Все файлы зашифрованы вирусом Trojan-Ransom.Win32.Shade и получили расширение *.xtbl. Выход есть!


Данный совет, применим для всех типов операционных систем, семейства Windows.

В этом месяце, у меня было несколько клиентов, которые «подхватили» вирус-шифровальщик. К сожалению, у всех них, кроме одного клиента, был злостный троян-вымогатель CTB-Locker (полное название: Trojan-Ransom.win32.Onion.vic). На данный момент, против трояна-вымогателя CTB-Locker (полное название: Trojan-Ransom.win32.Onion.vic) нет надёжных способов защиты, как и способов расшифровки файлов, после него. Раннее, уже сталкивался с данной «заразой», вирусом-шифровальщиком CTB-Locker и писал подробно в данной статье. Можете, почитать.

Но, как и написал выше, у одного клиента, был другой «род» вируса-шифровальщика. Trojan-Ransom.Win32.Shade – не хуже Trojan-Ransom.win32.Onion.vic. К сожалению, как и в первом случае, расшифровать файлы после Trojan-Ransom.Win32.Shade, практически не представлялось возможным. Все зашифрованные файлы, получают новые имена из беспорядочного (случайного) набора цифр и латинских (английских) букв и имеют расширение *.xtbl. На рабочем столе, появляется чёрный экран с красными буквами, где сообщается о том, что все файлы на компьютере зашифрованы и восстановить их можно только, если связаться с «творцами» данного «детища». Информация для связи, находиться в файлах README1, README2... 

Если нижеприведённая «картинка» Вам знакома, выход есть! Если не знакома – хорошо! Лучше, с данным вирусом-шифровальщиком, оставаться незнакомым и «дружбу не водить»! 

Если учесть, что ещё в июне 2015 года, все ведущие антивирусные кампании и в том числе Microsoft, заявили о том, что не знают даже в каком направлении двигаться, чтобы противодействовать данному «зловреду» Trojan-Ransom.Win32.Shade и как расшифровать файлы после него, было принято решение, попробовать восстановить файлы, своими силами. Для этого, планировал воспользоваться службой теневого копирования, которая есть в ОС Windows Vista и выше. Однако, как выяснилось, у клиента была установлена ОС Windows XP. Как вариант, можно попробовать перехватить трафик для «вылова» ключа. Но можно ли перехватить/обмануть сервер данного «зловреда»? Проблема в том как и в случае с Trojan-Ransom.win32.Onion.vic, что помимо прямого подключения через зашифрованную Сеть Tor, данный троян, умеет общаться с управляющими серверами через один из восьми веб-сервисов, перенаправляющих запросы из открытого Интернет в зашифрованную Сеть Tor. Таким образом, сокрытые управляющие сервера в анонимной + зашифрованной Сети Tor, сильно усложняют вычисление самих серверов, а нестандартные схемы шифрования делают невозможной расшифровку файлов, даже, если перехватить трафик между троянцем и управляющим сервером. Поэтому, перехват трафика, это очень нереалистичное предприятие. Понимая, что шансы на восстановление файлов, невелики, было принято решение обратиться в службу технической поддержки Лаборатории Касперского (для обращения в службу поддержки, необходимо иметь действующую/актуальную лицензию). Для этого, потребовалось отправить копии файлов README1, README2, а также, образцы зашифрованных файлов и тело вируса-шифровальщика. К моему удивлению, через девять дней, был прислан дешифратор, который расшифровал все файлы*. 

*Примечание. Тем, кому интересно знать механизмы работы данного вируса-шифровальщика и способы расшифровки, могут посмотреть нижеприведённую официальную статью от Лаборатории Касперского.
Ссылка на статью: https://securelist.ru/analysis/obzor/26790/shifrovalshhik-shade-dvojnaya-ugroza 

Анализ ситуации.

Прежде, чем закончить, хочу объяснить важный момент, а именно, при каких обстоятельствах, мой клиент «заразился» данным вирусом.
Получив доступ к системе, обнаружил, что у него не было антивируса. Система Windows, была сомнительного происхождения – пиратка от «Зверя». Достаточно ломанная пиратская версия, с непонятным количеством установленного софта. Да ещё и не просто ОС Windows, а Windows XP! Исходя из слов «потерпевшего», после того как он закончил просмотр видео ВКонтакте и вышел из Интернет-браузера, на экране, появилось устрашающее сообщение. Просканировав компьютер на вирусы и рекламное/шпионское ПО, были обнаружены зловредные расширения в Интернет-браузере, которые просто «заваливали весь экран рекламными баннерами. Таким образом, человек даже не подозревал, что находясь на надёжном Интернет-ресурсе, где не может быть зловредных скриптов в принципе, на самом деле, просматривает и «кликает» информацию через зловредное ПО, в котором и был зловредный скрипт. Так что не в соц. сети ВКонтакте был «пойман» вирус, а в обычном «щелчке» по рекламному баннеру с вирусным скриптом. 

Вывод.

Кто виноват в том, что ценные файлы, были зашифрованы вирусом-шифровальщиком? Думаю, ответ для многих – очевиден. Пренебрежение элементарными советами по Интернет-безопасности, привели к «солидным» проблемам.
ОС Windows XP, давно уже «умерла» и пора перейти с неё на более новую ОС. Если у вас, старый компьютер, а новый купить, нет средств, подумайте о переходе на ОС семейства Linux. Также, обязательно необходимо устанавливать полноценный/комплексный антивирус класса Internet Security и дополнительные расширения для Интернет-браузеров, которые будут блокировать рекламу. Не стоит пренебрегать установкой регулярных обновлений для ОС Windows, программ и антивирусов. Всю ценную информацию, следует хранить на съёмных носителях или на «облачных» Интернет-хранилищах. И не забывайте регулярно (раз в неделю), делать полное сканирование всей системы на вирусы. Всё это, давно всем известно и понятно. По данному поводу, в Сети Интернет – море информации. Но почему-то, всё это так «хорошо зная», мы в очередной раз этим всем пренебрегаем, а потом, «хватаемся за голову» и ищем виноватых. Помните, что в большинстве случаев, вирус-шифровальщик, попадает на компьютер, из-за пренебрежения элементарными «правилами чистоты» (выше перечисленными), при «хождении» в Сети Интернет. Не шутите с вирусами. Прошло то время, когда вирусы писались школьниками/студентами для забавы. Сегодня, вирусописатели, заинтересованы в коммерческой прибыли и поэтому, тратят немало сил и средств, на создание таких вирусов, которым будет сложно противостоять, даже огромным антивирусным кампаниям. И хотя, моему клиенту повезло, что его файлы были расшифрованы, не стоит забывать, что таких случаев, к сожалению – единицы. Ведь если бы он «подцепил» вирус-шифровальщик семейства CTB-Locker, то ему бы уже никто не помог. Все данные, были бы безвозвратно утеряны. 

Тема для размышления. 

Есть немало людей (частенько сталкиваюсь с таким мнением), которые считают, что вирусы, придумывают сами антивирусные кампании. Тогда вопрос, зачем придумывать такие вирусы, что если и дальше так будут идти успехи вирусописателей, то отпадёт необходимость в самих антивирусах? Ведь на сегодняшний день, все ведущие антивирусные кампании, не способны эффективно противостоять вирусам-шифровальщикам.
Берегите свои данные. Относитесь к информационной безопасности в Сети, с полной серьёзностью. Не стоит думать, что если вы не «агент 007», то вирусы, будут обходить вас стороной (тоже, нередко встречаю таких «товарищей»).

Окончательный итог. 

Если у вас, файлы зашифрованы вирусом-шифровальщиком семейства Trojan-Ransom.Win32.Shade, есть возможность их расшифровать. Либо, имея легальную/действующую лицензию на антивирус (можно купить; чтобы получить лучшую гарантию на успех, приобретите лицензию на антивирусные продукты Лаб. Касперского и ДокторВеб), обратитесь в службу технической поддержки (лучше всего, обращаться в Лаб. Касперского и ДокторВеб). Как хороший вариант, найдите специалиста/контору, который/которая попробует восстановить ваши файлы из теневых копий, при условии, если у вас установлена ОС Windows Vista и выше.

Если вы, пострадали от атаки вируса-шифровальщика, ознакомьтесь с данной информацией: https://pc103help.blogspot.com/2020/07/kto-takie-dr-shifro-dekodery-ili-peregovorshhiki.html 

Добавлено 08.08.2020*

Есть новая версия утилиты от антивирусной Лаборатории Касперского, которая позволяет расшифровать файлы, пострадавшие после атаки шифратора Trojan-Ransom.Win32.Shade:

Бесплатная расшифровка Trojan-Ransom.Win32.Shade (Код да Винчи). 

*На момент добавления данной заметки, эта информация была актуальна для тех, кто пострадал от старых версий шифровальщика Trojan-Ransom.Win32.Shade до конца мая 2020 года. При этом, вы можете проверить ссылку на загрузку в статье выше, где будет постоянно отображаться дата последнего обновления дешифратора.

Добавлено 19.02.2021 

Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:

Бизнес-предложение для фирм, предприятий, частных лиц и организаций. 

Резервное копирование данных, защита данных от потерь, организация удаленного офиса для сотрудников, настройка бухгалтерии в облаке, VDS/VPS, опытная и отзывчивая поддержка, обслуживание и сопровождение. Данное предложение актуально для коммерческих и государственных структур. Узнать больше...

Отправить комментарий

Новые Старые