Вирус изменил расширения всех файлов

Окно Дополнительные параметры Файлового Антивируса

Показать все | Скрыть все

В блоке Типы файлов вы можете выбрать тип файлов, который должен проверять Файловый Антивирус. Значения параметров, установленные по умолчанию в этом блоке, зависят от выбранного уровня безопасности.

Все файлы

Файловый Антивирус проверяет все файлы без исключения (любых форматов и расширений).

Файлы без расширения Файловый Антивирус считает исполняемыми и проверяет их всегда, независимо от того, файлы какого типа вы выбрали для проверки.

Файлы, проверяемые по формату

При выборе этого варианта Файловый Антивирус проверяет только файлы, в которые может внедриться вирус. Перед началом поиска вирусов в файле выполняется анализ его внутреннего заголовка на предмет формата файла (TXT, DOC, EXE и так далее). При проверке также учитывается расширение файла.

Файлы без расширения Файловый Антивирус считает исполняемыми. Файловый Антивирус проверяет их всегда, независимо от того, файлы какого типа вы выбрали для проверки.

Файлы, проверяемые по расширению

В этом случае Файловый Антивирус проверяет только потенциально заражаемые файлы. При этом формат файла определяется на основании его расширения.

Файлы без расширения Файловый Антивирус считает исполняемыми и проверяет их всегда, независимо от того, файлы какого типа вы выбрали для проверки.

Изменить область защиты

По ссылке открывается окно Область защиты Файлового Антивируса.

Блок Методы проверки предназначен для выбора методов, которые Файловый Антивирус должен использовать при проверке компьютера. Значения параметров, установленные по умолчанию в этом блоке, зависят от выбранного уровня безопасности.

Сигнатурный анализ

При сигнатурном анализе используются базы Kaspersky Free, содержащие описания известных угроз и методы их устранения. Защита с помощью сигнатурного анализа обеспечивает минимально допустимый уровень безопасности.

В соответствии с рекомендациями специалистов "Лаборатории Касперского" этот метод анализа всегда включен.

Эвристический анализ

Ползунок

Изменяет уровень эвристического анализа. Уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз, степенью загрузки ресурсов операционной системы и временем проверки.

Существуют следующие уровни эвристического анализа:

  • Поверхностный. Эвристический анализатор выполняет меньше действий, содержащихся в исполняемом файле. При таком режиме вероятность обнаружить угрозу снижается. Проверка требует меньше ресурсов системы и проходит быстрее.
  • Средний. Эвристический анализатор выполняет то количество инструкций в исполняемом файле, которое рекомендовано специалистами "Лаборатории Касперского".
  • Глубокий. Эвристический анализатор выполняет больше действий, которые содержатся в исполняемом файле. При таком режиме вероятность обнаружить угрозу возрастает. Проверка требует больше ресурсов системы и занимает больше времени.

Блок Оптимизация проверки предназначен для выбора способов, которые позволяют сократить время проверки. Значение параметра, установленное по умолчанию в этом блоке, зависит от выбранного уровня безопасности.

Проверять только новые и измененные файлы

Флажок включает / выключает режим проверки только новых файлов и файлов, которые изменились с момента предыдущего их анализа. Файловый Антивирус проверяет как простые, так и составные файлы.

Блок Проверка составных файлов содержит список составных файлов, которые Файловый Антивирус анализирует на присутствие вирусов. Значение параметра, установленное по умолчанию в этом блоке, зависит от выбранного уровня безопасности.

Проверять архивы

Флажок включает / выключает проверку архивов форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE.

Проверять установочные пакеты

Флажок включает / выключает проверку установочных пакетов.

Проверять вложенные OLE-объекты

Флажок включает / выключает функцию, при использовании которой Kaspersky Free проверяет вложенные в файл OLE-объекты (например, таблицы Microsoft Office Excel® или макросы, внедренные в файл Microsoft Office Word, вложения почтового сообщения).

Дополнительные параметры

При нажатии на кнопку открывается окно Составные файлы. В окне вы можете настроить параметры проверки составных файлов.

В блоке Режим проверки вы можете выбрать условие, при котором Файловый Антивирус начинает проверять файл.

Интеллектуальный

Режим проверки, при котором Файловый Антивирус проверяет объект на основании анализа операций, выполняемых над объектом (этот режим используется по умолчанию).

Например, при работе с документом Microsoft® Office Kaspersky Free проверяет файл при первом открытии и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки исключаются.

При доступе и изменении

Режим проверки, при котором Файловый Антивирус проверяет объекты при попытке их открыть / изменить.

При доступе

Режим проверки, при котором Файловый Антивирус проверяет объекты только при попытке их открыть.

При выполнении

Режим проверки, при котором Файловый Антивирус проверяет объекты только при попытке их запустить.

В блоке Технологии проверки вы можете выбрать технологию проверки файлов.

Технология iSwift

Технология, представляющая собой развитие технологии iChecker для компьютеров с файловой системой NTFS.

Технология iSwift имеет ограничение: она привязана к конкретному местоположению файла в файловой системе и применима только к объектам, расположенным в файловой системе NTFS.

Флажок включает / выключает использование технологии iSwift.

Технология iChecker

Технология, позволяющая увеличить скорость проверки за счет исключения из нее некоторых файлов. Файлы исключаются из проверки по специальному алгоритму, учитывающему дату выпуска баз Kaspersky Free, дату предыдущей проверки файла, а также изменение параметров проверки.

Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а кроме того, применима только к файлам с известной программе структурой (например, к файлам формата EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR).

Флажок включает / выключает использование технологии iChecker.

В начало

Вирус изменил кодировку документов

Нечитаемая кодировка вывода в PowerShell -> Исправляем!

Вы начали осваивать Powershell, но если у вас в системе установлена «кириллица» по-умолчанию, то вы увидите следующую картину вывода:

За пример взята команда ping’a. Вывод команды нечитаемый.

Устанавливаем кодировку в читаемый вид следующей командой:

[Console]::OutputEncoding = [System.Text.Encoding]::GetEncoding(«cp866»)

И выполняем повторно команду ping:

Как видим, проблема была решена.

Меняем кодировку папок, подпапок и файлов.

Бывают ситуации, когда нам необходимо переименовать в читаемый вид все папки и файлы, которые мы скачали из интернета.

Ниже приведу пример для решения данного типа задач с готовой функцией:

function ConvertTo-Encoding ([string]$From, [string]$To){
Begin{
$encFrom = [System.Text.Encoding]::GetEncoding($from)
$encTo = [System.Text.Encoding]::GetEncoding($to)
}
Process{
$bytes = $encTo.GetBytes($_)
$bytes = [System.Text.Encoding]::Convert($encFrom, $encTo, $bytes)
$encTo.GetString($bytes)
}
}
$dir=»C:\Users\ITLifePro\Desktop\Закупки» #указываем директорию для переименования всех папок и файлов
$f1=Get-ChildItem -path $dir -Recurse | ForEach-Object{ #Указываем, что нам необходимо вывести все папки и файлы в каталоге $dir, далее указываем обработку для каждого файла/папки командой «ForEach-Object» 
$newName=$_ | ConvertTo-Encoding koi8-r windows-1251 #изменяем кодировку ИЗ и в КАКУЮ
Write-Host $newName #выводим на экран для наглядности, можно предварительно запустить для проверки отработки, последнюю команду «Rename-Item» закоментировать.
Rename-Item -Path $_.FullName -NewName $newName #обращаемся к свойству «FullName» текущего объекта, который содержит название файлов и меняем.
}

ГлавнаяНовостиВнимание! Вирус!

Внимание! Вирус!

В настоящее время участились случаи заражения компьютеров опасным вирусом, фактически, уничтожающим все данные пользователей. Это, так называемый «вирус-шифровальщик» или «вирус-вымогатель». Особенно опасной эту угрозу делает тот факт, что далеко не все антивирусы способны предотвратить ущерб от действия данного вида вредоносных программ. Наиболее надежной защитой является осторожность и внимательность самого пользователя. В связи с этим предлагается ознакомиться с данным материалом, описывающим принцип действия таких вирусов и методы борьбы с ним.

Скрытая угроза

Приведенный в действие вирус сканирует жесткий диск компьютера и все доступные носители информации (подключенные флешки, внешние жесткие диски, карты памяти и т.д.), отыскивая определенные категории файлов. Как правило, это файлы, с наибольшей вероятностью содержащие ценную для пользователя информацию: текстовые документы, фотографии, электронные таблицы, архивы, базы данных 1С, рабочие файлы различных программ и т.д. Далее все обнаруженные файлы шифруются одним из видов крипотустойчивых алгоритмов. Для пользователя это означает две неприятные вещи:

  1. Все его личные и рабочие файлы невозможно открыть и как-либо использовать, так как они зашифрованы;
  2. Расшифровать файлы, не зная ключа (т.е. взломать шифр), невозможно.

 

Рисунок 1 — Исходный (слева) и зашифрованный (справа) файл

Методы проникновения

Вирус-шифровальщик отличается тем, что, как правило, не пытается «пролезть» в компьютер пользователя, используя системные уязвимости. Он использует для этого самого пользователя. Наиболее вероятный сценарий – вредоносный файл приходит по электронной почте. Причем электронное письмо, скорее всего, будет тщательно замаскировано под важную для пользователя информацию. Например, оно может называться «Повестка в суд», «Акт выполненных работ», «Уведомление о задолженности», «Изменения в налоговом кодексе РФ» и т.д. и т.п. Наиболее опасными являются не автоматически сгенерированные по определенному шаблону письма, а отправленные специально и конкретному лицу. В этом случае злоумышленник может подобрать наиболее правдоподобное для вас содержание письма, с учетом ваших персональных данных и должности. В любом случае подобные послания преследуют ровно одну цель: под видом важной информации подсунуть исполняемый файл в приложении или ссылку на его скачивание. При открытии такого файла пользователем запускается вирус. Нередко параллельно с вирусом запускается также и текстовый документ, содержащий информацию по теме письма, просто для того чтобы усыпить внимание. Пока пользователь читает документ, вредоносная программа шифрует данные на компьютере.

Методы борьбы

  1. Необходимо иметь на компьютере адекватный антивирус со свежими антивирусными базами. Это не панацея, но все-таки дополнительная защита.
  2. Следует с подозрением относится к любым письмам со ссылками и вложенными файлами. Прежде всего, нужно обращать внимание на адрес отправителя. Если адрес выглядит примерно так «darryl.rosenberg@gic-web-bsd-033.genotec.ch» то это явно никакое не официальное письмо, а послание от спамера/хакера. Однако вредоносные файлы могут приходить и с вполне благонадежных на вид адресов, на сегодняшний день вполне возможно подделать электронный адрес отправителя до степени смешения с почтой официальных учреждений.
  3. При получении письма с вложенными файлами обращайте внимание на расширение файлов! Это очень важно, так как вирус стараются маскировать под текстовые документы или аудио-видео записи. При этом во вложении, как правило, отображается полное расширения файла, в результате у файла оказывается «двойное» расширение, например: имя_файла.docx.bat (см. рис. 2 и рис.3) В данном случае docx – это формат документа MS Word. Именно под него маскируется файл. А истинное расширение – bat. Это формат исполняемого файла, который может содержать вредоносный код. При попытке открыть такой «документ» вы можете своими руками запустить на компьютер вирус. Поэтому никогда не скачивайте из электронной почты файлы, если на конце отображается одно из следующих расширений:.exe, .com, .js, .wbs, .hta, .bat, .cmd, .msi.

    Рисунок 2 — Во вложении файл с расширением .exe замаскированный под документ MS Word

    Рисунок 3 — Во вложении файл с расширением .js замаскированный под pdf-документ

  4. Во вложении может находиться безобидный на вид архив или же ссылка на скачивание файла. При этом распаковав архив или скачав файл по ссылке вы можете не заметить «истинную сущность» файла, так как во многих операционных системах расширения файлов могут быть скрыты. Поэтому необходимо включить их отображение и следить за форматом открываемых документов. Для этого выполните следующие действия:

    а) Если у вас Windows 8/Windows 8.1:
    Наверху открытого окна перейти на вкладку «Вид» и установить галочку напротив «Расширения имен файлов»

    б) Если у вас Windows 7:
    На клавиатуре нажать левый Alt. Наверху появится главное меню (рис.4).

     

    Рисунок 4 — Нажмите Alt на клавиатуре и в появившемся в верхней части окна меню выберите «Сервис». Далее в выпадающем меню нажмите строку «Параметры папок»

    В нем открыть меню «Сервис – Параметры папок». В открывшемся окне перейти на вкладку «Вид». В списке дополнительных параметров почти в самом низу снять галочку напротив «Скрывать расширения для зарегистрированных типов файлов» и нажать кнопку «ОК» или «Применить» (рис.5).

     

    Рисунок 5 — В параметрах папок выберите вкладку «Вид» и снимите галочку «Скрывать расширения для зарегистрированных типов файлов».

    в) если у вас Windows XP:
    Все аналогично Windows 7 за исключением нажатия кнопки Alt для вызова главного меню. Оно обычно всегда отображается в Windows XP.

    После выполнения данных операций в вашей системе будут отображаться расширения файлов (рис.6).

     

    Рисунок 6 — Сверху – расширения файлов скрыты. В папке два документа, по внешнему виду которых трудно понять, что это вредоносные программы.

    Вирус изменил названия файлов

    Внизу – расширения файлов отображаются, при этом видно, что у первого файла расширение .bat, а второй только маскировался под pdf-файл, а на самом деле это скрипт с расширением .js

  5. Если вы все же скачали и запустили подозрительный файл, то операционная система может вывести на экран предупреждение примерно такого вида:

     

    Рисунок 7 — Примерный вид предупреждающий окон Windows

    Если при попытке открытия файла, полученного по электронной почте появляется такое окно, следует нажимать «НЕТ». При запуске обычных безопасных файлов откроется ассоциированная с ними программа, например Microsoft Word или Adobe Acrobat. Появление же такого окна означает, что вы пытаетесь запустить файл, который может внести изменения в систему, в т.ч. без вашего ведома, и если вы получили такой файл по электронной почте это на 95% вирус.

    Также следует помнить, что такое окно может и не высветиться при открытии вредоносного файла. Это зависит от настроек безопасности Windows!

Резюме

Угроза подобных вирусов, распространяющихся через электронную почту весьма велика. За последний год более 300 крупных фирм и компаний по всему миру пострадали от этого вида угроз. Легко представить масштаб катастрофы, если подобный вирус поразит рабочие компьютеры бухгалтерии, отдела разработок или других ключевых отделов предприятия. Поэтому в случае с особо важной информацией, конечно, следует ее как можно чаще «бэкапить» то есть создавать копии файлов на безопасном носителе. Это могут быть, например:

  • Специальный защищенный раздел жесткого диска (с входом по паролю);
  • Внешний жесткий диск. Но он должен подключаться к компьютеру только для копирования информации! Если он будет включен постоянно вирус «запрыгнет» на него как и на все остальные жесткие диски компьютера!
  • Сетевое хранилище с защищенным доступом.

И, конечно, следует соблюдать бдительность!

20 января 2016 г.

Поделиться ссылкой на эту страницу:
  • Демагогии много не будет так как статья и так довольно большая получиться! Давайте разберемся что можно сделать если ваш компьютер заражен шифратором: Для начала надо узнать что за шифровальщик сделал это плохое дело с вашими файлами.

    Как лечить вирус, шифрующий файлы и изменяющий их расширение на XBTL?

    Ниже в конце статьи есть ссылки на Сервисы которые дадут всю информацию по вашему зло вреду который орудует у вас на компьютере. Если название вашего зло вреда совпало с названиями в этой статье то это пол беды и так читаем далее что нам предлагает Kaspersky в борьбе с вымогателями шифраторами. Честно сказать довольно сильные это вирусы у вас действительно проблемы. Вывести эту гадость с вашего компьютера можно, это не проблема а вот вернуть файлы это вопрос :

  • Перечисляю название вымогателей и в конце вы выкладываю имя программы которая возможно вам поможет :
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl илиTrojan-Ransom.Win32.CryptXXX версии 1 и 2.

    Какие названия у ваших файлов станут после шифрования :

  • При заражении Trojan-Ransom.Win32.Rannoh имена и расширения locked-<имя_вашего_файла> .
  • При заражении Trojan-Ransom.Win32.Cryakl в конец файлов добавляется {CRYPTENDBLACKDC}.
  • Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону<оригинальное_имя>@<почтовый_домен>_.<набор_символов>
  • Например, ioblomov@india.com_.RZWDTDIC.
  • При заражении Trojan-Ransom.Win32.CryptXXX изменяется по шаблону <оригинальное_имя>.crypt.
  • Проверяем для достоверности сервисом который выложу в конце статьи и если все совпадается то скачиваем утилиту :
  • RannohDecryptor.zip.с оф., сайта Kaspersky
  • .

  • RannohDecryptor.zip.с облако проверенно Kaspersky
  • После нажатия на кнопку начать проверку откроется окно в котором вам надо показать зашифрованный файл.
  • Далее программа сама все сделает. Если сделает !))) Но не будем о плохом все будет хорошо !
  • XoristDecryptor

  • Предназначена для борьбы с вирусами шифраторами : Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
  • Распознать шифратора можно по следующим шагам : Выдает окно что типо того как ниже :
  • На диске C:/ делает файлы с названием «Прочти Меня — как расшифровать файлы». Открыв такой файл, в нем будет содержание на подобии как на картинке ниже.
  • Так же в папке Windows присутствует файл с именем CryptLogFile.txt. В нем записывается все что было зашифровано.
  • Расшифровка файлов

  • XoristDecryptor.exe с оф., сайта Kaspersky
  • XoristDecryptor.exe с облако проверенно Kaspersky
  • Запускаем и показываем зашифрованный файл и ждем пока утилита пробует расшифровать файл.
  • Если утилита XoristDecryptor не определит файл, предложит отправить на почту stopgpcode@kaspersky.com . В Лаборатории Касперского изучат файл, обновят антивирусную базу XoristDecryptor. Что при повторном лечении есть вариант вернуть ваши файлы.

    Следующая утилита называется RectorDecryptor

  • Как и выше изложенные она от компании Kaspersky и служит для расшифровки файлов зараженных вымогателем шифровальщиком : Trojan-Ransom.Win32.Rector
  • Какие файлы шифрует :
  • jpg, .doc, .pdf, .rar.
  • Название файлов после шифрования :
  • vscrypt, .infected, .bloc, .korrektor
  • Подпись автора в виде ††KOPPEKTOP†† и связь с ним можно держать :
  • ICQ: 557973252 или 481095
  • EMAIL: v-martjanov@mail.ru
  • В некоторых случаях злоумышленник просит оставить сообщение в гостевой книге одного из своих сайтов которые не работают или работают в нужное ему время:
  • https://trojan….sooot.cn/
  • https://malware….66ghz.com/
  • Так же банер на рабочем столе вида ниже говорит о том что ваши файлы зашифрованы этим шифратором:
  • Как попробовать вернуть ваши файлы :
  • Скачиваете утилиту от Kaspersky под названием
  • RectorDecryptor.exe с оф., сайта Kaspersky
  • RectorDecryptor.exe с облако проверенно Kaspersky
  • Как и во все других выше утилитах от Kaspersky. Скачанную утилиту запускаете и нажав на кнопку Начать проверку в от к рывшемся окне указываете зашифрованный файл.
  • Отчет о проделанной работе как и в примерах выше с программами вы можете найти по адресу: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt Время и дата приблизительная, у вас будет ваша.
  • Утилита RakhniDecryptor

  • Для борьбы с шифровальщиками от компании Kaspersky :
  • Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry,Trojan-Ransom.Win32.Bitman версии 3 и 4,Trojan-Ransom.Win32.Libra,Trojan-Ransom.MSIL.Lobzik и Trojan-Ransom.Win32.Chimera
  • Как описывает на сайте Kaspesky название расширения файлов после этих выше перечисленных шифраторов становить :
  • Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshitв котором содержится ваш пароль к расшифровке.
  • ПРИМЕЧАНИЕ КО ВСЕМ ШИФРАТОРАМ, ЕСЛИ ФАЙЛ ПАРОЛЯ БЫЛ УДАЛЕН, ЕГО МОЖНО ПОПРОБОВАТЬ ВОССТАНОВИТЬ С ПОМОЩЬЮ ВОССТАНОВЛЕНИЯ ФАЙЛОВ !ФАЙЛ НАХОДИТСЯ В ПАПКЕ %APPDATA% В ДРУГИХ СЛУЧАЯХ МОЖЕТ НАХОДИТСЯ В ДРУГОЙ ПАПКЕ ! МЫ ГОВОРИМ О Trojan-Ransom.Win32.Rakhni
  • Полный путь к папке :
  • Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data Windows 7/8: C:\Users\<имя_пользователя>\AppData\Roaming
  • Скачать утилиту :
  • RectorDecryptor.exe с оф., сайта Kaspersky
  • Еще утилиты которые могут вам помочь от Lab Kaspersky :
  • Перейти на Kaspersky с оф., сайта Kaspersky
  • .

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *