И всяка година се появяват все повече и повече нови ... по-интересни и по-интересни. Най-популярният скорошен вирус (Trojan-Ransom.Win32.Rector), който криптира всички ваши файлове (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и др. .) .г.). Проблемът е, че е изключително трудно и отнема много време да се декриптират такива файлове, в зависимост от вида на криптирането декриптирането може да отнеме седмици, месеци или дори години. Според мен този вирус е този момент, апогей в опасност сред другите вируси. Това е особено опасно за домашните компютри / лаптопи, тъй като повечето потребители не архивират данните си и когато криптират файлове, те губят всички данни. За организациите този вирус е по-малко опасен, защото правят резервни копияважни данни и в случай на инфекция те просто ги възстановяват, разбира се, след премахване на вируса. Срещнах този вирус няколко пъти, ще опиша как се случи и до какво доведе.

Първият път, когато се запознах с вирус, който криптира файлове, беше в началото на 2014 г. Администратор от друг град се свърза с мен и ми съобщи най-неприятната новина - Всички файлове на файловия сървър са криптирани! Инфекцията стана по елементарен начин - до счетоводството дойде писмо с прикачен файл "Акт нещо там.pdf.exe" както разбирате отвориха това EXE файли процесът тръгна... криптира всички лични файлове на компютъра и отиде на файлов сървър(то беше картографирано от мрежово устройство). Заедно с администратора започнахме да копаем информация в интернет ... по това време нямаше решение ... всички писаха, че има такъв вирус, не се знае как да се лекува, не беше възможно да се дешифрира файловете, може би изпращането на файлове до Kaspersky, Dr Web или Nod32 би помогнало. Можете да ги изпратите само ако използвате техните антивирусни програми (има лицензи). Изпратихме файловете на Dr Web и Nod32, резултатите бяха 0, не помня какво казаха в Dr Web, но в Nod 32 бяха напълно безшумни и не чаках никакъв отговор от тях. Като цяло всичко беше тъжно и така и не намерихме решение, някои от файловете бяха възстановени от архив.

Втората история - точно онзи ден (средата на октомври 2014 г.) ми се обадиха от организацията с молба да реша проблема с вируса, както разбирате, всички файлове на компютъра бяха криптирани. Ето пример как изглеждаше.

Както можете да видите, към всеки файл е добавено разширение *.AES256. Във всяка папка имаше файл "Attention_open-me.txt", в който имаше контакти за комуникация.

При опит за отваряне на тези файлове се отваря програма с контакти за връзка с авторите на вируса, за да платят за дешифрирането. Разбира се, не препоръчвам да се свързвате с тях и да плащате за кода, тъй като ще ги подкрепите само финансово и не е факт, че ще получите ключ за дешифриране.

Инфекцията е станала по време на инсталиране на програма, изтеглена от интернет. Най-изненадващото беше, че когато забелязаха, че файловете са се променили (иконите и файловите разширения бяха променени), те не направиха нищо и продължиха да работят, а междувременно рансъмуерът продължи да криптира всички файлове.

Внимание!!! Ако забележите криптиране на файлове на вашия компютър (промяна на икони, промяна на разширението), незабавно изключете компютъра/лаптопа и потърсете решение от друго устройство (от друг компютър/лаптопа, телефон, таблет) или се свържете с ИТ специалисти. Колкото по-дълго вашият компютър/лаптоп остане включен, толкова повече файловетой криптира.

Като цяло вече исках да откажа да им помогна, но реших да сърфирам в интернет, може би вече има решение за този проблем. В резултат на търсенията прочетох много информация, че не може да се дешифрира, че трябва да изпращате файлове на антивирусни компании (Kaspersky, Dr Web или Nod32) - благодаря, беше изживяване.
Попаднах на помощна програма от Kaspersky - RectorDecryptor. И ето, файловете бяха дешифрирани. Е, най-напред...

Първата стъпка е да спрете рансъмуера. Няма да бъдете намерени на антивируси, защото инсталираният Dr Web не намери нищо. Първо, влязох в автоматичното зареждане и деактивирах всички автоматични зареждания (с изключение на антивирусната програма). Рестартирах компютъра. След това започна да разглежда какви файлове има при стартиране.

Както можете да видите, в полето "Команда" е посочено къде се намира файлът, необходимо е специално внимание за премахване на приложения без подпис (Производител - Няма данни). Като цяло намерих и премахнах зловреден софтуер и файлове, които все още не ми бяха ясни. След това изчистих временните папки и кешовете на браузъра, най-добре е да използвате програмата за тези цели CCleaner .

След това продължих да дешифрирам файловете, за това изтеглих програма за дешифриране RectorDecryptor . Стартирах и видях доста аскетичен интерфейс на помощната програма.

Щракнах върху „Стартиране на проверката“, посочих разширението, което имаха всички модифицирани файлове.

И посочи шифрования файл. В по-новите версии на RectorDecryptor можете просто да посочите шифрования файл. Кликнете върху бутона "Отвори".

Тада-а-а-ам!!! Случи се чудо и файлът беше дешифриран.

След това помощната програма автоматично проверява всички компютърни файлове + файлове на свързания мрежово устройствои ги дешифрира. Процесът на дешифриране може да отнеме няколко часа (в зависимост от броя на криптираните файлове и скоростта на вашия компютър).

В резултат на това всички криптирани файлове бяха успешно декриптирани в същата директория, където първоначално са били разположени.

Остава да изтриете всички файлове с разширение .AES256, това може да стане, като поставите отметка в квадратчето „Изтриване на криптирани файлове след успешно дешифриране“, ако щракнете върху „Промяна на настройките за проверка“ в прозореца на RectorDecryptor.

Но не забравяйте, че е по-добре да не поставяте отметка в това квадратче, защото в случай на неуспешно дешифриране на файлове, те ще бъдат изтрити и за да опитате да ги декриптирате отново, ще трябва да ги стартирате възстановявам .

Когато се опитвате да изтриете всички криптирани файлове с стандартно търсенеи премахване се натъкнах на замръзване и изключително ниска работа на компютъра.

Ето защо, за да го премахнете, най-добре е да използвате командния ред, да го стартирате и да пишете дел"<диск>:\*.<расширение зашифрованного файла>"/f/s. В моя случай del "d:\*.AES256" /f /s.

Не забравяйте да изтриете файловете "Attention_open-me.txt", за това, в командна линияизползвайте командата дел"<диск>:\*.<имя файла>"/f/s,например
дел "d:\Attention_open-me.txt" /f /s

Така вирусът беше победен и файловете възстановени. Искам да ви предупредя, че този методняма да помогне на всички, работата е там, че Kapersky в тази помощна програма събра всички известни ключове за декриптиране (от онези файлове, които бяха изпратени от заразените с вируса) и избира ключовете и дешифрира чрез груба сила. Тези. ако вашите файлове са криптирани от вирус с ключ, който все още не е известен, тогава този метод няма да помогне... ще трябва да изпратите заразените файлове на антивирусни компании - Kaspersky, Dr Web или Nod32, за да ги дешифрират.

Тези вируси може да се различават леко, но като цяло действията им винаги са еднакви:

• инсталирайте на компютър;
• криптирайте всички файлове, които могат да имат поне някаква стойност (документи, снимки);
• когато се опитвате да отворите тези файлове, изисквайте от потребителя да депозира определена сума в портфейла или акаунта на нападателя, в противен случай достъпът до съдържанието никога няма да бъде отворен.

Криптирани с вируси файлове в xtbl

В момента е доста разпространен вирус, способен да криптира файлове и да променя разширението им на .xtbl, както и да заменя името им с напълно произволни знаци.

Освен това на видно място се създава специален файлс инструкции readme.txt. В него атакуващият поставя потребителя пред факта, че всички негови важни данни са криптирани и сега не могат да бъдат отворени толкова лесно, допълвайки това с факта, че за да се върне всичко в предишното му състояние, е необходимо за извършване на определени действия, свързани с прехвърлянето на пари към измамника (обикновено преди това трябва да изпратите определен код на един от предложените адреси електронна поща). Често такива съобщения се допълват и с бележка, че ако се опитате сами да дешифрирате всичките си файлове, рискувате да ги загубите завинаги.

За съжаление, в момента официално никой не успя да дешифрира .xtbl, ако се появи работещ метод, определено ще докладваме за това в статията. Сред потребителите има такива, които са имали подобен опит с този вирус и са платили на измамниците необходимата сума, като в замяна са получили декриптиране на техните документи. Но това е изключително рискована стъпка, защото сред нападателите има такива, които не се притесняват особено от обещаното декриптиране, в крайна сметка това ще бъдат пари на вятъра.

Какво да правим тогава, ще попитате? Предлагаме няколко съвета, които ще ви помогнат да върнете всичките си данни и в същото време няма да бъдете водени от измамници и да им дадете парите си. И така, какво трябва да се направи:

1. Ако знаете как да работите в диспечера на задачите, незабавно прекъснете криптирането на файлове, като спрете подозрителния процес. В същото време изключете компютъра си от интернет - много рансъмуери се нуждаят от мрежова връзка.
2. Вземете лист хартия и запишете върху него кода, предложен за изпращане до пощата на нападателите (лист хартия, защото файлът, в който ще пишете, също може да стане нечетлив).
3. С помощ антивирусни средства Malwarebytes Antimalware, пробна антивирусна програма Kaspersky IS или CureIt, деинсталирайте зловреден софтуер. За по-голяма надеждност е по-добре последователно да използвате всички предложени средства. Въпреки че Kaspersky Anti-Virus не може да бъде инсталиран, ако системата вече има един основен антивирус, в противен случай могат да възникнат софтуерни конфликти. Всички други помощни програми могат да се използват във всяка ситуация.
4. Изчакайте, докато някоя от антивирусните компании разработи работещ декриптор за такива файлове. Kaspersky Lab се справя най-бързо.
5. Освен това можете да изпратите до [имейл защитен]копие на файла, който е криптиран с необходимия код и, ако има такъв, същия файл в оригиналната му форма. Напълно възможно е това да ускори разработването на метод за дешифриране на файлове.

При никакви обстоятелства не:

• преименуване на тези документи;
• промяна на разширението им;
• изтриване на файлове.

Тези троянски коне криптират и потребителски файлове и след това ги изнудват. В същото време криптираните файлове могат да имат следните разширения:

• .заключено
• .крипто
• .kraken
• .AES256 (не е задължително този троян, има и други, които инсталират същото разширение).
• [имейл защитен] _com
• .ошит
• И други.

За щастие вече е създадена специална помощна програма за дешифриране - RakhniDecryptor. Можете да го изтеглите от официалния сайт.

На същия сайт можете да намерите инструкции, които показват подробно и ясно как да използвате помощната програма за дешифриране на всички файлове, върху които е работил троянският кон. По принцип за по-голяма надеждност си струва да изключите елемента за изтриване на криптирани файлове. Но най-вероятно разработчиците са се справили добре със създаването на помощната програма и нищо не застрашава целостта на данните.

Тези, които използват лицензирана антивирусна Dr.Web имат свободен достъпза декриптиране от разработчици http://support.drweb.com/new/free_unlocker/.

Други видове ransomware вируси

Понякога могат да се натъкнат и на други вируси, които криптират важни файлове и изнудват плащане за връщане на всичко в първоначалния му вид. Предлагаме малък списък с помощни програми за справяне с последствията от най-често срещаните вируси. Там можете да се запознаете и с основните характеристики, по които можете да различите една или друга троянска програма.

Освен това, в добър смисълще сканира вашия компютър с Kaspersky antivirus, който ще открие нарушител и ще му даде име. По това име вече можете да търсите декодер за него.

• Trojan-Ransom.Win32.Rector- типичен енкодер за изнудване, който изисква да изпратите SMS или да извършите други действия от този вид, ние вземаме дешифратора от тази връзка.
• Trojan-Ransom.Win32.Xorist- вариант на предишния троянски кон, можете да получите дешифратор с ръководство за използването му.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- за тези момчета има и специална помощна програма, вижте

Вирусите сами по себе си днес почти не са изненада за никого. Ако по-рано те засягаха цялата система като цяло, днес има различни видове вируси. Една от тези разновидности е ransomware вирус. Ефектът от проникващата заплаха засяга повече потребителска информация. Въпреки това, той може да бъде по-опасен от разрушителните изпълними файлове и шпионските аплети. Какво е криптиращ вирус? Самият код, който е написан в самокопиращ се вирус, включва криптиране на цялата потребителска информация със специални криптографски алгоритми, които не засягат системни файловесамата операционна система.

Логиката на въздействието на вируса може да не е ясна за всички. Всичко стана ясно, когато хакерите, разработили тези аплети, започнаха да искат някаква сума за възстановяване на оригиналната структура на файловете. В същото време рансъмуерът, който е влязъл в системата, не позволява дешифриране на файловете. Това ще изисква специален декодер или с други думи специален алгоритъм, с който можете да възстановите съдържанието.

Рансъмуер: принципът на проникване в системите и действието на вируса

Прихващането на такава инфекция в интернет обикновено е доста трудно. Най-вече даден типвирусите се предават по имейл на ниво клиенти, инсталирани на един компютърен терминал, като напр Прилепът, Outlook, Thunderbird. Веднага трябва да се отбележи, че това не се отнася за сървърите за интернет поща, тъй като те имат доста висока степензащита. Достъпът до потребителска информация се осъществява само на ниво съхранение в облакаинформация. Приложение на конкретен компютърен терминал е съвсем друг въпрос.

Полето на дейност за развитие на вируси е толкова широко, че е трудно да си представим. Тук обаче трябва да се направи малко предупреждение. В повечето случаи вирусите са насочени към големи организации и компании, които ще могат да платят значителна сума за дешифриране на лична информация. Ясно е, защото компютърните терминали и сървъри на компютърни компании съхраняват конфиденциална информацияи файлове в единичен екземпляркоито не трябва да бъдат изтривани при никакви обстоятелства. В този случай дешифрирането на файлове след действието на вируса рансъмуер може да бъде доста проблематично. Разбира се, обикновен потребител също може да бъде подложен на такава атака, въпреки че това е малко вероятно, особено ако потребителят следва най-простите препоръки за работа с прикачени файлове от неизвестен тип.

Дори ако пощенски клиентоткрива прикачени файлове, например като файлове с разширение .jpg или друго графично разширение, най-добре е първо да проверите даден файлстандартна антивирусна програма, използвана в системата. Ако не направите това, след като отворите прикачения файл с двойно щракване, активирането на кода може да започне и процесът на криптиране ще започне. След това ще бъде невъзможно да се премахне самият ransomware и да се възстановят файлове след елиминиране на заплахата.

Общи последици от излагане на вирус на ransomware

Както споменахме по-рано, повечето вируси влизат в системата чрез електронна поща. Да предположим, че голяма организация получава писмо със съдържание като „Договорът е променен, в писмото е приложено сканиране“ или „Изпратена ви е фактура за доставка на стоки“. Нищо неподозиращ служител на компанията просто отваря прикачения файл и след това всички потребителски файлове моментално се криптират. Това са всички файлове, от офис документи до архиви и мултимедия. Всички важни данни са криптирани и ако компютърният терминал е свързан към локална мрежа, тогава вирусът може да се предава допълнително, като същевременно криптира данни на други машини.

Изпълнението на този процес може да се види от забавянето и замразяването на програмите, работещи на компютърния терминал в момента. Когато процесът на криптиране приключи, вирусът изпраща вид отчет, след което организацията ще получи съобщение, че в системата е влязла заплаха и за да дешифрирате файловете, трябва да се свържете с разработчика на вируса. По правило това се отнася за вируса [имейл защитен]След това ще бъде дадено изискването за плащане за услуги за дешифриране. Потребителят ще бъде подканен да изпрати някои криптирани файлове на имейл, който най-вероятно е фалшив.

Увреждане от излагане на вируса

Ако все още не сте разбрали напълно същността на проблема, тогава трябва да се отбележи, че дешифрирането на файлове след действието на вируса за криптиране е доста трудоемък процес. Ако потребителят не следва исканията на нападателите, а вместо това се опитва да използва държавни структури за борба с компютърните престъпления, нищо разумно няма да излезе от това. Ако се опитате да изтриете всички данни от компютъра и след това извършите възстановяване на системата и копирате оригиналната информация от сменяем носител, цялата информация пак ще бъде повторно шифрована. Така че не се увличайте твърде много по този въпрос. Освен това, когато поставите флашка в USB портпотребителят дори няма да забележи, че вирусът ще криптира всички данни в него. Тогава ще има още повече проблеми.

Първият ransomware вирус

Помислете какъв е първият криптиращ вирус. По време на появата му никой не се замисля как е възможно да се лекуват или декриптират файлове след излагане на изпълнимия код, който е приложен в прикачен файл към имейл. Едва с времето дойде осъзнаването на пълния мащаб на бедствието. Първият ransomware вирус имаше доста романтичното име "I Love You". Потребителят, който не подозираше нищо, просто отвори прикачения файл в писмото, получено по имейл, и в резултат получи напълно невъзможни за възпроизвеждане мултимедийни файлове (видео, графики и аудио). Подобни действия изглеждаха по-разрушителни, но никой не поиска пари за дешифриране на данните по това време.

Най-новите модификации

Еволюцията на технологиите се превърна в доста доходоносен бизнес, особено като вземете предвид факта, че много ръководители на големи фирми бързат да платят необходимата сума на нападателите възможно най-скоро, без дори да мислят за факта, че те могат да бъдат оставени без пари и без необходимата информация. Не вярвайте на всички тези леви публикации в интернет, като "Платих необходимата сума, изпратиха ми декриптор и цялата информация беше възстановена." Всичко това са глупости. По принцип такива прегледи се пишат от самите разработчици на вируси, за да привлекат потенциални жертви. По стандартите на обикновените потребители сумите, които нападателите изискват за дешифриране на данни, са доста сериозни. Може да достигне няколко хиляди долара или евро. Сега нека да разгледаме характеристиките най-новите вирусиот този тип. Всички те са подобни един на друг и могат да принадлежат не само към категорията на рансъмуер вируси, но и към така наречената категория рансъмуер. В някои случаи те действат съвсем правилно, като изпращат съобщения до потребителя, че някой иска да се погрижи за безопасността на информацията на организацията или потребителя. Със своите съобщения такъв рансъмуер вирус просто подвежда потребителите. Въпреки това, ако потребителят плати необходимата сума, той просто ще бъде „разведен“.

XTBL вирус

Вирусът XTBL, който се появи сравнително наскоро, може да се припише на класическата версия на ransomware вируси. Такива обекти, като правило, проникват в системата чрез съобщения, предавани по електронна поща. Съобщенията може да съдържат прикачени файлове с разширение .scr. Това разширениее стандартен за скрийнсейвъра на Windows. Потребителят смята, че всичко е наред и активира изгледа или запазва този прикачен файл. Тази операция може да доведе до доста неприятни последици. Имената на файловете се преобразуват в прост набор от знаци. Комбинацията .xtbl се добавя към основното файлово разширение. След това на желания адрес се изпраща съобщение за възможността за дешифриране след плащане на определена сума.

Този тип вирус може да се класифицира и като класически ransomware. Показва се в системата след отваряне на прикачени файлове към имейл. Вирусътсъщо преименува файловете на потребителя и добавя комбинация като .perfect и .nonchance в края на разширението. Дешифрирането на този тип криптиращ вирус, за съжаление, не е възможно. След като изпълни всички стъпки, той просто се самоунищожава. Дори такъв универсален инструмент като RectorDecryptor не помага. Потребителят получава имейл с искане за плащане. Потребителят разполага с два дни за плащане.

Вирус Breaking_Bad

Този тип заплаха работи по вече познатия модел. Той преименува файловете на потребителя, като добавя комбинацията .breaking_bad към разширението. Но въпросът не се ограничава до това. За разлика от друг ransomware, този вирус може да създаде друго разширение .Heisenberg. Поради това е доста трудно да се намерят всички заразени файлове. Също така си струва да се каже, че вирусът Breaking_Bad е доста сериозна заплаха. Има случаи, когато дори лицензираната антивирусна програма Kaspersky_Endpoint Security пропуска такава заплаха.

Вирус [имейл защитен]

Вирус [имейл защитен]е друга доста сериозна заплаха, която е насочена най-вече към големи търговски организации. Обикновено някой отдел на компанията получава имейл, съдържащ .jpg или .js файл. Как може да се декодира този тип вирус? Съдейки по факта, че там се използва алгоритъмът RSA-1024, няма как. Въз основа на името на алгоритъма можем да предположим, че той използва 1024-битова система за криптиране. Към днешна дата 256-битовата система се счита за най-модерната.

Ransomware вирус: може ли антивирусният софтуер да дешифрира файлове?

Все още не е намерен начин за дешифриране на файлове след действието на такива заплахи. Дори такива признати майстори в областта антивирусна защита, тъй като Dr Web, Kaspersky, Eset не могат да намерят ключа за решаване на проблема. Как да лекувате файлове в този случай? По правило потребителят е подканен да изпрати официална заявка до уебсайта на разработчика на антивирусна програма. В този случай трябва да прикачите няколко криптирани файла и техните оригинали, ако има такива. Малко потребители днес съхраняват сменяеми носителикопия на данните. Проблемът с тяхното отсъствие може само да влоши вече неприятната ситуация.

Ръчно премахване на заплаха: възможни методи

В някои случаи сканирането с конвенционални антивирусни програми идентифицира такива злонамерени обекти и дори елиминира тези заплахи. Но какво да правим с криптираната информация? Някои потребители се опитват да използват програми за дешифриране. Веднага трябва да се отбележи, че тези действия няма да доведат до нищо добро. В случая с вируса Breaking_Bad това дори може да бъде вредно. Факт е, че нападателите, които създават такива вируси, се опитват да се защитят и да дадат урок на другите. Когато използвате помощни програми за дешифриране, вирусът може да реагира по такъв начин, че цялата операционна система да се срине и в същото време напълно да унищожи цялата информация, съхранявана на логическите дялове и твърдите дискове. Надяваме се само на официални антивирусни лаборатории.

Радикални начини

Ако нещата са наистина зле, тогава можете да форматирате HDD, включително виртуални дялове, и след това преинсталирайте операционна система. За съжаление няма друг изход. Връщането на системата до конкретна точка за възстановяване няма да помогне за коригиране на ситуацията. В резултат на това вирусът може да изчезне, но файловете ще останат криптирани.

Съвременните технологии позволяват на хакерите постоянно да подобряват начините за измама във връзка с обикновени потребители. По правило за тези цели се използва вирусен софтуер, който прониква в компютъра. Криптиращите вируси се считат за особено опасни. Заплахата се крие във факта, че вирусът се разпространява много бързо, криптирайки файлове (потребителят просто не може да отвори никакъв документ). И ако е съвсем просто, тогава е много по-трудно да се дешифрират данните.

Какво да направите, ако вирус е шифровал файлове на вашия компютър

Всеки може да бъде атакуван от ransomware, дори потребителите, които имат мощен антивирусен софтуер, не са застраховани. Троянските коне за шифроване на файлове са представени от различен код, който може да е извън силата на антивирусната програма. Хакерите дори успяват да атакуват по този начин големи компании, които не са се погрижили за необходимата защита на информацията си. Така че, след като сте „взели“ програма за рансъмуер онлайн, трябва да предприемете редица мерки.

Основните признаци на инфекция са бавната работа на компютъра и промяната в имената на документите (можете да го видите на работния плот).

1. Рестартирайте компютъра си, за да спрете криптирането. Когато е активирано, не потвърждавайте стартирането на неизвестни програми.
2. Стартирайте антивирусната програма, ако не е била атакувана от ransomware.
3. В някои случаи скрити копия ще помогнат за възстановяване на информация. За да ги намерите, отворете „Свойства“ на шифрования документ. Този метод работи с криптираните данни на разширението Vault, което има информация в портала.
4. Изтеглете помощната програма последна версияза борба с ransomware вируси. Най-ефективните се предлагат от Kaspersky Lab.

Вируси за криптиране през 2016 г.: примери

Когато се борите с всяка вирусна атака, е важно да разберете, че кодът се променя много често, допълва се нова защитаот антивируси. Разбира се, защитните програми се нуждаят от известно време, докато разработчикът актуализира базите данни. Избрахме най-опасните криптиращи вируси напоследък.

Изкупващ софтуер Ishtar

Ishtar е ransomware, който изнудва пари от потребителя. Вирусът беше забелязан през есента на 2016 г., като зарази огромен брой компютри на потребители от Русия и редица други страни. Разпространява се чрез имейл разпространение, което съдържа прикачени документи (инсталатори, документи и др.). Данните, заразени с рансъмуера Ishtar, получават префикса „ISHTAR“ в името. Процесът създава тестов документ, който показва къде да отидете, за да получите паролата. За него нападателите искат от 3000 до 15 000 рубли.

Опасността от вируса Ishtar е, че днес няма дешифратор, който да помогне на потребителите. Компаниите за антивирусен софтуер се нуждаят от време, за да дешифрират целия код. Сега можем само да изолираме важна информация(ако са от особено значение) на отделен носител, в очакване на пускането на помощна програма, способна да дешифрира документи. Препоръчително е да преинсталирате операционната система.

Нейтрино

Рансъмуерът Neitrino се появи в интернет през 2015 г. По принципа на атака той е подобен на други вируси от тази категория. Променя имената на папки и файлове, като добавя "Neitrino" или "Neutrino". Вирусът е труден за дешифриране - далеч не всички представители на антивирусни компании предприемат това, като се позовават на много сложен код. Възстановяването на скрито копие може да помогне на някои потребители. За да направите това, щракнете Кликнете с десния бутонщракнете върху шифрования документ, отидете на „Свойства“, раздел „Предишни версии“, щракнете върху „Възстановяване“. Не би било излишно да се използва безплатна помощна програмаот Kaspersky Lab.

Портфейл или .wallet.

Вирусът за криптиране Wallet се появи в края на 2016 г. По време на процеса на заразяване той променя името на данните на „Име..портфейл“ или подобно. Подобно на повечето ransomware вируси, той влиза в системата чрез прикачени файлове към имейл, изпратени от хакери. Тъй като заплахата се появи съвсем наскоро, антивирусните програми не я забелязват. След криптирането създава документ, в който измамникът посочва пощата за комуникация. В момента разработчиците на антивирусен софтуер работят върху дешифрирането на кода на вируса рансъмуер. [имейл защитен]Атакуваните потребители могат само да чакат. Ако данните са важни, препоръчително е да ги запазите външен дискчрез изчистване на системата.

Енигма

Enigma ransomware вирусзапочна да заразява компютри на руски потребители в края на април 2016 г. Той използва модела за криптиране AES-RSA, който се намира в повечето ransomware днес. Вирусът прониква в компютъра с помощта на скрипт, който самият потребител изпълнява, като отваря файлове от подозрителен имейл. Все още няма универсално средство за справяне с шифъра Enigma. Потребителите, които имат лиценз за антивирусна програма, могат да поискат помощ на официалния уебсайт на разработчика. Намерена е и малка "вратичка" - Windows UAC. Ако потребителят щракне върху „Не“ в прозореца, който се появява по време на заразяването с вируса, той може по-късно да възстанови информацията с помощта на сенчести копия.

Гранит

Нов ransomware вирусГранит се появи в мрежата през есента на 2016 г. Заразяването става по следния сценарий: потребителят стартира инсталатор, който заразява и криптира всички данни на компютъра и свързаните устройства. Борбата с вируса е трудна. За да премахнете, можете да използвате специални помощни програмиот Kaspersky, но кодът все още не е дешифриран. Възстановяването на предишни версии на данните може да помогне. Освен това специалист с богат опит може да дешифрира, но услугата е скъпа.

Тайсън

Беше видян наскоро. Това е разширение на вече добре познатия рансъмуер no_more_ransom, за който можете да научите на нашия уебсайт. Достига до персонални компютри от електронна поща. Много корпоративни компютри са били атакувани. Вирус създава Текстов документс инструкции за отключване, предлагайки плащане на "откуп". Рансъмуерът Tyson се появи наскоро, така че все още няма ключ за отключване. Единственият начин за възстановяване на информация е да се върне предишни версииосвен ако не са премахнати от вирус. Можете, разбира се, да поемете риск, като преведете пари в сметката, посочена от нападателите, но няма гаранция, че ще получите паролата.

Spora

В началото на 2017 г. редица потребители станаха жертва на новия ransomware Spora. Според принципа на работа, той не се различава много от своите колеги, но може да се похвали с по-професионално изпълнение: инструкциите за получаване на парола са по-добре написани, уебсайтът изглежда по-красив. Създаде Spora рансъмуер на език C, използва комбинация от RSA и AES за криптиране на данните на жертвата. По правило се атакуват компютрите, които се използват активно. счетоводна програма 1C. Вирусът, който се крие под прикритието на обикновена фактура във формат .pdf, принуждава служителите на компанията да го стартират. Все още не е намерен лек.

1C.Drop.1

Този криптиращ вирус за 1C се появи през лятото на 2016 г., нарушавайки работата на много счетоводни отдели. Създаден специално за компютри, които използват софтуер 1C. Преминавайки през файл в имейл до компютър, той подканва собственика да актуализира програмата. Който и бутон да натисне потребителят, вирусът ще започне да криптира файлове. Специалистите на Dr.Web работят върху инструменти за дешифриране, но засега не е намерено решение. Това се дължи на сложния код, който може да бъде в няколко модификации. Единствената защита срещу 1C.Drop.1 е бдителността на потребителите и редовното архивиране на важни документи.

da_vinci_code

Нов ransomware с необичайно име. Вирусът се появи през пролетта на 2016 г. Различава се от своите предшественици с подобрен код и силен режим на криптиране. da_vinci_code заразява компютър благодарение на изпълнимо приложение (обикновено прикачено към имейл), което потребителят стартира самостоятелно. Кодерът на da Vinci (код на da Vinci) копира тялото в системната директория и регистър, като гарантира, че стартира автоматично, когато Windows е включен. На всеки компютър на жертва се присвоява уникален идентификатор (помага за получаване на паролата). Декриптирането на данните е почти невъзможно. Можете да плащате пари на нападателите, но никой не гарантира, че ще получите паролата.

[имейл защитен] / [имейл защитен]

Два имейл адреса, които често придружаваха рансъмуера през 2016 г. Те служат за свързване на жертвата с нападателя. Адресите бяха прикрепени към различни видове вируси: da_vinci_code, no_more_ransom и т.н. Силно не се препоръчва да се свързвате, както и да превеждате пари на измамници. Потребителите в повечето случаи остават без пароли. По този начин, показвайки, че атакуващият ransomware работи, генерирайки доход.

В обувките на Сатаната

Появи се в началото на 2015 г., но се разпространи активно едва година по-късно. Принципът на заразяване е идентичен с други ransomware: инсталиране на файл от имейл, криптиране на данни. Конвенционалните антивируси обикновено не забелязват вируса Breaking Bad. Някои кодове не могат да заобиколят Windows UAC, така че потребителят все още може да възстанови предишни версии на документи. Декодерът все още не е представен от нито една компания, разработваща антивирусен софтуер.

XTBL

Много често срещан рансъмуер, който създава проблеми на много потребители. Веднъж попаднал на компютър, вирусът променя файловото разширение на .xtbl за няколко минути. Създава се документ, в който нападателят изнудва пари. Някои разновидности XTBL вирусне може да унищожи файлове за възстановяване на системата, което ви позволява да върнете важни документи. Самият вирус може да бъде премахнат от много програми, но е много трудно да се дешифрират документи. Ако притежавате лицензирана антивирусна програма, използвайте техническа поддръжка, като прикачите образци на заразени данни.

Кукарача

Шифърът Kukaracha беше забелязан през декември 2016 г. Вирус с интересно име крие потребителски файлове с помощта на алгоритъма RSA-2048, който е много устойчив. Kaspersky Anti-Virus го идентифицира като Trojan-Ransom.Win32.Scatter.lb. Kukaracha може да бъде премахнат от компютъра, така че други документи да не бъдат заразени. Заразените обаче са почти невъзможни за дешифриране днес (много мощен алгоритъм).

Как работи ransomware

Има огромен брой ransomware, но всички те работят на подобен принцип.

1. Удари Персонален компютър. Като правило, благодарение на прикачения файл към имейла. Инсталацията се инициира от самия потребител, като отвори документа.
2. Инфекция на файл. Почти всички видове файлове са криптирани (в зависимост от вируса). Създава се текстов документ, който съдържа контакти за комуникация с нарушители.
3. Всичко. Потребителят няма достъп до нито един документ.

Лекарства от популярни лаборатории

Широкото използване на ransomware, който е признат за най-опасната заплаха за потребителските данни, се превърна в тласък за много антивирусни лаборатории. Всяка популярна компания предоставя на потребителите си програми, които им помагат да се борят с ransomware. В допълнение, много от тях помагат при дешифрирането на документи, защитени от системата.

Касперски и криптиращи вируси

Една от най-известните антивирусни лаборатории в Русия и света днес предлага най-ефективните средства за борба с ransomware вируси. Първата пречка за вируса рансъмуер ще бъде Крайна точка на KasperskyСигурност 10s последни актуализации. Антивирусът просто няма да позволи на заплахата да влезе в компютъра (но новите версии може да не бъдат спрени). За да дешифрира информация, разработчикът представя няколко безплатни помощни програми наведнъж: XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Те помагат да се открие вирусът и да се установи паролата.

д-р Уеб и ransomware

Тази лаборатория препоръчва използването им антивирусна програма, основна характеристикакоето беше резервно копие на файла. Хранилището с копия на документи също е защитено от неоторизиран достъп на нарушители. Собствениците на лицензирания продукт Dr. Уеб, функцията за обаждане за помощ е налична в техническа поддръжка. Вярно е, че дори опитни специалисти не винаги могат да устоят на този вид заплаха.

ESET Nod 32 и ransomware

Тази компания също не остана настрана, предоставяйки на своите потребители добра защита срещу вируси, влизащи в компютъра. В допълнение, лабораторията наскоро пусна безплатна помощна програмас текущи бази данни - Eset Crysis Decryptor. Разработчиците твърдят, че това ще помогне в борбата дори срещу най-новия ransomware.