Относительно недавно в сети Интернет появился новейший вредитель – вирус-шифровальщик XTBL. Для многих пользователей он стал настоящей головной болью. Дело в том, что по сути своей это программа-вымогатель, справиться с которой не так-то просто. Но посмотрим, что можно сделать и какие действия предпринимать крайне не рекомендуется.
Что такое XTBL-вирус?
То, что компьютерные вирусы существуют, никому объяснять не нужно. Их сегодня можно насчитать сотни тысяч. Но вот одной из самых глобальных проблем стало недавнее появление XTBL-вируса, удаленно шифрующего данные на пользовательском компьютерном терминале.
Откровенно говоря, многие IT-гиганты типа «Лаборатории Касперского» или ESET оказались просто не готовыми к такой эпидемии, поскольку раньше не сталкивались ни с чем подобным.
Конечно, в базе данных сигнатур вирусов любой корпорации, разрабатывающей антивирусное программное обеспечение, имеется достаточно много шаблонов, по которым можно отслеживать подозрительные файлы и вредоносные коды, но, как оказывается, это не всегда помогает.
Подобная ситуация наблюдалась, когда появился всем известный и нашумевший в свое время вирус под названием «I Love You», который просто удалял мультимедийное содержимое с зараженных компьютеров. Вирус-шифровальщик XTBL действует подобным образом и представляет собой достаточно необычную модификацию трояна, совмещенную с вымогательством денежных средств.
Как вирус проникает в систему?
Что касается проникновения в систему, здесь можно отметить несколько важных аспектов. Дело в том, что вирус с расширением XTBL как таковой себя не проявляет. Чаще всего угроза приходит в виде письма на электронную почту с вложениями архивного типа или типа .scr (стандартное расширение файлов скринсэйвера Windows).
Исходя из этого, можно посоветовать, никогда не отрывать вложения, содержащие такие файлы, причем даже если они пришли из надежного источника. В крайнем случае, если имеется установленный штатный антивирусный сканер, перед открытием вложения его нужно попросту проверить на предмет содержания угроз.
Как выглядят последствия действия вируса?
Последствия, увы, крайне печальны. Если уж пользователь "подхватил" такую заразу, нужно быть предельно внимательным.
Сам вирус удаленно шифрует пользовательские файлы на компьютере (чаще всего это касается фото или музыки) с переименованием имен в набор букв и цифр и применением расширения .xtbl.
Но и это еще не все. После завершения процесса шифрования пользователю выдается системное сообщение о том, что файлы на компьютере были зашифрованы. Для того чтобы получить так называемый дешифратор файлов после вируса XTBL, юзеру предлагается заплатить кругленькую сумму (обычно в районе 5000 рублей) и отправить код на электронные адреса типа deshifrovka01@gmail.com, deshifrovka@india.com или decoder1112@gmail.com.
Как уже понятно, делать этого не стоит. В итоге можно просто потратить деньги, а взамен не получить абсолютно ничего (собственно, так и происходит).
Самостоятельные попытки избавления от вируса
К сожалению, технология, по которой работает вирус с расширением XTBL, пока еще досконально не изучена, так что говорить о каких-либо активных действиях не приходится.
Беда в другом: самостоятельная попытка переименования зараженных файлов или смена расширения приводит только к тому, что вся информация будет тут же удалена. К примеру, попытались вы изменить файл типа 12345уі8758ав9gs5764.xtbl, который раньше был фотографией. После переименования, естественно, нажимается клавиша Enter для подтверждения завершения операции. Файл тут же удаляется, несмотря ни на что, причем не в «Корзину», а с жесткого диска без возможности восстановления. Использование специализированных утилит по восстановлению данных также позитивного результата не гарантирует.
Антивирусные утилиты
С антивирусами тоже не все просто. Сегодня существует реальная угроза, которую несет XTBL-вирус. Как расшифровать данные после его воздействия, пока не знает никто. Заметьте, даже специалисты «Лаборатории Касперского» честно признались, что у них на данный момент нет действенного средства для борьбы с этой неожиданной угрозой.
Хотя в некотором отношении XTBL-вирус и ведет себя как обычный троян, тем не менее действие его во многом отличается от стандартной схемы. Даже попытка поиска вирусного файла в системе стандартным сканером или в ручном режиме, а также последующее удаление приводят только к тому, что вирус создает собственную копию, маскируясь под системные или пользовательские файлы. В этом случае отыскать его на компьютере становится просто сизифовым трудом. Более того, в самом вирусе заложена защита от подобного вмешательства.
Онлайн-сканирование
Что касается онлайн-дешифрации, можно сказать только одно: на данный момент ни у кого из разработчиков нет абсолютно никаких средств для этого. Так что, если вам предлагают воспользоваться услугами какого-то веб-ресурса, можете быть уверены, что это полный развод.
В приоритете создания противоядия у всех IT-гигантов эта проблема стоит первоочередной. Но не все так плохо.
Можно ли найти дешифратор файлов после вируса XTBL?
Как уже понятно, сегодня хоть какого-то мало-мальски работающего средства по защите от этого вируса в природе не существует. Однако можно попробовать предотвратить действия, им совершаемые.
Так, например, если замечено начало процесса шифрования, его можно быстро завершить в дереве процессов, используя стандартный «Диспетчер задач».
Может быть и другая ситуация, когда на компьютерном терминале уже присутствует XTBL-вирус. Как удалить его? Сделать это можно только при помощи стандартного антивируса (но ни в коем случае не вручную), хотя и данное действие не является залогом того, что пользователь избавится от этого вредителя.
Если ничего не помогает
На крайний случай, если уж совсем ничего не помогает, можно воспользоваться для удаления трояна программами типа Rescue Disc с антивирусным программным обеспечением. Речь о дешифровании сейчас не идет. По крайней мере хотя бы удалить XTBL-вирус в еще, так сказать, незапущенном виде до старта Windows можно при помощи утилит типа Rescue Disc.
Самого-то вредителя удалить можно. Если же дело касается последствий воздействия трояна, увы, пока ничего сделать нельзя. Судя по всему, XTBL-вирус относится к вредителям нового поколения, для которых лекарство еще не создано, хотя все усилия направлены именно на это.
По последним сведениям разработчики антивирусного программного обеспечения «Лаборатории Касперского» заявили о том, что в ближайшее время средство борьбы с новоявленным компьютерным вредителем будет найдено. Ну, а рядовым пользователям остается только ждать и надеяться, что новое лекарственное средство окажется максимально действенным.
Заключение
Напоследок стоит сказать, что в отличие от стандартных методов шифрования этот вирус не использует алгоритмы типа AES. Именно поэтому расшифровать данные после воздействия вируса оказывается такой же непростой задачей, как во времена Второй мировой войны сообщения немецких ВМФ, использовавших шифровальную технологию «Энигма».
Но отчаиваться не стоит. Думается, в ближайшее время решение этой проблемы будет найдено. Тут главное – не паниковать, не выключать компьютер и не переименовывать файлы. Лучше дождаться официального релиза антивирусного решения, а то самостоятельно все просто можно испортить.