Вирус xtbl является одним из самых опасных на сегодняшний день. Подхватить его можно, например, получив по почте архивный файл и открыв его. Если вы уже имели дело с подобными проблемами, можно восстановить работоспособность компьютера самостоятельно, воспользовавшись инструкциями в статье. Но если у вас нет опыта в данной области, то лучше немедленно выключить заражённое устройство и отнести его профессионалам, иначе существует риск безвозвратной потери файлов.

Что собой представляет вирус xtbl?

Вирус xtbl представляет собой трояна и состоит из нескольких вредоносных программ:

  1. Блокировщик рабочего стола — пользователь ничего не может сделать со своей системой Windows.
  2. Программа, подключающая компьютер к Ботнету (сеть заражённых устройств). Машина начинает рассылать спам по всему интернету и полностью подчиняется злоумышленникам за счёт чего очень медленно работает.
  3. Руткит, который помогает скрыть от глаз владельца системы вторую программу.
  4. Программа, которая шифрует файлы. В своей работе она использует сложный алгоритм-шифратор, если его найти, то можно обойтись меньшими потерями и быстрее восстановить файлы, но ещё никому не удалось это сделать — шифратор самостоятельно удаляется сразу после завершения своей работы.

После того как вирус xtbl будет запущен, файлы на рабочем столе поменяют названия на похожие: +InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl.

Файлы, заражённые xtbl

Файлы, зашифрованные вирусом xtbl, приобретают странный вид

 

Файлы, подверженные вирусной атаке — таблица

Текстовые файлы .txt, .doc, .docx
Аудиофайлы .wma, .mp3, .wav
Изображения .tiff, .jpeg, .bmp, .jpe, .jpg, .png, .gif, .psd
Видеофайлы .mpeg, .flv, .mov, .3gp, .avi, .ogg, .vob
Электронные книги .djvu, .fb2, .pdf
Microsoft Office Excel .xls, .xlsx

На рабочем столе вместо заставки появляется сообщение:

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

Attention! All the important files on your disks were encrypted. The details can be found in README.txt files which you can find on any of your disks.

сообщение xtbl

Сообщение на рабочем столе компьютера

По всем папкам с файлами разбросаны единственные незашифрованные файлы README.txt, в которых содержится информация о данных злоумышленника, куда нужно написать, чтобы восстановить всю информацию. Содержание примерно следующее:

Ваши файлы были зашифрованы. Чтобы расшифровать их, вам необходимо отправить код: A1D1AFA0C84B19BE9F14|0 на электронный адрес decoder1112@gmail.com или deshifrovka@india.com. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Не спешите отправлять сообщение мошеннику — не факт, что он вас не обманет. Он может попросить какую-либо сумму за программу-дешифратор и продемонстрировать его работу, но когда получит от вас требуемую сумму, будет ли он отправлять вам дешифратор, зная, что вы можете поделиться им с другими пострадавшими?

Лицензионные антивирусные программы способны бороться с подобными вирусами, но хакеры постоянно изобретают что-то новое. Вирусные базы попросту не успевают обновляться, для этого разработчикам требуется несколько дней.

Восстановление файлов

Прерывание процесса шифрования

Только представьте, сколько на компьютере разнообразных файлов, поэтому шифровальщик не способен обработать их все мгновенно. А это значит, что этот процесс можно прервать, как и любую другую программу.

  1. Отключить компьютер от интернета. Сделать это можно несколькими способами на ваш выбор:
    • выдернуть кабель;
    • отключить соединение в «Центре управления сетями и общим доступом»;
    • в диспетчере устройств деактивировать сетевой адаптер.

      Центр управления сетями и общим доступом

      В «Центре управления сетями и общим доступом» пользователь может управлять всеми настройками сети, включить или выключить Интернет

  2. Открыть «Диспетчер задач» (Ctrl + Alt + Delete) избавиться от файлов, которые проявляют чрезмерную активность, и удалить подозрительные процессы.

    Диспетчер задач Windows

    Названия процессов могут отличаться в зависимости от вирусов, следует смотреть на самые активные и подозрительные

  3. Сохранить код, который вас просят выслать злоумышленники (только не в файле на этом же компьютере), потом вы сможете отправить его разработчикам антивирусов.

Удаление вируса с помощью антивируса

Для очистки системы понадобятся две утилиты — Dr.Web CuteIt! и Anti-Malware. С помощью незаражённого компьютера загрузите их на флешку и используйте при появлении вирусов на компьютере.

  1. Загружаем систему в безопасном режиме, в нём будут работать только основные системные процессы, поэтому вирус не сможет помешать избавиться от него.

    Безопасный режим

    Способы входа в безопасный режим на Windows зависят от версии системы

  2. Для очистки системы используем утилиту Dr.Web CuteIt!.

    Dr.Web CureIt!

    Не начинайте проверку утилитой, пока не выберите все объекты

  3. Выбираем для проверки все объекты.

    Выбор объектов

    Выбираем все объекты для проверки

  4. Ждём завершения процесса.

    Процесс проверки

    Проверка займет некоторое время

  5. Обезвреживаем все угрозы.

    Обезвреживание угроз

    Обезвреживаем все найденные угрозы

  6. Делаем ещё одну проверку с помощью Anti-Malware от компании Malwarebytes. Утилита поможет избавиться от следов вредоносных программ.

    Anti-Malware

    Эта программа поможет избавиться от остатков вредоносных файлов

Использование программ-дешифраторов

Многие пытаются создать универсальный дешифратор для таких файлов, но в настоящее время его нет. Не верьте людям в интернете, которые гарантируют вам результат за небольшое вознаграждение, не попадайтесь на удочку мошенников. Существует несколько антивирусных лабораторий, которые сделали пусть пока что не совсем идеальные, но всё-таки работающие дешифраторы.

Единственным условием использования дешифратора Dr.Web является наличие платной версии антивируса на компьютере, например, Dr.Web Security Space или Dr.Web Enterprise Security Suite.

  1. Перейдите на официальный сайт Dr.Web по этой ссылке.
  2. Заполните предлагаемую форму, не забудьте прикрепить один из заражённых файлов.

    Форма расшифровки данных

    Заполните форму на официальном сайте Dr.Web

У лаборатории Касперского также есть решение этой проблемы.

  1. Перейдите на официальный сайт по ссылке.
  2. Выберите второй пункт «Как расшифровать файлы».
  3. Скачайте файл RectorDecryptor.exe для своей операционной системы.
  4. Запустите скачанный файл и в появившемся окне нажмите на кнопку «Начать проверку».

Можно также использовать онлайн-дешифратор.

  1. Перейдите по ссылке.
  2. Нажмите на кнопку «Choose file» или «Выберите файл».

    Онлайн-дешифратора

    Сервис не гарантирует стопроцентного результата, но попробовать можно

  3. Укажите файл, который требуется расшифровать, и ждите результата, возможно, вам повезёт.

Как расшифровать файлы с помощью лаборатории Касперского — видео

Восстановление файлов из резервной копии

  1. В панели управления находим элемент «Архивация и восстановление».
  2. Выбираем «Восстановить мои файлы».

    Архивация и восстановление

    Восстанавливаем свои файлы, также можно выбрать другие опции по желанию

  3. Переходим на окно мастера восстановления.

    Окно мастера восстановления

    Мастер восстановления богат разнообразными функциями

  4. Выбираем дату архива.
  5. Ищем файлы, которые нужно восстановить.
  6. Нажимаем кнопку «Далее» и переходим к выбору места назначения для восстанавливаемых файлов.

    Выбор места

    Файлы могут восстановиться в той папке, в которой были, или в другой

  7. Нажимаем «Восстановить» и ждём завершения процесса.

Чего делать не следует?

  1. Вручную менять названия и расширения файлов.
  2. Связываться со злоумышленниками.
  3. Отключать питание устройства (это делу не поможет).
  4. Форматировать все диски и переустанавливать Windows (безусловно, это эффективно, но влечёт за собой потерю всех файлов);.
  5. Не предпринимать никаких действий (если неуверены в своих силах, то лучше отнесите устройство в сервисный центр).

Практически от любого вируса, в том числе и от xtbl, можно избавиться своими силами. Но если вы с этим сталкиваетесь впервые, то обратитесь к специалистам в сервисный центр. Неосторожное действие может повлечь за собой потерю файлов, которые уже нельзя вернуть.

Читайте ранее:
Включение и отключение компонентов в Windows 7
Отключение ненужных служб в Windows 7: бесплатное ускорение компьютера

Стремясь предусмотреть все возможные варианты использования Windows, разработчики оснастили её множеством служб, часть из которых нужна лишь малому числу пользователей. Для...

Закрыть