Как удалить вредоносные программы семейства Trojan-Ransom.Win32.Xorist

Утилита XoristDecryptor предназначена для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev.

Вредоносная программа семейства Trojan-Ransom.Win32.Xorist выполняет несанкционированную пользователем модификацию данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные заблокированы, пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Признаки заражения
На экране появится сообщение с требованием отправки смс-сообщения за расшифровку файлов. Примеры сообщений от разных модификаций вредоносной программы семейства Trojan-Ransom.Win32.Xorist:

Также вместо сообщения может быть создан текстовый файл в корне диска C с именем «Прочти Меня — как расшифровать файлы»:

Возможно, что текстовый файл будет на английском языке:

В папке Windows присутствует файл с именем CryptLogFile.txt.
Троянская программа шифрует все файлы с расширениями:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Как вылечить систему
Чтобы вылечить систему, выполните следующие действия:

Скачайте и запустите файл XoristDecryptor.exe на зараженной машине.
В окне Kaspersky XoristDecryptor нажмите на кнопку Начать проверку.

Для начала расшифровки утилита предложит указать путь хотя бы к одному зашифрованному файлу. После завершения работы утилиты может потребоваться перезагрузка.

Дополнительные ключи для запуска утилиты из командной строки
-l <имя_файла> – запись отчета в файл.

-y – закрытие окна по окончании работы утилиты.

-vandevf <путь_к_файлу> – указать путь к файлу ps.ce для расшифровки Vandev.

-vandevp <пароль> – указать пароль для расшифровки Vandev.

Что делать, если утилита не помогла
Обнаружив неизвестный вредоносный файл, утилита XoristDecryptor предложит отправить его на почту stopgpcode@kaspersky.com. Специалисты Лаборатории Касперского изучат присланный файл и обновят базу утилиты XoristDecryptor. При повторном запуске утилита скачает базы и устранит заражение.

Отправляя информацию о вредоносном файле в Лабораторию Касперского, вы не только решаете свою проблему, но и помогаете другим пользователям, столкнувшимся с вымогателями-шифровальщиками.

Если утилита XoristDecryptor не помогла расшифровать файлы, попробуйте утилиты RectorDecryptor и RakhniDecryptor.

Чтобы исключить возможность заражения в будущем, скачайте и установите Kaspersky Internet Security 2017 с функцией защиты от программ блокировки экрана.