Aujourd’hui, les virus eux-mêmes ne surprennent presque personne. Si auparavant ils affectaient l’ensemble du système, il existe aujourd’hui différents types de virus. Un de ces types est un virus ransomware. La menace de pénétration affecte davantage d’informations sur les utilisateurs. Cependant, il peut constituer une menace plus grande que les applications exécutables destructrices et les applets de logiciels espions. Qu'est-ce qu'un virus ransomware ? Le code lui-même, qui est écrit dans un virus autocopiant, implique le cryptage de toutes les informations utilisateur avec des algorithmes cryptographiques spéciaux qui n'affectent pas les fichiers système du système d'exploitation lui-même.

La logique derrière l’impact du virus n’est peut-être pas claire pour tout le monde. Tout est devenu clair lorsque les pirates qui ont développé ces applets ont commencé à exiger une certaine somme d'argent pour restaurer la structure originale des fichiers. Dans le même temps, le chiffreur qui a pénétré dans le système ne permet pas le décryptage des fichiers. Pour ce faire, vous aurez besoin d'un décrypteur spécial, ou en d'autres termes, d'un algorithme spécial avec lequel vous pourrez restaurer le contenu.

Encryptor : le principe de pénétration dans les systèmes et le fonctionnement du virus

Il est généralement assez difficile de détecter une telle infection sur Internet. Fondamentalement, ce type de virus se transmet par courrier électronique au niveau des clients installés sur un terminal informatique, tels que Bat, Outlook, Thunderbird. Il convient de noter d’emblée que cela ne s’applique pas aux serveurs de messagerie Internet car ils disposent d’un degré de protection assez élevé. L'accès aux informations utilisateur s'effectue uniquement au niveau du stockage des informations dans le cloud. Une application sur un terminal informatique spécifique est une tout autre affaire.

Le domaine d'activité pour le développement de virus est si vaste qu'il est difficile de l'imaginer. Cependant, une petite mise en garde s’impose ici. Dans la plupart des cas, les cibles des virus sont de grandes organisations et entreprises qui seront en mesure de payer des sommes importantes pour décrypter les informations personnelles. Cela est clair, car sur les terminaux informatiques et les serveurs des sociétés informatiques, les informations et fichiers confidentiels sont stockés en une seule copie, qui ne peut en aucun cas être supprimée. Dans ce cas, le décryptage des fichiers après l’action d’un virus ransomware peut s’avérer assez problématique. Bien entendu, un utilisateur ordinaire pourrait également être soumis à une telle attaque, bien que cela soit peu probable, surtout si l'utilisateur suit les recommandations les plus simples pour travailler avec des pièces jointes d'un type inconnu.

Même si le client de messagerie détecte des pièces jointes, par exemple sous forme de fichiers avec l'extension .jpg ou une autre extension graphique, il est alors préférable d'analyser ce fichier avec l'antivirus standard utilisé dans le système. Si vous ne le faites pas, après avoir ouvert le fichier joint en double-cliquant, le code d'activation peut démarrer et le processus de cryptage commencera. Après cela, il sera impossible de supprimer le virus ransomware lui-même et de restaurer les fichiers une fois la menace éliminée.

Conséquences générales de l'exposition à un virus ransomware

Comme mentionné précédemment, la plupart des virus pénètrent dans le système par courrier électronique. Supposons qu'une grande organisation reçoive une lettre avec un contenu tel que « Le contrat a été modifié, un scan est joint à la lettre » ou « Une facture pour l'expédition de marchandises vous a été envoyée ». Un employé de l'entreprise sans méfiance ouvre simplement le fichier joint, puis tous les fichiers utilisateur sont instantanément cryptés. Ce sont tous des fichiers, des documents bureautiques aux archives et multimédias. Toutes les données importantes sont cryptées et si le terminal informatique est connecté à un réseau local, le virus peut se transmettre davantage, cryptant les données sur d'autres machines.

L'exécution de ce processus peut être remarquée par le ralentissement et le gel des programmes en cours d'exécution sur le terminal informatique en ce moment. Une fois le processus de cryptage terminé, le virus envoie une sorte de rapport, après quoi l'organisation recevra un message indiquant qu'une menace a pénétré dans le système et, afin de décrypter les fichiers, il est nécessaire de contacter le développeur du virus. En règle générale, il s'agit d'un virus [email protégé]. Il faudra ensuite payer pour les services de décryptage. Il sera demandé à l’utilisateur d’envoyer plusieurs fichiers cryptés vers un email très probablement fictif.

Dommages causés par le virus

Si vous n'avez pas encore complètement compris l'essence du problème, il convient de noter que le décryptage des fichiers après l'action d'un virus ransomware est un processus plutôt laborieux. Si l’utilisateur ne se conforme pas aux exigences des attaquants, mais essaie d’impliquer les agences gouvernementales dans la lutte contre la criminalité informatique, il n’en sortira rien de significatif. Si vous essayez de supprimer toutes les données de votre ordinateur, puis effectuez une restauration du système et copiez les informations d'origine à partir d'un support amovible, toutes les informations seront toujours recryptées. Il ne faut donc pas trop se leurrer à ce sujet. De plus, lors de l'insertion d'une clé USB dans un port USB, l'utilisateur ne remarquera même pas que le virus cryptera toutes les données qu'elle contient. Il y aura alors encore plus de problèmes.

Le premier virus rançongiciel

Voyons quel était le premier virus ransomware. Au moment de son apparition, personne ne pensait à la manière de désinfecter ou de décrypter les fichiers après avoir été exposé au code exécutable contenu dans une pièce jointe à un e-mail. Ce n’est qu’avec le temps que l’on a pris conscience de l’ampleur du désastre. Le premier virus ransomware portait le nom plutôt romantique « I Love You ». Un utilisateur peu méfiant ouvrirait simplement une pièce jointe à un e-mail et se retrouverait avec des fichiers multimédias (vidéo, graphiques et audio) totalement illisibles. De telles actions semblaient plus destructrices, mais à cette époque, personne n'exigeait d'argent pour décrypter les données.

Dernières modifications

L'évolution de la technologie est devenue une activité assez rentable, d'autant plus que de nombreux dirigeants de grandes entreprises sont pressés de payer le montant requis aux attaquants dans les plus brefs délais, sans même penser au fait qu'ils pourraient se retrouver sans argent. et sans les informations nécessaires. Il ne faut pas croire tous ces messages de gauche sur Internet, comme « J'ai payé le montant requis, ils m'ont envoyé un décrypteur et toutes les informations ont été restaurées ». Tout cela n’a aucun sens. La plupart du temps, ces critiques sont rédigées par les développeurs de virus eux-mêmes afin d’attirer des victimes potentielles. Selon les normes des utilisateurs ordinaires, les sommes exigées par les attaquants pour le décryptage des données sont assez importantes. Cela peut atteindre plusieurs milliers de dollars ou d’euros. Voyons maintenant quelles sont les caractéristiques des virus les plus récents de ce type. Tous sont similaires les uns aux autres et peuvent appartenir non seulement à la catégorie des virus de cryptage, mais aussi à ce qu'on appelle la catégorie des ransomwares. Dans certains cas, ils agissent tout à fait correctement, envoyant à l’utilisateur des messages indiquant que quelqu’un souhaite veiller à la sécurité des informations de l’organisation ou de l’utilisateur. Un tel virus chiffrant induit simplement les utilisateurs en erreur avec ses messages. Cependant, si l’utilisateur paie le montant requis, il se fera tout simplement arnaquer.

Virus XTBL

Le virus XTBL, apparu relativement récemment, peut être classé comme un type classique de virus ransomware. Ces objets entrent généralement dans le système via des messages envoyés par courrier électronique. Les messages peuvent contenir des pièces jointes avec l'extension .scr. Cette extension est standard pour l'économiseur d'écran Windows. L'utilisateur pense que tout va bien et active la visualisation ou enregistre la pièce jointe. Cette opération peut avoir des conséquences assez tristes. Les noms de fichiers sont convertis en un simple jeu de caractères. La combinaison .xtbl est ajoutée à l'extension du fichier principal. Après cela, un message est envoyé à l'adresse souhaitée concernant la possibilité de décryptage après avoir payé un certain montant.

Ce type de virus peut également être classé parmi les ransomwares classiques. Il apparaît dans le système après l'ouverture des pièces jointes aux e-mails. Ce virus renomme également les fichiers de l'utilisateur et ajoute une combinaison comme .perfect et .nonchance à la fin de l'extension. Malheureusement, il n’est pas possible de décrypter un virus ransomware de ce type. Après avoir terminé toutes les actions, il s’autodétruit simplement. Même un outil aussi universel que RectorDecryptor n'aide pas. L'utilisateur reçoit une lettre exigeant le paiement. L'utilisateur dispose de deux jours pour payer.

Virus Breaking_Bad

Ce type de menace fonctionne selon un schéma familier. Il renomme les fichiers de l'utilisateur en ajoutant la combinaison .breaking_bad à l'extension. Mais l’affaire ne s’arrête pas là. Contrairement à d'autres ransomwares, ce virus peut créer une autre extension .Heisenberg. Il est donc assez difficile de retrouver tous les fichiers infectés. Il convient également de dire que le virus Breaking_Bad constitue une menace assez sérieuse. Il arrive parfois que même le programme antivirus sous licence Kaspersky_Endpoint Security passe à côté d'une telle menace.

Virus [email protégé]

Virus [email protégé] représente une autre menace assez sérieuse, qui vise principalement les grandes organisations commerciales. Habituellement, certains services de l'entreprise reçoivent un email contenant un fichier .jpg ou .js. Comment décrypter un virus de ce type ? À en juger par le fait que l'algorithme RSA-1024 y est utilisé, ce n'est pas possible. D’après le nom de l’algorithme, nous pouvons supposer qu’il utilise un système de cryptage de 1024 bits. Aujourd'hui, le système 256 bits est considéré comme le plus avancé.

Virus Ransomware : pouvez-vous décrypter des fichiers à l’aide d’un logiciel antivirus ?

Aucun moyen de décrypter les fichiers après avoir été exposés à ce type de menace n’a encore été trouvé. Même des maîtres reconnus dans le domaine de la protection antivirus comme Dr Web, Kaspersky, Eset ne trouvent pas la clé pour résoudre le problème. Comment désinfecter les fichiers dans ce cas ? En règle générale, l'utilisateur est invité à envoyer une demande formelle au site Internet du développeur du programme antivirus. Dans ce cas, il est nécessaire de joindre plusieurs fichiers cryptés et leurs originaux, le cas échéant. Peu d’utilisateurs stockent aujourd’hui des copies de données sur des supports amovibles. Le problème de leur absence ne peut qu’aggraver une situation déjà désagréable.

Supprimer la menace manuellement : méthodes possibles

Dans certains cas, l'analyse avec des programmes antivirus conventionnels identifie ces objets malveillants et élimine même ces menaces. Mais que faire des informations cryptées ? Certains utilisateurs essaient d'utiliser des programmes de décryptage. Il convient de noter d'emblée que ces actions ne mèneront à rien de bon. Dans le cas du virus Breaking_Bad, cela peut même être dangereux. Le fait est que les attaquants qui créent de tels virus tentent de se protéger et de donner une leçon aux autres. Lors de l'utilisation d'utilitaires de décryptage, un virus peut réagir de telle manière que l'ensemble du système d'exploitation tombe en panne et détruit en même temps complètement toutes les informations stockées sur les partitions logiques et les disques durs. Notre seul espoir réside dans les laboratoires antivirus officiels.

Voies radicales

Si les choses vont vraiment mal, vous pouvez formater le disque dur, y compris les partitions virtuelles, puis réinstaller le système d'exploitation. Malheureusement, il n’y a pas encore d’autre issue. Restaurer le système jusqu'à un certain point de restauration n'aidera pas à résoudre la situation. En conséquence, le virus peut disparaître, mais les fichiers resteront cryptés.

Aujourd’hui, les utilisateurs d’ordinateurs et d’ordinateurs portables sont de plus en plus confrontés à des logiciels malveillants qui remplacent les fichiers par des copies cryptées. Ce sont essentiellement des virus. Le ransomware XTBL est considéré comme l'un des plus dangereux de cette série. Qu’est-ce que ce parasite, comment pénètre-t-il dans l’ordinateur de l’utilisateur et est-il possible de restaurer les informations endommagées ?

Qu'est-ce que le ransomware XTBL et comment pénètre-t-il dans l'ordinateur ?

Si vous trouvez sur votre ordinateur ou ordinateur portable des fichiers portant un nom long et l'extension .xtbl, vous pouvez alors affirmer en toute confiance qu'un virus dangereux est entré dans votre système - un ransomware XTBL. Cela affecte toutes les versions du système d’exploitation Windows. Il est presque impossible de décrypter de tels fichiers par vous-même, car le programme utilise un mode hybride dans lequel la sélection d'une clé est tout simplement impossible.

Les répertoires système sont remplis de fichiers infectés. Des entrées sont ajoutées au registre Windows qui lancent automatiquement le virus à chaque démarrage du système d'exploitation.

Presque tous les types de fichiers sont cryptés : graphiques, textes, archives, courrier électronique, vidéo, musique, etc. Il devient impossible de travailler sous Windows.

Comment ça marche? Un ransomware XTBL exécuté sous Windows analyse d'abord tous les lecteurs logiques. Cela inclut le stockage cloud et réseau situé sur un ordinateur. De ce fait, les fichiers sont regroupés par extension puis cryptés. Ainsi, toutes les informations précieuses situées dans les dossiers de l’utilisateur deviennent inaccessibles.

C'est l'image que l'utilisateur verra à la place des icônes avec les noms de fichiers familiers

Sous l'influence du ransomware XTBL, l'extension du fichier change. Désormais, l'utilisateur voit une icône de feuille vierge et un long titre se terminant par .xtbl au lieu d'une image ou d'un texte dans Word. De plus, un message apparaît sur le bureau, sorte d'instruction de restauration des informations cryptées, vous obligeant à payer pour le déverrouillage. Ce n’est rien d’autre qu’un chantage exigeant une rançon.

Ce message apparaît dans la fenêtre du bureau de votre ordinateur.

Le ransomware XTBL est généralement distribué par courrier électronique. L'e-mail contient des fichiers joints ou des documents infectés par un virus. L'escroc attire l'utilisateur avec un titre coloré. Tout est fait pour que le message, qui dit que vous avez par exemple gagné un million, soit ouvert. Ne répondez pas à de tels messages, sinon le risque est élevé que le virus se retrouve dans votre système d'exploitation.

Est-il possible de récupérer des informations ?

Vous pouvez essayer de décrypter les informations à l'aide d'utilitaires spéciaux. Cependant, rien ne garantit que vous serez en mesure de vous débarrasser du virus et de restaurer les fichiers endommagés.

Actuellement, le ransomware XTBL constitue une menace indéniable pour tous les ordinateurs exécutant le système d'exploitation Windows. Même les leaders reconnus dans la lutte contre les virus - Dr.Web et Kaspersky Lab - n'ont pas de solution à 100 % à ce problème.

Supprimer un virus et restaurer des fichiers cryptés

Il existe différentes méthodes et programmes qui vous permettent de travailler avec le cryptage XTBL. Certains suppriment le virus lui-même, d'autres tentent de décrypter les fichiers verrouillés ou de restaurer leurs copies précédentes.

Arrêter une infection informatique

Si vous avez la chance de remarquer que des fichiers portant l'extension .xtbl commencent à apparaître sur votre ordinateur, il est alors tout à fait possible d'interrompre le processus d'infection ultérieure.

Kaspersky Virus Removal Tool pour supprimer le ransomware XTBL

Tous ces programmes doivent être ouverts dans un système d'exploitation préalablement lancé en mode sans échec avec la possibilité de charger des pilotes réseau. Dans ce cas, il est beaucoup plus facile de supprimer le virus, car le nombre minimum de processus système requis pour démarrer Windows est connecté.

Pour charger le mode sans échec dans Windows XP, 7 lors du démarrage du système, appuyez constamment sur la touche F8 et une fois la fenêtre de menu affichée, sélectionnez l'élément approprié. Lorsque vous utilisez Windows 8, 10, vous devez redémarrer le système d'exploitation tout en maintenant la touche Maj enfoncée. Pendant le processus de démarrage, une fenêtre s'ouvrira dans laquelle vous pourrez sélectionner l'option de démarrage sécurisé requise.

Sélection du mode sans échec avec chargement des pilotes réseau

Le programme Kaspersky Virus Removal Tool reconnaît parfaitement le ransomware XTBL et supprime ce type de virus. Exécutez une analyse de l'ordinateur en cliquant sur le bouton approprié après avoir téléchargé l'utilitaire. Une fois l'analyse terminée, supprimez tous les fichiers malveillants trouvés.

Exécuter une analyse de l'ordinateur pour détecter la présence du ransomware XTBL dans le système d'exploitation Windows, puis supprimer le virus

Dr.Web CureIt!

L'algorithme de vérification et de suppression d'un virus n'est pratiquement pas différent de la version précédente. Utilisez l'utilitaire pour analyser tous les lecteurs logiques. Pour ce faire, il vous suffit de suivre les commandes du programme après l'avoir lancé. À la fin du processus, débarrassez-vous des fichiers infectés en cliquant sur le bouton « Décontaminer ».

Neutralisez les fichiers malveillants après avoir analysé Windows

Malwarebytes Anti-Malware

Le programme effectuera une vérification étape par étape de votre ordinateur pour détecter la présence de codes malveillants et les détruira.

1. Installez et exécutez l'utilitaire anti-malware.
2. Sélectionnez « Exécuter l'analyse » en bas de la fenêtre qui s'ouvre.
3. Attendez la fin du processus et cochez les cases avec les fichiers infectés.
4. Supprimez la sélection.

Suppression des fichiers malveillants du ransomware XTBL détectés lors de l'analyse

Script de décryptage en ligne de Dr.Web

Sur le site officiel de Dr.Web, dans la section support, il y a un onglet avec un script pour le décryptage des fichiers en ligne. Veuillez noter que seuls les utilisateurs disposant d'un antivirus de ce développeur installé sur leur ordinateur pourront utiliser le décrypteur en ligne.

Lisez les instructions, remplissez tout ce qui est requis et cliquez sur le bouton « Soumettre »

Utilitaire de décryptage RectorDecryptor de Kaspersky Lab

Kaspersky Lab décrypte également les fichiers. Sur le site officiel, vous pouvez télécharger l'utilitaire RectorDecryptor.exe pour les versions de Windows Vista, 7, 8 en suivant les liens du menu « Support - Désinfection et décryptage des fichiers - RectorDecryptor - Comment décrypter les fichiers ». Exécutez le programme, effectuez une analyse, puis supprimez les fichiers cryptés en sélectionnant l'option appropriée.

Analyse et décryptage des fichiers infectés par le ransomware XTBL

Restauration de fichiers cryptés à partir d'une sauvegarde

À partir de Windows 7, vous pouvez essayer de restaurer des fichiers à partir de sauvegardes.

ShadowExplorer pour récupérer des fichiers cryptés

Le programme est une version portable, il peut être téléchargé depuis n'importe quel support.

QPhotoRec

Le programme est spécialement créé pour récupérer les fichiers endommagés et supprimés.À l'aide d'algorithmes intégrés, l'utilitaire trouve et renvoie toutes les informations perdues à leur état d'origine.

QPhotoRec est gratuit.

Malheureusement, il n'existe qu'une version anglaise de QPhotoRec, mais comprendre les paramètres n'est pas difficile du tout, l'interface est intuitive.

1. Lancer le programme.
2. Marquez les disques logiques avec des informations cryptées.
3. Cliquez sur le bouton Formats de fichiers et OK.
4. À l'aide du bouton Parcourir situé en bas de la fenêtre ouverte, sélectionnez l'emplacement où enregistrer les fichiers et démarrez la procédure de récupération en cliquant sur Rechercher.

QPhotoRec récupère les fichiers supprimés par le ransomware XTBL et remplacés par ses propres copies

Comment décrypter des fichiers - vidéo

Ce qu'il ne faut pas faire

1. N'entreprenez jamais d'actions dont vous n'êtes pas complètement sûr. Il est préférable d'inviter un spécialiste du centre de service ou d'y apporter l'ordinateur vous-même.
2. N'ouvrez pas les e-mails provenant d'expéditeurs inconnus.
3. Vous ne devez en aucun cas suivre l’exemple des maîtres chanteurs en acceptant de leur transférer de l’argent. Cela ne donnera probablement aucun résultat.
4. Ne renommez pas manuellement les extensions des fichiers cryptés et ne vous précipitez pas pour réinstaller Windows. Il sera peut-être possible de trouver une solution qui corrigera la situation.

La prévention

Essayez d'installer une protection fiable contre la pénétration du ransomware XTBL et des virus ransomware similaires sur votre ordinateur. Ces programmes comprennent :

• Malwarebytes Anti-Ransomware ;
• BitDefender Anti-Ransomware ;
• GagnerAntiRansom ;
• CryptoPrevent.

Malgré le fait qu'ils soient tous en anglais, travailler avec de tels utilitaires est assez simple. Lancez le programme et sélectionnez le niveau de protection dans les paramètres.

Lancer le programme et sélectionner le niveau de protection

Si vous avez rencontré un virus ransomware qui crypte les fichiers sur votre ordinateur, vous ne devez bien sûr pas désespérer tout de suite. Essayez d'utiliser les méthodes suggérées pour restaurer les informations endommagées. Cela donne souvent un résultat positif. N'utilisez pas de programmes non vérifiés provenant de développeurs inconnus pour supprimer le ransomware XTBL. Après tout, cela ne peut qu’aggraver la situation. Si possible, installez sur votre PC l'un des programmes qui empêchent l'exécution du virus et effectuez régulièrement des analyses de routine de Windows à la recherche de processus malveillants.

En voyageant dans différentes villes et villages, une personne rencontre bon gré mal gré des surprises qui peuvent être à la fois agréables et provoquer un inconfort accru et un chagrin intense.

Les mêmes émotions peuvent attendre un utilisateur intéressé à « voyager » sur Internet. Bien que parfois des surprises désagréables arrivent d'elles-mêmes dans les e-mails sous la forme de lettres et de documents menaçants, que les utilisateurs essaient de lire le plus rapidement possible, tombant ainsi dans les réseaux d'escrocs.

Sur Internet, vous pouvez rencontrer un nombre incroyable de virus programmés pour effectuer de multiples tâches négatives sur votre ordinateur, il est donc important d'apprendre à distinguer les liens sûrs pour télécharger des fichiers et des documents et d'éviter ceux qui présentent un danger évident pour votre ordinateur.

Si vous faites partie de ces malheureux qui ont dû subir les conséquences négatives d'une intervention virale, vous ne douterez pas qu'il est utile de collecter puis de systématiser les informations sur la manière de prévenir l'infection de votre ordinateur.

Les virus sont apparus dès l’apparition de la technologie informatique. Chaque année, il existe de plus en plus de variétés de virus, il est donc facile pour l'utilisateur de détruire uniquement le porteur du virus connu depuis longtemps, et une méthode de destruction à 100 % a été trouvée.

Il est beaucoup plus difficile pour l'utilisateur de « lutter » contre les porteurs de virus qui apparaissent simplement sur le réseau ou s'accompagnent d'actions destructrices à grande échelle.

Méthodes de récupération de fichiers

Dans une situation où un virus a crypté des fichiers sur un ordinateur, que faire est une question clé pour beaucoup. S’il s’agit de photos amateurs dont vous ne voulez pas non plus accepter la perte, vous pouvez chercher des moyens de résoudre le problème sur une longue période. Cependant, si un virus a crypté des fichiers extrêmement importants pour les activités commerciales, le désir de savoir quoi faire devient incroyablement grand et vous souhaitez également prendre des mesures efficaces assez rapidement.

Restaurer une version précédente

Si la protection du système a été activée à l'avance sur votre ordinateur, même dans les cas où un « crypteur invité non invité » a déjà réussi à prendre le contrôle de vous, vous pourrez toujours restaurer les documents, sachant quoi faire dans ce cas.

Le système vous aidera à récupérer des documents à l'aide de leurs clichés instantanés. Bien entendu, le cheval de Troie s'efforce également d'éliminer ces copies, mais les virus ne sont pas toujours capables d'effectuer de telles manipulations, car ils ne disposent pas de droits d'administration.

Étape 1

Il est donc facile de restaurer un document en utilisant sa copie précédente. Pour ce faire, vous faites un clic droit sur le fichier qui s'avère endommagé. Dans le menu qui apparaît, sélectionnez « Propriétés ». Une fenêtre apparaîtra sur l'écran de votre PC avec quatre onglets, vous devez vous rendre sur le dernier onglet « Versions précédentes ».

Étape 2

Tous les clichés instantanés disponibles du document seront répertoriés dans la fenêtre ci-dessous ; il vous suffira de sélectionner l'option qui vous convient le mieux, puis de cliquer sur le bouton « Restaurer ».

Malheureusement, une telle « ambulance » ne peut pas être utilisée sur un ordinateur sur lequel la protection du système n'a pas été activée au préalable. Pour cette raison, nous vous recommandons de l'allumer à l'avance, afin de ne pas vous « mordre les coudes » plus tard, vous reprochant une désobéissance évidente.

Étape 3

Il est également facile d’activer la protection du système sur votre ordinateur ; cela ne vous prendra pas beaucoup de temps. Par conséquent, bannissez votre paresse et votre entêtement et aidez votre ordinateur à devenir moins vulnérable aux chevaux de Troie.

Faites un clic droit sur l'icône « Ordinateur » et sélectionnez « Propriétés ». Sur le côté gauche de la fenêtre qui s'ouvre, il y aura une liste dans laquelle trouvez la ligne « Protection du système », cliquez dessus.

Maintenant, une fenêtre s'ouvrira à nouveau dans laquelle il vous sera demandé de sélectionner un disque. Avec le lecteur local « C » sélectionné, cliquez sur le bouton « Configurer ».

Étape 4

Maintenant, une fenêtre s'ouvrira offrant des options de récupération. Vous devez accepter la première option, qui implique la restauration des paramètres système et des versions précédentes des documents. Enfin, cliquez sur le bouton traditionnel « Ok ».

Si vous avez effectué toutes ces manipulations au préalable, même si un cheval de Troie visite votre ordinateur et crypte vos fichiers, vous aurez d'excellentes chances de récupérer des informations importantes.

Au moins, vous ne paniquerez pas lorsque vous découvrirez que tous les fichiers de votre ordinateur sont cryptés ; dans ce cas, vous saurez déjà exactement quoi faire.

Utiliser les utilitaires

De nombreuses sociétés antivirus ne laissent pas les utilisateurs seuls face au problème des virus qui cryptent les documents. Kaspersky Lab et Doctor Web ont développé des utilitaires spéciaux pour aider à résoudre de telles situations problématiques.

Donc, si vous trouvez de terribles traces d'une visite de ransomware, essayez d'utiliser l'utilitaire Kaspersky RectorDecryptor.

Exécutez l'utilitaire sur votre ordinateur, spécifiez le chemin d'accès au fichier qui a été crypté. Il n'est pas difficile de comprendre ce que l'utilitaire doit faire directement. À l’aide de plusieurs options, il essaie de trouver la clé pour décrypter le fichier. Malheureusement, une telle opération peut être assez longue et n’est pas à la portée de nombreux utilisateurs.

Il peut notamment arriver qu'il faille environ 120 jours pour sélectionner la bonne clé. Dans le même temps, vous devez comprendre qu'il n'est pas recommandé d'interrompre le processus de décryptage et que vous ne devez donc pas non plus éteindre l'ordinateur.

Kaspersky Lab propose également d'autres utilitaires :

• XoristDecryptor ;
• RakhniDécrypteur ;
• Décrypteur de ransomware.

Ces utilitaires visent les résultats des activités malveillantes d'autres chevaux de Troie ransomware. En particulier, l’utilitaire Ransomware Decryptor est encore inconnu de beaucoup, car il vise à lutter contre CoinVault, qui commence seulement maintenant à attaquer Internet et à pénétrer dans les ordinateurs des utilisateurs.

Les développeurs de Doctor Web ne chôment pas non plus, c'est pourquoi ils présentent aux utilisateurs leurs utilitaires, avec lesquels vous pouvez également tenter de récupérer des documents cryptés sur votre ordinateur.

Créez n'importe quel dossier sur le lecteur C et donnez-lui un nom simple. Décompressez l'utilitaire téléchargé depuis le site officiel de l'entreprise dans ce dossier.

Vous pouvez désormais l'utiliser pour résoudre pratiquement le problème. Pour ce faire, lancez une ligne de commande, tapez « cd c:\XXX », où au lieu de XXX entrez le nom du dossier dans lequel vous avez placé l'utilitaire.

Au lieu de « mes fichiers », il convient d'écrire le nom du dossier dans lequel se trouvent les documents endommagés.

Maintenant, l'utilitaire va se lancer et le processus de traitement va commencer ; une fois terminé, vous trouverez un rapport indiquant ce qui a été récupéré. À propos, le programme ne supprime pas les fichiers cryptés, mais enregistre simplement la version restaurée à côté d'eux.

Malheureusement, même cet utilitaire de Doctor Web ne peut pas être considéré comme une baguette magique ; il ne peut pas non plus tout faire.

Beaucoup ont peut-être déjà compris quoi faire en cas d'infection, mais les utilisateurs expérimentés recommandent de s'informer sur ce qu'il est strictement déconseillé de faire, afin de ne pas provoquer de conséquences plus graves lorsque les chances de récupération de documents sont nulles.

Vous ne pouvez pas réinstaller le système d'exploitation sur votre ordinateur. Dans ce cas, vous pourrez peut-être éliminer le ravageur, mais vous ne pourrez certainement pas remettre les documents en état de fonctionnement.

Vous ne pouvez pas exécuter de programmes chargés de nettoyer le registre ou de supprimer les fichiers temporaires sur l'ordinateur.

Il n'est pas recommandé d'effectuer une analyse antivirus, au cours de laquelle les documents infectés peuvent simplement être supprimés. Si vous avez été un peu stupide et avez lancé un antivirus en succombant à la panique, assurez-vous au moins que tous les fichiers infectés ne sont pas supprimés, mais simplement mis en quarantaine.

Si vous êtes un utilisateur avancé, vous pouvez interrompre le processus de cryptage sur votre ordinateur avant qu'il ne se propage à tous les fichiers et documents. Pour ce faire, vous devez lancer le « Gestionnaire des tâches » et arrêter le processus. Il est peu probable qu’un utilisateur inexpérimenté soit en mesure de déterminer quel processus est lié au virus.

Il est utile de déconnecter votre ordinateur d'Internet. En rompant une telle connexion, le processus de cryptage des fichiers et des documents sur l'ordinateur est également interrompu dans la plupart des cas.

Ainsi, en comprenant parfaitement quoi faire lorsqu’un cheval de Troie ransomware est détecté, vous pouvez prendre des mesures pour garantir votre réussite. De plus, après avoir reçu des informations sur la façon de décrypter les fichiers cryptés par un virus, vous pouvez essayer d'éliminer vous-même le problème et éviter qu'il ne se reproduise.

Bonjour à tous, aujourd'hui je vais vous expliquer comment décrypter des fichiers après un virus sous Windows. L'un des logiciels malveillants les plus problématiques aujourd'hui est un cheval de Troie, ou virus, qui crypte les fichiers sur le disque d'un utilisateur. Certains de ces fichiers peuvent être déchiffrés, mais d’autres ne peuvent pas encore l’être. Dans l'article, je décrirai les algorithmes d'action possibles dans les deux situations.

Il existe plusieurs modifications de ce virus, mais l'essence générale du travail est qu'après l'installation sur votre ordinateur, vos fichiers de documents, images et autres fichiers potentiellement importants sont cryptés avec un changement d'extension, après quoi vous recevez un message indiquant que tous vos les fichiers ont été cryptés et pour les décrypter, vous devez envoyer un certain montant à l'attaquant.

Les fichiers sur l'ordinateur sont cryptés en xtbl

L'une des dernières variantes du virus ransomware crypte les fichiers, les remplaçant par des fichiers portant l'extension .xtbl et un nom composé d'un ensemble aléatoire de caractères.

Parallèlement, un fichier texte readme.txt est placé sur l'ordinateur avec approximativement le contenu suivant : « Vos fichiers ont été cryptés. Pour les décrypter, vous devez envoyer le code à l'adresse email [email protégé], [email protégé] ou [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de décryptage des fichiers vous-même entraîneront une perte irrémédiable d'informations » (l'adresse e-mail et le texte peuvent différer).

Malheureusement, il n'existe aucun moyen de décrypter .xtbl pour le moment (dès qu'il sera disponible, les instructions seront mises à jour). Certains utilisateurs qui avaient des informations très importantes sur leur ordinateur rapportent sur les forums antivirus qu'ils ont envoyé aux auteurs du virus 5 000 roubles ou tout autre montant requis et ont reçu un décrypteur, mais c'est très risqué : vous risquez de ne rien recevoir.

Que faire si les fichiers ont été chiffrés en .xtbl ? Mes recommandations sont les suivantes (mais elles diffèrent de celles de nombreux autres sites thématiques, où, par exemple, elles recommandent d'éteindre immédiatement l'ordinateur de l'alimentation électrique ou de ne pas supprimer le virus. À mon avis, cela est inutile, et sous certains Dans certaines circonstances, cela peut même être nocif, mais c'est à vous de décider.) :

1. Si vous savez comment faire, interrompez le processus de cryptage en effaçant les tâches correspondantes dans le gestionnaire de tâches, en déconnectant l'ordinateur d'Internet (cela peut être une condition nécessaire au cryptage)
2. Mémorisez ou notez le code dont les attaquants ont besoin pour qu'il soit envoyé à une adresse e-mail (mais pas à un fichier texte sur l'ordinateur, juste au cas où, afin qu'il ne soit pas non plus crypté).
3. À l'aide de Malwarebytes Antimalware, d'une version d'essai de Kaspersky Internet Security ou de Dr.Web Cure It, supprimez le virus de cryptage de fichiers (tous ces outils font du bon travail). Je vous conseille d'utiliser tour à tour le premier et le deuxième produits de la liste (cependant, si vous avez installé un antivirus, l'installation du second « par le haut » n'est pas souhaitable, car cela peut entraîner des problèmes avec l'ordinateur.)
4. Attendez qu'un décrypteur apparaisse d'une société antivirus. Kaspersky Lab est ici à l'avant-garde.
5. Vous pouvez également envoyer un exemple de fichier crypté et le code requis à [email protégé], si vous disposez d'une copie non cryptée du même fichier, veuillez l'envoyer également. En théorie, cela pourrait accélérer l’apparition du décrypteur.

Ce qu'il ne faut pas faire:

• Renommez les fichiers cryptés, modifiez l'extension et supprimez-les s'ils sont importants pour vous.

C'est probablement tout ce que je peux dire sur les fichiers cryptés avec l'extension .xtbl pour le moment.

Trojan-Ransom.Win32.Aura et Trojan-Ransom.Win32.Rakhni

Le cheval de Troie suivant chiffre les fichiers et installe les extensions de cette liste :

• .fermé à clé
• .crypto
• .kraken
• .AES256 (pas nécessairement ce cheval de Troie, il y en a d'autres qui installent la même extension).
• .codercsu@gmail_com
• .oshit
• Et d'autres.

Pour décrypter les fichiers après l'intervention de ces virus, le site Web de Kaspersky dispose d'un utilitaire gratuit appelé RakhniDecryptor, disponible sur la page officielle http://support.kaspersky.ru/viruses/disinfection/10556.

Il existe également des instructions détaillées sur l'utilisation de cet utilitaire, montrant comment restaurer des fichiers cryptés, à partir desquelles, juste au cas où, je supprimerais l'élément « Supprimer les fichiers cryptés après un décryptage réussi » (même si je pense que tout ira bien avec l'option installée) .

Si vous disposez d'une licence antivirus Dr.Web, vous pouvez utiliser le décryptage gratuit de cette société sur la page http://support.drweb.com/new/free_unlocker/

Plus d'options de virus ransomware

Moins courants, mais également rencontrés, sont les chevaux de Troie suivants qui chiffrent les fichiers et exigent de l'argent pour le décryptage. Les liens fournis contiennent non seulement des utilitaires permettant de renvoyer vos fichiers, mais également une description des signes qui aideront à déterminer que vous êtes porteur de ce virus particulier. Bien qu'en général, le moyen optimal consiste à analyser le système à l'aide de l'antivirus Kaspersky, à connaître le nom du cheval de Troie selon la classification de cette société, puis à rechercher un utilitaire portant ce nom.

• Trojan-Ransom.Win32.Rector - l'utilitaire de décryptage gratuit RectorDecryptor et les instructions d'utilisation sont disponibles ici : http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist est un cheval de Troie similaire qui affiche une fenêtre vous demandant d'envoyer un SMS payant ou de contacter par e-mail pour recevoir des instructions de décryptage. Les instructions pour restaurer les fichiers cryptés et l'utilitaire XoristDecryptor pour cela sont disponibles sur la page http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilitaire RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 et autres avec le même nom (lors d'une recherche via l'antivirus Dr.Web ou l'utilitaire Cure It) et des numéros différents - essayez de rechercher sur Internet par le nom du cheval de Troie. Pour certains d'entre eux, il existe des utilitaires de décryptage de Dr.Web, même si vous n'avez pas réussi à trouver l'utilitaire, mais que vous disposez d'une licence Dr.Web, vous pouvez utiliser la page officielle http://support.drweb.com/new/free_unlocker /
• CryptoLocker - pour décrypter les fichiers après le fonctionnement de CryptoLocker, vous pouvez utiliser le site http://decryptcryptolocker.com - après avoir envoyé l'exemple de fichier, vous recevrez une clé et un utilitaire pour récupérer vos fichiers.

Eh bien, d'après les dernières nouvelles, Kaspersky Lab, en collaboration avec des agents des forces de l'ordre des Pays-Bas, a développé Ransomware Decryptor (http://noransom.kaspersky.com) pour décrypter les fichiers après CoinVault, mais ce ransomware n'est pas encore trouvé sous nos latitudes.

D'ailleurs, s'il s'avère soudain que vous avez quelque chose à ajouter (car je n'aurai peut-être pas le temps de surveiller ce qui se passe avec les méthodes de décryptage), faites-le-moi savoir dans les commentaires, cette information sera utile aux autres utilisateurs qui sont confronté à un problème.

Les pirates ransomwares ressemblent beaucoup aux maîtres chanteurs classiques. Tant dans le monde réel que dans le cyberenvironnement, il existe une cible d’attaque unique ou groupée. Il est soit volé, soit rendu inaccessible. Ensuite, les criminels utilisent certains moyens de communication avec les victimes pour faire part de leurs revendications. Les fraudeurs informatiques ne choisissent généralement que quelques formats pour les lettres de rançon, mais des copies peuvent être trouvées dans presque tous les emplacements mémoire d'un système infecté. Dans le cas de la famille de logiciels espions connue sous le nom de Troldesh ou Shade, les fraudeurs adoptent une approche particulière lorsqu'ils contactent la victime.

Examinons de plus près cette souche de virus ransomware, destinée au public russophone. La plupart des infections similaires détectent la disposition du clavier sur le PC attaqué, et si l'une des langues est le russe, l'intrusion s'arrête. Cependant, le virus ransomware XTBL indéchiffrable : malheureusement pour les utilisateurs, l’attaque se déroule quelle que soit leur situation géographique et leurs préférences linguistiques. Une incarnation claire de cette polyvalence est un avertissement qui apparaît en arrière-plan du bureau, ainsi qu'un fichier TXT contenant des instructions pour payer la rançon.

Le virus XTBL se propage généralement via le spam. Les messages ressemblent à des lettres de marques célèbres, ou sont simplement accrocheurs car la ligne d'objet utilise des expressions telles que « Urgent ! » ou « Documents financiers importants ». L'astuce de phishing fonctionnera lorsque le destinataire de cet e-mail. les messages téléchargeront un fichier ZIP contenant du code JavaScript ou un objet Docm contenant une macro potentiellement vulnérable.

Après avoir exécuté l'algorithme de base sur le PC compromis, le cheval de Troie ransomware procède à la recherche de données susceptibles d'être utiles à l'utilisateur. À cette fin, le virus analyse la mémoire locale et externe, faisant simultanément correspondre chaque fichier avec un ensemble de formats sélectionnés en fonction de l'extension de l'objet. Tous les fichiers .jpg, .wav, .doc, .xls, ainsi que de nombreux autres objets, sont cryptés à l'aide de l'algorithme de chiffrement par blocs symétriques AES-256.

Cet impact néfaste comporte deux aspects. Tout d'abord, l'utilisateur perd l'accès aux données importantes. De plus, les noms de fichiers sont profondément codés, ce qui donne lieu à une chaîne de caractères hexadécimaux dénuée de sens. Tout ce qui unit les noms des fichiers concernés est l'extension xtbl qui leur est ajoutée, c'est-à-dire nom de la cybermenace. Les noms de fichiers cryptés ont parfois un format spécial. Dans certaines versions de Troldesh, les noms des objets cryptés peuvent rester inchangés, et un code unique est ajouté à la fin : [email protégé], [email protégé], ou [email protégé].

De toute évidence, les attaquants ont introduit des adresses e-mail. mail directement aux noms des dossiers, en indiquant aux victimes le mode de communication. L'e-mail est également répertorié ailleurs, notamment dans la lettre de rançon contenue dans le fichier « Readme.txt ». Ces documents du Bloc-notes apparaîtront sur le bureau, ainsi que dans tous les dossiers contenant des données cryptées. Le message clé est le suivant :

« Tous les fichiers étaient cryptés. Pour les décrypter, vous devez envoyer le code : [Votre chiffre unique] à l'adresse email [email protégé] ou [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrémédiable d’informations.

L'adresse e-mail peut changer en fonction du groupe de chantage qui propage le virus.

Quant aux développements ultérieurs : en termes généraux, les escrocs répondent en recommandant de transférer une rançon, qui peut être de 3 bitcoins, ou un autre montant dans cette fourchette. Veuillez noter que personne ne peut garantir que les pirates tiendront leur promesse même après avoir reçu l’argent. Pour restaurer l'accès aux fichiers .xtbl, il est recommandé aux utilisateurs concernés d'essayer d'abord toutes les méthodes alternatives disponibles. Dans certains cas, les données peuvent être mises en ordre à l'aide du service Volume Shadow Copy fourni directement dans le système d'exploitation Windows, ainsi que des programmes de décryptage et de récupération de données proposés par des développeurs de logiciels indépendants.

Supprimez le ransomware XTBL à l’aide d’un nettoyeur automatique

Une méthode extrêmement efficace pour lutter contre les malwares en général et les ransomwares en particulier. L'utilisation d'un complexe protecteur éprouvé garantit une détection approfondie de tous les composants viraux et leur élimination complète en un seul clic. Veuillez noter que nous parlons de deux processus différents : la désinstallation de l'infection et la restauration des fichiers sur votre PC. Toutefois, la menace doit certainement être supprimée, car il existe des informations sur l'introduction d'autres chevaux de Troie informatiques qui l'utilisent.

1. . Après avoir démarré le logiciel, cliquez sur le bouton Démarrer l'analyse de l'ordinateur(Lancez la numérisation).
2. Le logiciel installé fournira un rapport sur les menaces détectées lors de l'analyse. Pour supprimer toutes les menaces détectées, sélectionnez l'option Corriger les menaces(Éliminer les menaces). Le malware en question sera complètement supprimé.

Restaurer l'accès aux fichiers cryptés avec l'extension .xtbl

Comme indiqué, le ransomware XTBL verrouille les fichiers à l'aide d'un algorithme de cryptage puissant, de sorte que les données cryptées ne peuvent pas être restaurées d'un coup de baguette magique, à moins de payer un montant de rançon inouï. Mais certaines méthodes peuvent vraiment vous sauver la vie et vous aider à récupérer des données importantes. Ci-dessous, vous pouvez vous familiariser avec eux.

Decryptor – programme de récupération automatique de fichiers

Une circonstance très inhabituelle est connue. Cette infection efface les fichiers originaux sous forme non cryptée. Le processus de chiffrement à des fins d’extorsion cible ainsi leurs copies. Cela permet des logiciels tels que la récupération d'objets effacés, même si la fiabilité de leur suppression est garantie. Il est fortement recommandé de recourir à la procédure de récupération de fichiers dont l'efficacité a été confirmée à plusieurs reprises.

Clichés instantanés de volumes

L'approche est basée sur le processus de sauvegarde des fichiers Windows, qui est répété à chaque point de récupération. Condition importante pour que cette méthode fonctionne : la fonction « Restauration du système » doit être activée avant l'infection. Cependant, toute modification apportée au fichier après le point de restauration n'apparaîtra pas dans la version restaurée du fichier.

Sauvegarde

C’est la meilleure parmi toutes les méthodes sans rançon. Si la procédure de sauvegarde des données sur un serveur externe a été utilisée avant l'attaque du ransomware sur votre ordinateur, pour restaurer les fichiers cryptés, il vous suffit d'entrer dans l'interface appropriée, de sélectionner les fichiers nécessaires et de lancer le mécanisme de récupération des données à partir de la sauvegarde. Avant d'effectuer l'opération, vous devez vous assurer que le ransomware est complètement supprimé.

Vérifiez la présence éventuelle de composants résiduels du virus ransomware XTBL

Le nettoyage manuel risque de manquer des éléments individuels de ransomware qui pourraient échapper à la suppression en tant qu'objets cachés du système d'exploitation ou éléments de registre. Pour éliminer le risque de rétention partielle d'éléments malveillants individuels, analysez votre ordinateur à l'aide d'une suite antivirus universelle fiable.