentikan proses yang mencurigakan. Pada saat yang sama, putuskan sambungan komputer Anda dari Internet - banyak ransomware memerlukan koneksi jaringan.
2. Ambil selembar kertas dan tuliskan di atasnya kode yang diusulkan untuk dikirim melalui email ke penyerang (kertas tersebut karena file yang akan Anda tulis mungkin juga menjadi tidak dapat dibaca).
3. Menggunakan Malwarebytes Antimalware, uji coba Kaspersky IS Anti-Virus atau CureIt, hapus program jahat tersebut. Untuk keandalan yang lebih besar, lebih baik menggunakan semua cara yang diusulkan secara konsisten. Meskipun Kaspersky Anti-Virus mungkin tidak diinstal jika sistem sudah memiliki satu anti-virus utama, jika tidak, konflik perangkat lunak mungkin timbul. Semua utilitas lainnya dapat digunakan dalam situasi apa pun.
4. Tunggu hingga salah satu perusahaan antivirus mengembangkan dekripsi yang berfungsi untuk file tersebut. Kaspersky Lab melakukan pekerjaan paling cepat.
5. Selain itu, Anda dapat mengirim ke [dilindungi email] salinan file yang dienkripsi, dengan kode yang diperlukan dan, jika tersedia, file yang sama dalam bentuk aslinya. Hal ini sangat mungkin mempercepat pengembangan metode dekripsi file.

Jangan dalam keadaan apapun:

• mengganti nama dokumen-dokumen ini;
• mengubah ekspansi mereka;
• menghapus file.

Trojan ini juga terlibat dalam mengenkripsi file pengguna dengan pemerasan berikutnya. Dalam hal ini, file terenkripsi mungkin memiliki ekstensi berikut:

• .terkunci
• .crypto
• .kraken
• .AES256 (belum tentu Trojan ini, ada Trojan lain yang menginstal ekstensi yang sama).
• .codercsu@gmail_com
• .oshit
• Dan lainnya.

Untungnya, utilitas dekripsi khusus telah dibuat - RakhniDecryptor. Anda dapat mengunduhnya dari situs resminya.

Di situs yang sama Anda dapat membaca instruksi yang dengan jelas dan jelas menunjukkan cara menggunakan utilitas untuk mendekripsi semua file yang telah dikerjakan oleh Trojan. Pada prinsipnya, untuk keandalan yang lebih baik, ada baiknya mengecualikan opsi untuk menghapus file terenkripsi. Namun kemungkinan besar, pengembang melakukan pekerjaan dengan baik dalam menciptakan utilitas dan integritas data tidak dalam bahaya.

Mereka yang menggunakan antivirus Dr.Web berlisensi memiliki akses gratis ke dekripsi dari pengembang http://support.drweb.com/new/free_unlocker/.

Jenis virus ransomware lainnya

Terkadang Anda mungkin menemukan virus lain yang mengenkripsi file penting dan memeras pembayaran untuk mengembalikan semuanya ke bentuk aslinya. Kami menawarkan daftar kecil utilitas untuk memerangi dampak virus yang paling umum. Di sana Anda juga dapat membiasakan diri dengan tanda-tanda utama yang dapat digunakan untuk membedakan program Trojan tertentu.

Selain itu, cara yang baik adalah dengan memindai PC Anda dengan antivirus Kaspersky, yang akan mendeteksi tamu tak diundang dan memberinya nama. Dengan nama ini Anda sudah dapat mencari decodernya.

• Trojan-Ransom.Win32.Rector- enkripsi ransomware tipikal yang mengharuskan Anda mengirim SMS atau melakukan tindakan lain semacam ini, kami mengambil dekripsi dari tautan ini.
• Trojan-Ransom.Win32.Xorist- variasi dari Trojan sebelumnya, Anda bisa mendapatkan decryptor dengan petunjuk penggunaannya.
• Trojan-Tebusan.Win32.Rannoh, Trojan-Tebusan.Win32.Fury– ada juga utilitas khusus untuk orang-orang ini, lihat

Membaca, bagaimana melindungi diri Anda dari infeksi virus ransomware dan menghapus XTBL dari komputer. Apakah layak membayar uang tebusan, dan cara memulihkan file yang dienkripsi oleh ransomware. Virus Ransomware adalah salah satu infeksi cyber terburuk yang dapat Anda temui. Bukan tanpa alasan mereka menikmati reputasi seperti itu di Internet, karena ini adalah alat yang sangat menakutkan.

Semua ransomware dirancang berdasarkan prinsip yang sama. Masuk ke sistem Anda tanpa terdeteksi, mereka mulai mengenkripsi file Anda untuk kemudian meminta uang tebusan dari Anda untuk mengaksesnya.

Virus Ransomware

Jika Anda tiba-tiba menemukan satu atau semua file Anda diganti namanya menjadi XTBL atau ekstensi file lain yang tidak dikenal, Anda kurang beruntung - Anda terkena virus ransomware. Anda akan segera menerima pesan yang meminta Anda membayar untuk membuka kunci file Anda. Terkadang ini bisa berupa jendela dengan teks, terkadang dokumen teks Readme di desktop atau bahkan di setiap folder file. Pesan kepada pengguna dapat diduplikasi dalam beberapa bahasa selain bahasa Inggris dan berisi semua persyaratan penyerang yang membuat virus.

Tampaknya lebih mudah untuk membayar untuk menghilangkan virus semacam itu, tetapi kenyataannya tidak demikian. Terlepas dari tuntutan virus, jangan menyetujuinya - ini akan memberikan pukulan ganda bagi Anda. File Anda yang terkunci kemungkinan besar tidak dapat dipulihkan - terimalah ini dan jangan mengirim uang untuk membuka kunci file. Jika tidak, selain file, Anda juga akan kehilangan uang.

Anda mungkin menerima pesan dengan konten berikut:

“Semua file di komputer Anda termasuk video, foto, dan dokumen telah dienkripsi. Enkripsi dilakukan menggunakan kunci publik unik yang dibuat untuk komputer ini. Untuk mendekripsi file Anda harus menggunakan kunci pribadi.
Satu-satunya salinan kunci ini disimpan di server rahasia di Internet. Kuncinya akan dimusnahkan secara otomatis setelah 7 hari dan tidak ada yang dapat mengakses file tersebut."

Bagaimana komputer bisa terinfeksi virus ransomware

Virus ransomware tidak dapat muncul di komputer Anda melalui sihir. Ini terdiri dari beberapa elemen, yang pemasangannya harus disetujui oleh Anda secara pribadi. Tentu saja virus tidak melakukan hal ini secara terang-terangan, hal itu dilakukan dengan bantuan tipu muslihat dan tipu daya.

Misalnya, salah satu metode penetrasi yang paling populer adalah penggunaan program gratis, situs atau tautan yang rusak. Infeksi juga dapat disamarkan sebagai pembaruan Java atau Flash Player. Anda akan yakin bahwa Anda menginstal pembaruan untuk program yang Anda kenal dan akan memberikan lampu hijau untuk menginstal infeksi berbahaya dan berbahaya.

Untuk menghindari situasi yang tidak menyenangkan, berhati-hatilah dan hati-hati. Jangan terburu-buru mengambil tindakan apa pun jika Anda tidak yakin. Alasan utama tertular virus adalah kelalaian pengguna.

Menghapus ekstensi XTBL atau mengubah nama file

Mengapa ekstensi file XTBL sangat berbahaya? Program ransomware akan menemukan semua file Anda, termasuk gambar, video, musik, dokumen dan melakukan prosedur enkripsi dengannya. File dalam format apa pun akan dienkripsi: doc, .docx, .docm, .wps, .xls, .xlsx, .ppt, .pptx, .pptm, .pdd, .pdf, .eps, .ai, .indd, . cdr, .dng, .mp3, .lnk, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt. Tidak ada yang bisa melindungi mereka. Setelah enkripsi selesai, ekstensi semua file akan diubah menjadi XTBL dan tidak akan dibuka lagi.

Mengubah nama file atau menghapus ekstensi XBTL tidak akan memulihkan akses ke file. Untuk melakukan ini, mereka perlu didekripsi menggunakan kunci pribadi. Untuk mendapatkan kunci ini, Anda harus memenuhi semua ketentuan ransomware. Namun tanyakan pada diri Anda pertanyaan ini: Bisakah Anda mempercayai penyerang yang menginfeksi komputer Anda? Tentu saja tidak, perlu diingat bahwa aturan mainnya pada awalnya tidak menguntungkan Anda.

Apakah layak membayar untuk kunci dekripsi?

Skenario terbaik apa yang bisa Anda harapkan? Anda membayar uang tebusan dan katakanlah Anda mendapatkan kunci untuk mendekripsi file Anda, katakanlah itu berfungsi dan file Anda tidak terkunci. Tapi apa selanjutnya? Apa yang akan melindungi data Anda agar tidak dienkripsi ulang pada hari berikutnya? Tidak ada apa-apa.

Dengan membayar akses ke file, Anda tidak hanya akan kehilangan uang, namun juga memberikan akses ke informasi pribadi dan keuangan Anda kepada penipu yang mengembangkan virus. Jangan biarkan siapa pun ikut campur dalam kehidupan pribadi Anda. Jumlah yang diminta untuk kunci dekripsi seringkali melebihi $500. Jawablah pertanyaan ini untuk diri Anda sendiri: apakah Anda siap membuka data pribadi dan informasi perbankan Anda kepada penipu, dan kehilangan tambahan $500 sebagai ganti janji hantu untuk mendekripsi file Anda? Tetapkan prioritas Anda dengan benar!

Petunjuk untuk menghapus virus ransomware

1. Hapus proses berbahaya menggunakan manajer proses;
2. Tampilkan file tersembunyi

Hapus proses berbahaya menggunakan Process Manager

Tampilkan file tersembunyi

• Buka folder mana pun
• Pilih File - Ubah folder dan opsi pencarian.
• Buka penanda "Melihat".
• Aktifkan opsi tersebut "Tampilkan file dan folder tersembunyi".
• Matikan opsinya "Sembunyikan file sistem yang dilindungi".
• Klik Terapkan ke Folder, lalu Menerapkan Dan OKE.

Tentukan lokasi virusnya

1. Segera setelah memuat sistem operasi, tekan kombinasi tombol Windows + R.
2. Di kotak dialog, masukkan Regedit. Berhati-hatilah saat mengedit registri Windows, karena hal ini dapat membuat sistem tidak dapat dioperasikan.
   Tergantung pada OS Anda (x86 atau x64) buka cabang
   atau
   atau
   dan hapus parameter dengan nama yang dibuat secara otomatis.

Alternatifnya, Anda bisa lari msconfig dan juga periksa kembali titik peluncuran virus. Harap dicatat bahwa nama proses, folder, dan file yang dapat dieksekusi akan dibuat secara otomatis untuk komputer Anda dan akan berbeda dari contoh yang ditampilkan. Oleh karena itu, ada baiknya menggunakan program antivirus profesional untuk mengidentifikasi dan menghapus virus jika Anda tidak yakin dengan kemampuan Anda.

Pulihkan file yang dienkripsi oleh virus XTBL

Jika Anda masih memiliki salinan cadangan file penting Anda, Anda beruntung; memulihkan file dari salinan tersebut setelah perawatan virus. Pencadangan dapat dilakukan menggunakan program yang Anda konfigurasikan atau tanpa campur tangan Anda menggunakan salah satu alat OS Windows: riwayat file, titik pemulihan, pencadangan citra sistem.

Jika Anda bekerja pada komputer yang terhubung ke jaringan perusahaan, hubungi administrator jaringan Anda untuk mendapatkan bantuan. Kemungkinan besar cadangannya dibuat olehnya. Jika pencarian cadangan Anda tidak berhasil, cobalah program pemulihan data.

Selama enkripsi, virus membuat file baru dan menulis konten terenkripsi dari file asli ke dalamnya. Setelah itu file aslinya dihapus, sehingga Anda dapat mencoba memulihkannya. Unduh dan instal

Salah satu alasan yang mempersulit pemulihan data terenkripsi ketika terinfeksi virus ransomware adalah identifikasi enkripsi. Jika pengguna dapat mengidentifikasi ransomware, maka dia dapat memeriksa apakah ada cara gratis untuk mendekripsi data.

Lebih lanjut tentang topik: Pekerjaan seorang enkripsi menggunakan contoh ransomware

Cari tahu ransomware mana yang mengenkripsi file

Ada beberapa cara untuk mengidentifikasi ransomware. Dengan menggunakan:

• virus ransomware itu sendiri
• ekstensi file terenkripsi
• Layanan online ID Ransomware
• Utilitas Ransomware Bitdefender

Dengan metode pertama semuanya menjadi jelas. Banyak virus ransomware, seperti The Dark Encryptor, tidak menyembunyikan dirinya sendiri. Dan mengidentifikasi malware tidak akan sulit.

Enkripsi Gelap

Anda juga dapat mencoba mengidentifikasi ransomware menggunakan ekstensi file terenkripsi. Cukup ketikkan ke dalam pencarian dan lihat hasilnya.

Namun ada situasi ketika tidak mudah untuk mengetahui file yang dienkripsi ransomware. Dalam kasus ini, dua metode berikut akan membantu kita.

Identifikasi ransomware menggunakan ID Ransomware

Sebuah metode untuk mengidentifikasi ransomware menggunakan layanan online ID Ransomware.

Identifikasi ransomware menggunakan Bitdefender Ransomware

Alat Pengenalan Ransomware Bitdefender adalah program baru untuk Windows dari Bitdefender yang membantu mengidentifikasi ransomware jika terjadi infeksi ransomware.

Ini adalah program kecil gratis yang tidak perlu diinstal. Yang diperlukan hanyalah menjalankan program, menerima lisensi, dan menggunakannya untuk mengidentifikasi ransomware. Anda dapat mengunduh Alat Pengenalan Ransomware Bitdefender dari situs resminya melalui tautan langsung.

Bitdefender tidak menulis tentang kompatibilitas. Dalam kasus saya, program ini berfungsi pada perangkat Windows 10 Pro. Harap dicatat bahwa Alat Pengenalan Ransomware Bitdefender memerlukan koneksi Internet.

Prinsip pengoperasiannya sama dengan metode sebelumnya. Di bidang pertama kami menunjukkan file dengan teks pesan, dan di bidang kedua, jalur ke file terenkripsi.

Sejauh yang saya pahami, Alat Pengenalan Ransomware Bitdefender tidak mengirim file itu sendiri ke server, tetapi hanya menganalisis nama dan ekstensi.

Fitur menarik lainnya dari Bitdefender Ransomware Recognition Tool adalah ia dapat diluncurkan dari baris perintah.

Saya belum menguji Alat Pengenalan Ransomware Bitdefender, jadi saya akan menerima komentar apa pun dari orang-orang yang telah mencobanya.

Itu saja. Saya harap Anda tidak memerlukan petunjuk ini, tetapi jika Anda menemukan ransomware, Anda akan tahu cara mengidentifikasinya.

Peretas Ransomware sangat mirip dengan pemeras biasa. Baik di dunia nyata maupun di lingkungan siber, terdapat satu atau kelompok sasaran serangan. Itu bisa dicuri atau dibuat tidak dapat diakses. Berikutnya, pelaku kejahatan menggunakan sarana komunikasi tertentu dengan korban untuk menyampaikan tuntutannya. Penipu komputer biasanya hanya memilih beberapa format untuk surat tebusan, namun salinannya dapat ditemukan di hampir semua lokasi memori pada sistem yang terinfeksi. Dalam kasus keluarga spyware yang dikenal sebagai Troldesh atau Shade, penipu mengambil pendekatan khusus saat menghubungi korban.

Mari kita lihat lebih dekat jenis virus ransomware ini, yang ditujukan untuk pengguna berbahasa Rusia. Sebagian besar infeksi serupa mendeteksi tata letak keyboard pada PC yang diserang, dan jika salah satu bahasanya adalah bahasa Rusia, intrusi akan berhenti. Namun, virus ransomware XTBL tidak dapat dipahami: sayangnya bagi pengguna, serangan terjadi terlepas dari lokasi geografis dan preferensi bahasa mereka. Perwujudan nyata dari keserbagunaan ini adalah peringatan yang muncul di latar belakang desktop, serta file TXT dengan instruksi untuk membayar uang tebusan.

Virus XTBL biasanya menyebar melalui spam. Pesannya menyerupai surat dari merek terkenal, atau sekadar menarik perhatian karena baris subjeknya menggunakan ekspresi seperti “Mendesak!” atau “Dokumen Keuangan Penting.” Trik phishing akan berhasil ketika penerima email tersebut. pesan akan mengunduh file ZIP yang berisi kode JavaScript atau objek Docm yang berisi makro yang berpotensi rentan.

Setelah menyelesaikan algoritme dasar pada PC yang disusupi, Trojan ransomware mulai mencari data yang mungkin berguna bagi pengguna. Untuk tujuan ini, virus memindai memori lokal dan eksternal, sekaligus mencocokkan setiap file dengan serangkaian format yang dipilih berdasarkan ekstensi objek. Semua file .jpg, .wav, .doc, .xls, serta banyak objek lainnya, dienkripsi menggunakan algoritma kripto blok simetris AES-256.

Ada dua aspek dari dampak berbahaya ini. Pertama-tama, pengguna kehilangan akses ke data penting. Selain itu, nama file dikodekan secara mendalam, menghasilkan rangkaian karakter heksadesimal yang tidak berarti. Yang menyatukan nama file yang terpengaruh adalah ekstensi xtbl yang ditambahkan ke dalamnya, mis. nama ancaman dunia maya. Nama file terenkripsi terkadang memiliki format khusus. Di beberapa versi Troldesh, nama objek terenkripsi mungkin tetap tidak berubah, dan kode unik ditambahkan di akhir: [dilindungi email], [dilindungi email], atau [dilindungi email].

Jelas sekali, para penyerang telah memasukkan alamat email. mengirimkan langsung ke nama file, menunjukkan kepada korban metode komunikasinya. Email tersebut juga tercantum di tempat lain yaitu pada surat tebusan yang terdapat pada file “Readme.txt”. Dokumen Notepad tersebut akan muncul di Desktop, serta di semua folder dengan data terenkripsi. Pesan utamanya adalah:

“Semua file dienkripsi. Untuk mendekripsinya, Anda perlu mengirimkan kode: [Cipher unik Anda] ke alamat email [dilindungi email] atau [dilindungi email]. Selanjutnya Anda akan menerima semua instruksi yang diperlukan. Upaya untuk mendekripsi sendiri tidak akan menghasilkan apa-apa selain hilangnya informasi yang tidak dapat diperbaiki lagi.”

Alamat email dapat berubah tergantung pada kelompok pemeras yang menyebarkan virus.

Adapun perkembangan lebih lanjut: secara umum, penipu merespons dengan rekomendasi untuk mentransfer uang tebusan, yang bisa berupa 3 bitcoin, atau jumlah lain dalam kisaran ini. Harap dicatat bahwa tidak ada yang bisa menjamin bahwa peretas akan memenuhi janjinya bahkan setelah menerima uang. Untuk memulihkan akses ke file .xtbl, pengguna yang terpengaruh disarankan untuk mencoba semua metode alternatif yang tersedia terlebih dahulu. Dalam beberapa kasus, data dapat diurutkan menggunakan layanan Volume Shadow Copy yang disediakan langsung di OS Windows, serta program dekripsi data dan pemulihan data dari pengembang perangkat lunak independen.

Hapus ransomware XTBL menggunakan pembersih otomatis

Metode yang sangat efektif untuk menangani malware pada umumnya dan ransomware pada khususnya. Penggunaan kompleks pelindung yang telah terbukti menjamin deteksi menyeluruh terhadap komponen virus apa pun dan penghapusan totalnya dengan satu klik. Harap dicatat bahwa kita berbicara tentang dua proses berbeda: menghapus instalasi infeksi dan memulihkan file di PC Anda. Namun, ancaman tersebut tentu perlu dihilangkan, karena ada informasi tentang masuknya Trojan komputer lain yang menggunakannya.

1. . Setelah memulai perangkat lunak, klik tombol Mulai Pemindaian Komputer(Mulai memindai).
2. Perangkat lunak yang diinstal akan memberikan laporan tentang ancaman yang terdeteksi selama pemindaian. Untuk menghapus semua ancaman yang terdeteksi, pilih opsi Perbaiki Ancaman(Hilangkan ancaman). Malware yang dimaksud akan dihapus sepenuhnya.

Pulihkan akses ke file terenkripsi dengan ekstensi .xtbl

Sebagaimana disebutkan, ransomware XTBL mengunci file menggunakan algoritma enkripsi yang kuat, sehingga data terenkripsi tidak dapat dipulihkan dengan mudah - kecuali membayar jumlah tebusan yang belum pernah ada sebelumnya. Namun beberapa metode benar-benar dapat menjadi penyelamat yang akan membantu Anda memulihkan data penting. Di bawah ini Anda dapat membiasakan diri dengan mereka.

Decryptor – program pemulihan file otomatis

Suatu keadaan yang sangat tidak biasa diketahui. Infeksi ini menghapus file asli dalam bentuk tidak terenkripsi. Proses enkripsi untuk tujuan pemerasan menargetkan salinannya. Hal ini memungkinkan perangkat lunak seperti memulihkan objek yang terhapus, meskipun keandalan penghapusannya terjamin. Sangat disarankan untuk menggunakan prosedur pemulihan file, yang efektivitasnya telah dikonfirmasi lebih dari sekali.

Salinan bayangan volume

Pendekatan ini didasarkan pada proses pencadangan file Windows, yang diulangi di setiap titik pemulihan. Kondisi penting agar metode ini berfungsi: fungsi "Pemulihan Sistem" harus diaktifkan sebelum infeksi. Namun, perubahan apa pun pada file yang dilakukan setelah titik pemulihan tidak akan muncul di versi file yang dipulihkan.

Cadangan

Ini adalah yang terbaik di antara semua metode non-tebusan. Jika prosedur untuk mencadangkan data ke server eksternal digunakan sebelum serangan ransomware di komputer Anda, untuk memulihkan file terenkripsi Anda hanya perlu masuk ke antarmuka yang sesuai, pilih file yang diperlukan dan luncurkan mekanisme pemulihan data dari cadangan. Sebelum melakukan operasi, Anda harus memastikan bahwa ransomware telah dihapus sepenuhnya.

Periksa kemungkinan adanya komponen sisa virus ransomware XTBL

Pembersihan manual berisiko menghilangkan setiap bagian ransomware yang dapat lolos dari penghapusan sebagai objek sistem operasi tersembunyi atau item registri. Untuk menghilangkan risiko retensi sebagian elemen berbahaya tertentu, pindai komputer Anda menggunakan rangkaian anti-virus universal yang andal.