Και κάθε χρόνο όλο και περισσότερα νέα εμφανίζονται ... πιο ενδιαφέροντα και πιο ενδιαφέροντα. Ο πιο δημοφιλής πρόσφατος ιός (Trojan-Ransom.Win32.Rector), ο οποίος κρυπτογραφεί όλα τα αρχεία σας (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar κ.λπ. .) .δ.). Το πρόβλημα είναι ότι είναι εξαιρετικά δύσκολη και χρονοβόρα η αποκρυπτογράφηση τέτοιων αρχείων, ανάλογα με τον τύπο της κρυπτογράφησης, η αποκρυπτογράφηση μπορεί να διαρκέσει εβδομάδες, μήνες ή και χρόνια. Κατά τη γνώμη μου αυτός ο ιός είναι αυτή τη στιγμή, το απόγειο σε κίνδυνο μεταξύ άλλων ιών. Είναι ιδιαίτερα επικίνδυνο για οικιακούς υπολογιστές / φορητούς υπολογιστές, καθώς οι περισσότεροι χρήστες δεν δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και όταν κρυπτογραφούν αρχεία χάνουν όλα τα δεδομένα. Για τους οργανισμούς, αυτός ο ιός είναι λιγότερο επικίνδυνος επειδή κάνουν αντίγραφα ασφαλείαςσημαντικά δεδομένα και σε περίπτωση μόλυνσης απλά τα αποκαθιστούν, φυσικά μετά την αφαίρεση του ιού. Συνάντησα αυτόν τον ιό αρκετές φορές, θα περιγράψω πώς συνέβη και σε τι οδήγησε.

Η πρώτη φορά που γνώρισα έναν ιό που κρυπτογραφεί αρχεία ήταν στις αρχές του 2014. Ένας διαχειριστής από άλλη πόλη επικοινώνησε μαζί μου και μου είπε τα πιο δυσάρεστα νέα - Όλα τα αρχεία στον διακομιστή αρχείων είναι κρυπτογραφημένα! Η μόλυνση συνέβη με στοιχειώδη τρόπο - ήρθε μια επιστολή στο λογιστήριο με το συνημμένο "Act something there.pdf.exe" όπως καταλαβαίνετε, άνοιξαν αυτό αρχείο EXEκαι προχώρησε η διαδικασία... κρυπτογραφούσε όλα τα προσωπικά αρχεία στον υπολογιστή και πήγε στο διακομιστή αρχείων(χαρτογραφήθηκε από μονάδα δίσκου δικτύου). Μαζί με τον διαχειριστή, αρχίσαμε να σκάβουμε πληροφορίες στο Διαδίκτυο ... εκείνη την εποχή δεν υπήρχε λύση ... όλοι έγραψαν ότι υπήρχε ένας τέτοιος ιός, δεν ήταν γνωστό πώς να τον αντιμετωπίσουμε, δεν ήταν δυνατή η αποκρυπτογράφηση τα αρχεία, ίσως η αποστολή αρχείων στην Kaspersky, στο Dr Web ή στο Nod32 θα βοηθούσε. Μπορείτε να τα στείλετε μόνο εάν χρησιμοποιείτε τα προγράμματα προστασίας από ιούς (υπάρχουν άδειες χρήσης). Στείλαμε τα αρχεία στον Dr Web και στο Nod32, τα αποτελέσματα ήταν 0, δεν θυμάμαι τι είπαν στο Dr Web, αλλά στο Nod 32 ήταν εντελώς αθόρυβα και δεν περίμενα καμία απάντηση από αυτούς. Γενικά, όλα ήταν λυπηρά και δεν βρήκαμε ποτέ λύση, μερικά από τα αρχεία αποκαταστάθηκαν από ένα αντίγραφο ασφαλείας.

Η δεύτερη ιστορία - μόλις τις προάλλες (μέσα Οκτωβρίου 2014) με κάλεσαν ο οργανισμός που μου ζήτησε να λύσω το πρόβλημα με τον ιό, όπως καταλαβαίνετε όλα τα αρχεία στον υπολογιστή ήταν κρυπτογραφημένα. Εδώ είναι ένα παράδειγμα για το πώς έμοιαζε.

Όπως μπορείτε να δείτε, η επέκταση *.AES256 έχει προστεθεί σε κάθε αρχείο. Σε κάθε φάκελο υπήρχε ένα αρχείο "Attention_open-me.txt" στο οποίο υπήρχαν επαφές για επικοινωνία.

Κατά την προσπάθεια ανοίγματος αυτών των αρχείων, άνοιξε ένα πρόγραμμα με επαφές για να επικοινωνήσει με τους δημιουργούς του ιού για να πληρώσει για την αποκρυπτογράφηση. Φυσικά, δεν συνιστώ να επικοινωνήσετε μαζί τους και να πληρώσετε και για τον κωδικό, καθώς θα τους υποστηρίξετε μόνο οικονομικά και δεν είναι γεγονός ότι θα λάβετε κλειδί αποκρυπτογράφησης.

Η μόλυνση προέκυψε κατά την εγκατάσταση ενός προγράμματος που λήφθηκε από το Διαδίκτυο. Το πιο εκπληκτικό ήταν ότι όταν παρατήρησαν ότι τα αρχεία είχαν αλλάξει (είχαν αλλάξει τα εικονίδια και οι επεκτάσεις αρχείων), δεν έκαναν τίποτα και συνέχισαν να εργάζονται, και στο μεταξύ το ransomware συνέχισε να κρυπτογραφεί όλα τα αρχεία.

Προσοχή!!! Εάν παρατηρήσετε κρυπτογράφηση αρχείων στον υπολογιστή σας (αλλαγή εικονιδίων, αλλαγή επέκτασης), απενεργοποιήστε αμέσως τον υπολογιστή / φορητό υπολογιστή και αναζητήστε λύση από άλλη συσκευή (από άλλο υπολογιστή / φορητό υπολογιστή, τηλέφωνο, tablet) ή επικοινωνήστε με ειδικούς πληροφορικής. Όσο περισσότερο παραμένει ενεργοποιημένος ο υπολογιστής/φορητός υπολογιστής, τόσο περισσότερα αρχείακρυπτογραφεί.

Γενικά, ήθελα ήδη να αρνηθώ να τους βοηθήσω, αλλά αποφάσισα να σερφάρω στο Διαδίκτυο, ίσως υπάρχει ήδη μια λύση για αυτό το πρόβλημα. Ως αποτέλεσμα των αναζητήσεων, διάβασα πολλές πληροφορίες ότι δεν μπορεί να αποκρυπτογραφηθεί, ότι πρέπει να στείλετε αρχεία σε εταιρείες προστασίας από ιούς (Kaspersky, Dr Web ή Nod32) - ευχαριστώ, ήταν μια εμπειρία.
Βρήκα ένα βοηθητικό πρόγραμμα από το Kaspersky - RectorDecryptor. Και ιδού, τα αρχεία αποκρυπτογραφήθηκαν. Λοιπόν, πρώτα πρώτα...

Το πρώτο βήμα είναι να σταματήσετε το ransomware. Δεν θα βρείτε σε προγράμματα προστασίας από ιούς, επειδή το εγκατεστημένο Dr Web δεν βρήκε τίποτα. Πρώτα απ 'όλα, μπήκα στο autoloads και απενεργοποίησα όλα τα autoloads (εκτός από το antivirus). Έκανε επανεκκίνηση του υπολογιστή. Στη συνέχεια άρχισε να εξετάζει τι είδους αρχεία ήταν κατά την εκκίνηση.

Όπως μπορείτε να δείτε, στο πεδίο "Εντολή" υποδεικνύεται πού βρίσκεται το αρχείο, απαιτείται ιδιαίτερη προσοχή για την αφαίρεση εφαρμογών χωρίς υπογραφή (Κατασκευαστής - Χωρίς δεδομένα). Γενικά, βρήκα και αφαίρεσα κακόβουλο λογισμικό και αρχεία που δεν μου ήταν ακόμη ξεκάθαρα. Μετά από αυτό, καθάρισα τους προσωρινούς φακέλους και τις προσωρινές μνήμες του προγράμματος περιήγησης, είναι καλύτερο να χρησιμοποιήσετε το πρόγραμμα για αυτούς τους σκοπούς CCleaner .

Στη συνέχεια προχώρησα στην αποκρυπτογράφηση των αρχείων, για αυτό κατέβασα πρόγραμμα αποκρυπτογράφησης RectorDecryptor . Ξεκίνησε και είδε μια μάλλον ασκητική διεπαφή βοηθητικού προγράμματος.

Έκανα κλικ στο "Έναρξη ελέγχου", υποδεικνύοντας την επέκταση που είχαν όλα τα τροποποιημένα αρχεία.

Και υπέδειξε το κρυπτογραφημένο αρχείο. Σε νεότερες εκδόσεις του RectorDecryptor, μπορείτε απλά να καθορίσετε το κρυπτογραφημένο αρχείο. Κάντε κλικ στο κουμπί "Άνοιγμα".

Tada-a-a-am!!! Έγινε ένα θαύμα και το αρχείο αποκρυπτογραφήθηκε.

Μετά από αυτό, το βοηθητικό πρόγραμμα ελέγχει αυτόματα όλα τα αρχεία υπολογιστή + τα συνδεδεμένα αρχεία μονάδα δίσκου δικτύουκαι τα αποκρυπτογραφεί. Η διαδικασία αποκρυπτογράφησης μπορεί να διαρκέσει αρκετές ώρες (ανάλογα με τον αριθμό των κρυπτογραφημένων αρχείων και την ταχύτητα του υπολογιστή σας).

Ως αποτέλεσμα, όλα τα κρυπτογραφημένα αρχεία αποκρυπτογραφήθηκαν επιτυχώς στον ίδιο κατάλογο όπου βρίσκονταν αρχικά.

Απομένει να διαγράψετε όλα τα αρχεία με την επέκταση .AES256, αυτό θα μπορούσε να γίνει επιλέγοντας το πλαίσιο ελέγχου "Διαγραφή κρυπτογραφημένων αρχείων μετά από επιτυχή αποκρυπτογράφηση" εάν κάνετε κλικ στην επιλογή "Αλλαγή ρυθμίσεων επαλήθευσης" στο παράθυρο RectorDecryptor.

Αλλά να θυμάστε ότι είναι καλύτερο να μην επιλέξετε αυτό το πλαίσιο, γιατί σε περίπτωση αποτυχημένης αποκρυπτογράφησης των αρχείων, θα διαγραφούν και για να προσπαθήσετε να τα αποκρυπτογραφήσετε ξανά, θα πρέπει να τα ξεκινήσετε ιδρύω πάλι .

Όταν προσπαθείτε να διαγράψετε όλα τα κρυπτογραφημένα αρχεία με τυπική αναζήτησηκαι την αφαίρεση, συνάντησα παγώματα και εξαιρετικά αργή απόδοση του υπολογιστή.

Επομένως, για να το αφαιρέσετε, είναι καλύτερο να χρησιμοποιήσετε τη γραμμή εντολών, να την εκτελέσετε και να γράψετε del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Στην περίπτωσή μου del "d:\*.AES256" /f /s.

Μην ξεχάσετε να διαγράψετε τα αρχεία "Attention_open-me.txt", για αυτό, στο γραμμή εντολώνχρησιμοποιήστε την εντολή del"<диск>:\*.<имя файла>"/f/s,για παράδειγμα
del "d:\Attention_open-me.txt" /f /s

Έτσι, ο ιός νικήθηκε και τα αρχεία αποκαταστάθηκαν. Θέλω να σας προειδοποιήσω ότι αυτή τη μέθοδοδεν θα βοηθήσει όλους, το θέμα είναι ότι το Kapersky σε αυτό το βοηθητικό πρόγραμμα συγκέντρωσε όλα τα γνωστά κλειδιά για αποκρυπτογράφηση (από εκείνα τα αρχεία που στάλθηκαν από όσους έχουν μολυνθεί με τον ιό) και επιλέγει τα κλειδιά και αποκρυπτογραφεί με ωμή βία. Εκείνοι. εάν τα αρχεία σας είναι κρυπτογραφημένα από έναν ιό με ένα κλειδί που δεν είναι ακόμη γνωστό, τότε αυτή η μέθοδος δεν θα σας βοηθήσει... θα πρέπει να στείλετε μολυσμένα αρχεία σε εταιρείες προστασίας από ιούς - Kaspersky, Dr Web ή Nod32 για να τα αποκρυπτογραφήσετε.

Αυτοί οι ιοί μπορεί να διαφέρουν ελαφρώς, αλλά σε γενικές γραμμές, οι δράσεις τους είναι πάντα οι ίδιες:

• εγκατάσταση σε υπολογιστή?
• κρυπτογράφηση όλων των αρχείων που μπορεί να έχουν τουλάχιστον κάποια αξία (έγγραφα, φωτογραφίες).
• όταν προσπαθείτε να ανοίξετε αυτά τα αρχεία, απαιτήστε από τον χρήστη να καταθέσει ένα συγκεκριμένο ποσό στο πορτοφόλι ή τον λογαριασμό του εισβολέα, διαφορετικά δεν θα ανοίξει ποτέ η πρόσβαση στο περιεχόμενο.

Αρχεία κρυπτογραφημένα από ιούς σε xtbl

Επί του παρόντος, ένας ιός έχει γίνει αρκετά διαδεδομένος, ο οποίος μπορεί να κρυπτογραφήσει αρχεία και να αλλάξει την επέκτασή τους σε .xtbl, καθώς και να αντικαταστήσει το όνομά τους με εντελώς τυχαίους χαρακτήρες.

Επιπλέον, σε εμφανές σημείο δημιουργείται ειδικό αρχείομε οδηγίες readme.txt. Σε αυτό, ο εισβολέας βάζει τον χρήστη μπροστά στο γεγονός ότι όλα τα σημαντικά δεδομένα του ήταν κρυπτογραφημένα και τώρα δεν μπορούν να ανοίξουν τόσο εύκολα, προσθέτοντας ότι για να επιστρέψουν τα πάντα στην προηγούμενη κατάσταση, είναι απαραίτητο να εκτελέσετε ορισμένες ενέργειες που σχετίζεται με τη μεταφορά χρημάτων στον απατεώνα (συνήθως, πριν από αυτό, πρέπει να στείλετε έναν συγκεκριμένο κωδικό σε μία από τις προτεινόμενες διευθύνσεις ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ). Συχνά τέτοια μηνύματα συμπληρώνονται επίσης με μια σημείωση ότι εάν προσπαθήσετε να αποκρυπτογραφήσετε μόνοι σας όλα τα αρχεία σας, κινδυνεύετε να τα χάσετε για πάντα.

Δυστυχώς, αυτή τη στιγμή, επίσημα κανείς δεν έχει καταφέρει να αποκρυπτογραφήσει το .xtbl, αν εμφανιστεί μια μέθοδος εργασίας, σίγουρα θα το αναφέρουμε στο άρθρο. Ανάμεσα στους χρήστες υπάρχουν και εκείνοι που είχαν παρόμοια εμπειρία με αυτόν τον ιό και πλήρωσαν στους απατεώνες το απαιτούμενο ποσό, λαμβάνοντας ως αντάλλαγμα την αποκρυπτογράφηση των εγγράφων τους. Αλλά αυτό είναι ένα εξαιρετικά επικίνδυνο βήμα, επειδή μεταξύ των επιτιθέμενων υπάρχουν και εκείνοι που δεν ασχολούνται ιδιαίτερα με την υποσχεμένη αποκρυπτογράφηση, στο τέλος θα είναι χρήματα στο λούκι.

Τι να κάνεις τότε, ρωτάς; Προσφέρουμε μερικές συμβουλές που θα σας βοηθήσουν να πάρετε πίσω όλα τα δεδομένα σας και ταυτόχρονα, δεν θα οδηγηθείτε από απατεώνες και θα τους δώσετε τα χρήματά σας. Και λοιπόν τι πρέπει να γίνει:

1. Εάν γνωρίζετε πώς να εργάζεστε στη Διαχείριση εργασιών, τότε διακόψτε αμέσως την κρυπτογράφηση αρχείων σταματώντας την ύποπτη διαδικασία. Ταυτόχρονα, αποσυνδέστε τον υπολογιστή σας από το Διαδίκτυο - πολλά ransomware χρειάζονται σύνδεση δικτύου.
2. Πάρτε ένα κομμάτι χαρτί και σημειώστε σε αυτό τον κωδικό που προτείνεται για αποστολή στο ταχυδρομείο στους εισβολείς (ένα κομμάτι χαρτί γιατί το αρχείο στο οποίο θα γράψετε μπορεί επίσης να μην είναι αναγνώσιμο).
3. Με βοήθεια εργαλεία κατά των ιών Malwarebytes Antimalware, δοκιμαστικό antivirus Kaspersky IS ή CureIt, απεγκαταστήστε κακόβουλο λογισμικό. Για μεγαλύτερη αξιοπιστία, είναι καλύτερο να χρησιμοποιείτε με συνέπεια όλα τα προτεινόμενα μέσα. Αν και το Kaspersky Anti-Virus δεν μπορεί να εγκατασταθεί εάν το σύστημα διαθέτει ήδη ένα κύριο πρόγραμμα προστασίας από ιούς, διαφορετικά ενδέχεται να προκύψουν διενέξεις λογισμικού. Όλα τα άλλα βοηθητικά προγράμματα μπορούν να χρησιμοποιηθούν σε οποιαδήποτε περίπτωση.
4. Περιμένετε έως ότου μια από τις εταιρείες προστασίας από ιούς αναπτύξει έναν λειτουργικό αποκρυπτογραφητή για τέτοια αρχεία. Η Kaspersky Lab αντεπεξέρχεται πιο γρήγορα.
5. Επιπλέον, μπορείτε να στείλετε σε [email προστατευμένο]ένα αντίγραφο του αρχείου που ήταν κρυπτογραφημένο με τον απαιτούμενο κωδικό και, εάν υπάρχει, το ίδιο αρχείο στην αρχική του μορφή. Είναι πολύ πιθανό αυτό να επιταχύνει την ανάπτυξη μιας μεθόδου αποκρυπτογράφησης αρχείων.

Σε καμία περίπτωση μην:

• μετονομασία αυτών των εγγράφων·
• αλλαγή της επέκτασής τους?
• διαγραφή αρχείων.

Αυτοί οι Trojan κρυπτογραφούν επίσης τα αρχεία των χρηστών και στη συνέχεια τα εκβιάζουν. Ταυτόχρονα, τα κρυπτογραφημένα αρχεία μπορούν να έχουν τις ακόλουθες επεκτάσεις:

• .κλειδωμένος
• .κρυπτο
• .κράκεν
• .AES256 (όχι απαραίτητα αυτός ο trojan, υπάρχουν και άλλοι που εγκαθιστούν την ίδια επέκταση).
• [email προστατευμένο] _com
• .oshit
• Και άλλοι.

Ευτυχώς, ένα ειδικό βοηθητικό πρόγραμμα αποκρυπτογράφησης έχει ήδη δημιουργηθεί - RakhniDecryptor. Μπορείτε να το κατεβάσετε από τον επίσημο ιστότοπο.

Στον ίδιο ιστότοπο, μπορείτε να βρείτε οδηγίες που δείχνουν λεπτομερώς και ξεκάθαρα πώς να χρησιμοποιήσετε το βοηθητικό πρόγραμμα για την αποκρυπτογράφηση όλων των αρχείων στα οποία έχει δουλέψει ο Trojan. Κατ 'αρχήν, για μεγαλύτερη αξιοπιστία, αξίζει να εξαιρεθεί το στοιχείο για τη διαγραφή κρυπτογραφημένων αρχείων. Αλλά πιθανότατα, οι προγραμματιστές έκαναν καλή δουλειά στη δημιουργία του βοηθητικού προγράμματος και τίποτα δεν απειλεί την ακεραιότητα των δεδομένων.

Όσοι χρησιμοποιούν άδεια προστασίας από ιούς Dr.Web έχουν Ελεύθερη πρόσβασηγια αποκρυπτογράφηση από προγραμματιστές http://support.drweb.com/new/free_unlocker/.

Άλλοι τύποι ιών ransomware

Μερικές φορές μπορεί να συναντηθούν και άλλοι ιοί που κρυπτογραφούν σημαντικά αρχεία και εκβιάζουν πληρωμή για να επιστρέψουν τα πάντα στην αρχική τους μορφή. Προσφέρουμε μια μικρή λίστα με βοηθητικά προγράμματα για την αντιμετώπιση των συνεπειών των πιο κοινών ιών. Εκεί μπορείτε επίσης να εξοικειωθείτε με τα κύρια χαρακτηριστικά με τα οποία μπορείτε να διακρίνετε ένα ή άλλο πρόγραμμα Trojan.

Εκτός, σε ένα καλό δρόμοθα σαρώσει τον υπολογιστή σας με το Kaspersky Antivirus, το οποίο θα εντοπίσει έναν εισβολέα και θα του δώσει ένα όνομα. Με αυτό το όνομα, μπορείτε ήδη να αναζητήσετε έναν αποκωδικοποιητή για αυτό.

• Trojan-Ransom.Win32.Rector- ένας τυπικός κωδικοποιητής εκβιαστών που απαιτεί από εσάς να στείλετε SMS ή να εκτελέσετε άλλες ενέργειες αυτού του είδους, παίρνουμε τον αποκρυπτογραφητή από αυτόν τον σύνδεσμο.
• Trojan-Ransom.Win32.Xorist- μια παραλλαγή του προηγούμενου Trojan, μπορείτε να αποκτήσετε έναν αποκρυπτογραφητή με έναν οδηγό για τη χρήση του.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- για αυτούς τους τύπους υπάρχει επίσης ένα ειδικό βοηθητικό πρόγραμμα, κοιτάξτε

Οι ιοί από μόνοι τους σήμερα σχεδόν δεν αποτελούν έκπληξη για κανέναν. Αν νωρίτερα επηρέαζαν ολόκληρο το σύστημα ως σύνολο, σήμερα υπάρχουν διάφοροι τύποι ιών. Μία από αυτές τις ποικιλίες είναι ένας ιός ransomware. Η επίδραση μιας διεισδυτικής απειλής αφορά περισσότερες πληροφορίες χρήστη. Ωστόσο, μπορεί να είναι πιο επικίνδυνο από τα καταστροφικά εκτελέσιμα και τις μικροεφαρμογές κατασκοπείας. Τι είναι ένας ιός κρυπτογράφησης; Ο ίδιος ο κώδικας, ο οποίος είναι γραμμένος σε έναν αυτοαντιγραφόμενο ιό, περιλαμβάνει την κρυπτογράφηση όλων των πληροφοριών χρήστη με ειδικούς κρυπτογραφικούς αλγόριθμους που δεν επηρεάζουν αρχεία συστήματοςτο ίδιο το λειτουργικό σύστημα.

Η λογική της επίδρασης του ιού μπορεί να μην είναι σαφής σε όλους. Όλα έγιναν ξεκάθαρα όταν οι χάκερ που ανέπτυξαν αυτές τις μικροεφαρμογές άρχισαν να απαιτούν κάποιο ποσό για την αποκατάσταση της αρχικής δομής των αρχείων. Ταυτόχρονα, το ransomware που έχει εισέλθει στο σύστημα δεν επιτρέπει την αποκρυπτογράφηση των αρχείων. Αυτό θα απαιτήσει έναν ειδικό αποκωδικοποιητή, ή με άλλα λόγια έναν ειδικό αλγόριθμο με τον οποίο μπορείτε να επαναφέρετε το περιεχόμενο.

Ransomware: η αρχή της διείσδυσης στα συστήματα και η λειτουργία του ιού

Η λήψη μιας τέτοιας μόλυνσης στο Διαδίκτυο είναι συνήθως αρκετά δύσκολη. Ως επί το πλείστον δεδομένου τύπουοι ιοί μεταδίδονται μέσω e-mail στο επίπεδο των πελατών που είναι εγκατεστημένοι σε ένα τερματικό υπολογιστή, όπως π.χ η νυχτερίδα, Outlook, Thunderbird. Θα πρέπει να σημειωθεί αμέσως ότι αυτό δεν ισχύει για διακομιστές αλληλογραφίας Διαδικτύου, καθώς έχουν αρκετά υψηλό βαθμόΠΡΟΣΤΑΣΙΑ. Η πρόσβαση στις πληροφορίες χρήστη πραγματοποιείται μόνο σε επίπεδο αποθήκευση στο σύννεφοπληροφορίες. Μια εφαρμογή σε ένα συγκεκριμένο τερματικό υπολογιστή είναι εντελώς άλλο θέμα.

Το πεδίο δραστηριότητας για την ανάπτυξη ιών είναι τόσο ευρύ που είναι δύσκολο να φανταστεί κανείς. Ωστόσο, εδώ πρέπει να γίνει μια μικρή προειδοποίηση. Στις περισσότερες περιπτώσεις, οι ιοί στοχεύουν μεγάλους οργανισμούς και εταιρείες που θα είναι σε θέση να πληρώσουν ένα σημαντικό ποσό για την αποκρυπτογράφηση προσωπικών πληροφοριών. Είναι σαφές, επειδή τα τερματικά υπολογιστών και οι διακομιστές των εταιρειών υπολογιστών αποθηκεύουν εμπιστευτικές πληροφορίεςκαι αρχεία μέσα ενιαίο αντίγραφοπου δεν πρέπει να διαγραφούν σε καμία περίπτωση. Σε αυτήν την περίπτωση, η αποκρυπτογράφηση αρχείων μετά τη δράση του ιού ransomware μπορεί να είναι αρκετά προβληματική. Φυσικά, ένας συνηθισμένος χρήστης μπορεί επίσης να υποβληθεί σε μια τέτοια επίθεση, αν και αυτό είναι απίθανο, ειδικά εάν ο χρήστης ακολουθεί τις απλούστερες συστάσεις για εργασία με συνημμένα άγνωστου τύπου.

Ακόμα κι αν πελάτη αλληλογραφίαςανιχνεύει συνημμένα, για παράδειγμα, ως αρχεία με επέκταση .jpg ή άλλη επέκταση γραφικών, είναι καλύτερο να ελέγξετε πρώτα δεδομένο αρχείοτυπικό antivirus που χρησιμοποιείται στο σύστημα. Εάν δεν το κάνετε αυτό, τότε αφού ανοίξετε το αρχείο συνημμένου κάνοντας διπλό κλικ, μπορεί να ξεκινήσει η ενεργοποίηση του κωδικού και να ξεκινήσει η διαδικασία κρυπτογράφησης. Μετά από αυτό, θα είναι αδύνατο να αφαιρέσετε το ίδιο το ransomware και να επαναφέρετε αρχεία μετά την εξάλειψη της απειλής.

Γενικές συνέπειες της έκθεσης σε έναν ιό ransomware

Όπως αναφέρθηκε προηγουμένως, οι περισσότεροι ιοί εισέρχονται στο σύστημα μέσω e-mail. Ας υποθέσουμε ότι ένας μεγάλος οργανισμός λαμβάνει μια επιστολή με περιεχόμενο όπως "Η σύμβαση έχει αλλάξει, επισυνάπτεται σάρωση στην επιστολή" ή "Σας έχει αποσταλεί ένα τιμολόγιο για την αποστολή των αγαθών". Ένας ανυποψίαστος υπάλληλος της εταιρείας απλά ανοίγει το συνημμένο αρχείο και μετά από αυτό όλα τα αρχεία χρήστη κρυπτογραφούνται αμέσως. Αυτά είναι όλα αρχεία, από έγγραφα γραφείου μέχρι αρχεία και πολυμέσα. Όλα τα σημαντικά δεδομένα είναι κρυπτογραφημένα και εάν είναι συνδεδεμένο το τερματικό του υπολογιστή τοπικό δίκτυο, τότε ο ιός μπορεί να μεταδοθεί περαιτέρω, ενώ κρυπτογραφούνται δεδομένα σε άλλα μηχανήματα.

Η εκτέλεση αυτής της διαδικασίας μπορεί να φανεί από την επιβράδυνση και το πάγωμα των προγραμμάτων που εκτελούνται στο τερματικό του υπολογιστή αυτή τη στιγμή. Όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, ο ιός στέλνει ένα είδος αναφοράς, μετά την οποία ο οργανισμός θα λάβει ένα μήνυμα που θα αναφέρει ότι έχει εισέλθει μια απειλή στο σύστημα και για να αποκρυπτογραφήσετε τα αρχεία, πρέπει να επικοινωνήσετε με τον προγραμματιστή του ιού. Κατά κανόνα, αυτό ισχύει για τον ιό [email προστατευμένο]Στη συνέχεια, θα δοθεί η απαίτηση πληρωμής για υπηρεσίες αποκρυπτογράφησης. Ο χρήστης θα κληθεί να στείλει ορισμένα κρυπτογραφημένα αρχεία σε ένα email που είναι πιθανότατα ψεύτικο.

Βλάβη από την έκθεση στον ιό

Εάν δεν έχετε κατανοήσει ακόμη πλήρως την ουσία του προβλήματος, τότε θα πρέπει να σημειωθεί ότι η αποκρυπτογράφηση αρχείων μετά τη δράση του ιού κρυπτογράφησης είναι μια αρκετά επίπονη διαδικασία. Εάν ο χρήστης δεν ακολουθήσει τις απαιτήσεις των επιτιθέμενων, αλλά αντ 'αυτού προσπαθήσει να χρησιμοποιήσει κρατικές δομές για την καταπολέμηση των εγκλημάτων υπολογιστών, δεν θα προκύψει τίποτα λογικό. Εάν προσπαθήσετε να διαγράψετε όλα τα δεδομένα από τον υπολογιστή και, στη συνέχεια, εκτελέσετε επαναφορά συστήματος και αντιγράψετε τις αρχικές πληροφορίες από αφαιρούμενα μέσα, τότε όλες οι πληροφορίες θα εξακολουθήσουν να κρυπτογραφούνται εκ νέου. Οπότε μην παρασυρθείτε πολύ με αυτό. Επίσης, κατά την εισαγωγή μιας μονάδας flash θύρα USBο χρήστης δεν θα παρατηρήσει καν ότι ο ιός θα κρυπτογραφήσει όλα τα δεδομένα σε αυτόν. Τότε θα υπάρξουν ακόμη περισσότερα προβλήματα.

Ο πρώτος ιός ransomware

Σκεφτείτε ποιος ήταν ο πρώτος ιός κρυπτογράφησης. Τη στιγμή της εμφάνισής του, κανείς δεν σκέφτηκε πώς ήταν δυνατό να θεραπεύσει ή να αποκρυπτογραφήσει αρχεία μετά από έκθεση στον εκτελέσιμο κώδικα που περιείχε ένα συνημμένο email. Μόνο με τον καιρό έγινε αντιληπτή η πλήρης κλίμακα της καταστροφής. Ο πρώτος ιός ransomware είχε το μάλλον ρομαντικό όνομα "I Love You". Ο χρήστης, που δεν υποψιαζόταν τίποτα, απλά άνοιξε το συνημμένο στην επιστολή που ήρθε μέσω e-mail και ως αποτέλεσμα έλαβε εντελώς μη αναπαραγόμενα αρχεία πολυμέσων (βίντεο, γραφικά και ήχος). Τέτοιες ενέργειες έμοιαζαν πιο καταστροφικές, αλλά κανείς δεν ζήτησε χρήματα για την αποκρυπτογράφηση των δεδομένων εκείνη την εποχή.

Οι τελευταίες τροποποιήσεις

Η εξέλιξη της τεχνολογίας έχει γίνει μια αρκετά προσοδοφόρα επιχείρηση, ειδικά λαμβάνοντας υπόψη το γεγονός ότι πολλοί ηγέτες μεγάλων εταιρειών βιάζονται να πληρώσουν στους επιτιθέμενους το απαιτούμενο ποσό το συντομότερο δυνατό, χωρίς καν να σκεφτούν το γεγονός ότι μπορεί να μείνουν χωρίς χρήματα και χωρίς απαραίτητες πληροφορίες. Μην πιστεύετε όλες αυτές τις αριστερές αναρτήσεις στο Διαδίκτυο, όπως "πλήρωσα το απαιτούμενο ποσό, μου έστειλαν έναν αποκρυπτογραφητή και όλες οι πληροφορίες αποκαταστάθηκαν". Όλα αυτά είναι ανοησίες. Βασικά, τέτοιες κριτικές γράφονται από τους ίδιους τους προγραμματιστές του ιού για να προσελκύσουν πιθανά θύματα. Σύμφωνα με τα πρότυπα των απλών χρηστών, τα ποσά που απαιτούν οι εισβολείς για την αποκρυπτογράφηση δεδομένων είναι αρκετά σοβαρά. Μπορεί να φτάσει αρκετές χιλιάδες δολάρια ή ευρώ. Τώρα ας ρίξουμε μια ματιά στα χαρακτηριστικά τελευταίοι ιοίαυτού του τύπου. Όλα είναι παρόμοια μεταξύ τους και μπορούν να ανήκουν όχι μόνο στην κατηγορία των ιών ransomware, αλλά και στην κατηγορία των λεγόμενων ransomware. Σε ορισμένες περιπτώσεις, ενεργούν αρκετά σωστά, στέλνοντας μηνύματα στον χρήστη ότι κάποιος θέλει να φροντίσει για την ασφάλεια των πληροφοριών του οργανισμού ή του χρήστη. Με τα μηνύματά του, ένας τέτοιος ιός ransomware απλώς παραπλανά τους χρήστες. Ωστόσο, εάν ο χρήστης πληρώσει το απαιτούμενο ποσό, απλώς θα «διαζευχθεί».

Ιός XTBL

Ο ιός XTBL, που εμφανίστηκε σχετικά πρόσφατα, μπορεί να αποδοθεί στην κλασική έκδοση των ιών ransomware. Τέτοια αντικείμενα, κατά κανόνα, διεισδύουν στο σύστημα μέσω μηνυμάτων που μεταδίδονται μέσω e-mail. Τα μηνύματα ενδέχεται να περιέχουν συνημμένα αρχεία με την επέκταση .scr. Αυτή η επέκτασηείναι στάνταρ για την προφύλαξη οθόνης των Windows. Ο χρήστης πιστεύει ότι όλα είναι εντάξει και ενεργοποιεί την προβολή ή αποθηκεύει αυτό το συνημμένο. Αυτή η λειτουργία μπορεί να οδηγήσει σε μάλλον ατυχείς συνέπειες. Τα ονόματα αρχείων μετατρέπονται σε ένα απλό σύνολο χαρακτήρων. Ο συνδυασμός .xtbl προστίθεται στην κύρια επέκταση αρχείου. Μετά από αυτό, αποστέλλεται ένα μήνυμα στην επιθυμητή διεύθυνση σχετικά με τη δυνατότητα αποκρυπτογράφησης μετά την πληρωμή ενός συγκεκριμένου ποσού.

Αυτός ο τύπος ιού μπορεί επίσης να ταξινομηθεί ως κλασικό ransomware. Εμφανίζεται στο σύστημα μετά το άνοιγμα των συνημμένων email. Αυτός ο ιόςμετονομάζει επίσης τα αρχεία του χρήστη και προσθέτει έναν συνδυασμό όπως .perfect και .nonchance στο τέλος της επέκτασης. Η αποκρυπτογράφηση αυτού του τύπου ιού κρυπτογράφησης, δυστυχώς, δεν είναι δυνατή. Αφού ολοκληρώσετε όλα τα βήματα, απλώς αυτοκαταστρέφεται. Ακόμη και ένα τέτοιο καθολικό εργαλείο όπως το RectorDecryptor δεν βοηθά. Ο χρήστης λαμβάνει ένα email που απαιτεί πληρωμή. Ο χρήστης έχει δύο ημέρες για να πληρώσει.

Breaking_Bad virus

Αυτός ο τύπος απειλής λειτουργεί σύμφωνα με το ήδη γνωστό πρότυπο. Μετονομάζει τα αρχεία του χρήστη προσθέτοντας τον συνδυασμό .breaking_bad στην επέκταση. Το θέμα όμως δεν περιορίζεται σε αυτό. Σε αντίθεση με άλλα ransomware, αυτός ο ιός μπορεί να δημιουργήσει μια άλλη επέκταση .Heisenberg. Επομένως, είναι αρκετά δύσκολο να βρείτε όλα τα μολυσμένα αρχεία. Αξίζει επίσης να πούμε ότι ο ιός Breaking_Bad είναι μια μάλλον σοβαρή απειλή. Υπάρχουν περιπτώσεις που ακόμη και το αδειοδοτημένο πρόγραμμα προστασίας από ιούς Kaspersky_Endpoint Security παραλείπει μια τέτοια απειλή.

Ιός [email προστατευμένο]

Ιός [email προστατευμένο]είναι μια άλλη μάλλον σοβαρή απειλή, η οποία απευθύνεται κυρίως σε μεγάλους εμπορικούς οργανισμούς. Συνήθως, κάποιο τμήμα της εταιρείας λαμβάνει ένα email που περιέχει ένα αρχείο .jpg ή .js. Πώς μπορεί να αποκωδικοποιηθεί αυτός ο τύπος ιού; Κρίνοντας από το γεγονός ότι ο αλγόριθμος RSA-1024 χρησιμοποιείται εκεί, δεν υπάρχει περίπτωση. Με βάση το όνομα του αλγορίθμου, μπορούμε να υποθέσουμε ότι χρησιμοποιεί ένα σύστημα κρυπτογράφησης 1024-bit. Μέχρι σήμερα, το σύστημα 256-bit θεωρείται το πιο προηγμένο.

Ιός Ransomware: Μπορεί το λογισμικό προστασίας από ιούς να αποκρυπτογραφήσει αρχεία;

Δεν έχει βρεθεί ακόμη τρόπος αποκρυπτογράφησης αρχείων μετά την ενέργεια τέτοιων απειλών. Ακόμα και τέτοιοι αναγνωρισμένοι δάσκαλοι στο χώρο προστασία από ιούς, καθώς οι Dr Web, Kaspersky, Eset δεν μπορούν να βρουν το κλειδί για την επίλυση του προβλήματος. Πώς να θεραπεύσετε αρχεία σε αυτήν την περίπτωση; Κατά κανόνα, ο χρήστης καλείται να στείλει ένα επίσημο αίτημα στον ιστότοπο του προγραμματιστή του προγράμματος προστασίας από ιούς. Σε αυτήν την περίπτωση, πρέπει να επισυνάψετε πολλά κρυπτογραφημένα αρχεία και τα πρωτότυπά τους, εάν υπάρχουν. Λίγοι χρήστες αποθηκεύουν σήμερα αφαιρούμενα μέσααντίγραφα των δεδομένων. Το πρόβλημα της απουσίας τους μπορεί μόνο να επιδεινώσει μια ήδη δυσάρεστη κατάσταση.

Χειροκίνητη αφαίρεση απειλής: πιθανές μέθοδοι

Σε ορισμένες περιπτώσεις, η σάρωση με συμβατικά προγράμματα προστασίας από ιούς εντοπίζει τέτοια κακόβουλα αντικείμενα και εξαλείφει ακόμη και αυτές τις απειλές. Τι να κάνουμε όμως με τις κρυπτογραφημένες πληροφορίες; Μερικοί χρήστες προσπαθούν να χρησιμοποιήσουν προγράμματα αποκρυπτογράφησης. Θα πρέπει να σημειωθεί αμέσως ότι αυτές οι ενέργειες δεν θα οδηγήσουν σε τίποτα καλό. Στην περίπτωση του ιού Breaking_Bad, αυτό μπορεί να είναι ακόμη και επιβλαβές. Γεγονός είναι ότι οι επιτιθέμενοι που δημιουργούν τέτοιους ιούς προσπαθούν να προστατεύσουν τον εαυτό τους και να διδάξουν στους άλλους ένα μάθημα. Όταν χρησιμοποιείτε βοηθητικά προγράμματα αποκρυπτογράφησης, ένας ιός μπορεί να αντιδράσει με τέτοιο τρόπο ώστε ολόκληρο το λειτουργικό σύστημα να καταρρεύσει και ταυτόχρονα να καταστρέψει εντελώς όλες τις πληροφορίες που είναι αποθηκευμένες σε λογικά διαμερίσματα και σκληρούς δίσκους. Ελπίζουμε μόνο για επίσημα εργαστήρια κατά των ιών.

Ριζοσπαστικοί τρόποι

Εάν τα πράγματα είναι πολύ άσχημα, τότε μπορείτε να μορφοποιήσετε HDD, συμπεριλαμβανομένων των εικονικών κατατμήσεων και, στη συνέχεια, εγκαταστήστε ξανά λειτουργικό σύστημα. Δυστυχώς δεν υπάρχει άλλη διέξοδος. Η επαναφορά του συστήματος σε ένα συγκεκριμένο σημείο επαναφοράς δεν θα βοηθήσει στη διόρθωση της κατάστασης. Ως αποτέλεσμα, ο ιός μπορεί να εξαφανιστεί, αλλά τα αρχεία θα παραμείνουν κρυπτογραφημένα.

Οι σύγχρονες τεχνολογίες επιτρέπουν στους χάκερ να βελτιώνουν συνεχώς τους τρόπους απάτης σε σχέση με απλούς χρήστες. Κατά κανόνα, το λογισμικό ιών που διεισδύει σε έναν υπολογιστή χρησιμοποιείται για αυτούς τους σκοπούς. Οι ιοί κρυπτογράφησης θεωρούνται ιδιαίτερα επικίνδυνοι. Η απειλή έγκειται στο γεγονός ότι ο ιός εξαπλώνεται πολύ γρήγορα, κρυπτογραφώντας αρχεία (ο χρήστης απλά δεν μπορεί να ανοίξει κανένα έγγραφο). Και αν είναι αρκετά απλό, τότε είναι πολύ πιο δύσκολο να αποκρυπτογραφήσετε τα δεδομένα.

Τι να κάνετε εάν ένας ιός έχει κρυπτογραφημένα αρχεία στον υπολογιστή σας

Ο καθένας μπορεί να δεχθεί επίθεση από ένα ransomware, ακόμη και οι χρήστες που διαθέτουν ισχυρό λογισμικό προστασίας από ιούς δεν είναι ασφαλισμένοι. Τα trojan κρυπτογράφησης αρχείων αντιπροσωπεύονται από διαφορετικό κώδικα, ο οποίος μπορεί να είναι πέρα ​​από τη δύναμη του antivirus. Οι χάκερ καταφέρνουν ακόμη και να επιτεθούν με αυτόν τον τρόπο σε μεγάλες εταιρείες που δεν έχουν φροντίσει για την απαραίτητη προστασία των πληροφοριών τους. Έτσι, έχοντας «παραλάβει» ένα πρόγραμμα ransomware στο διαδίκτυο, πρέπει να λάβετε μια σειρά από μέτρα.

Τα κύρια σημάδια μόλυνσης είναι η αργή λειτουργία του υπολογιστή και η αλλαγή στα ονόματα των εγγράφων (μπορείτε να το δείτε στην επιφάνεια εργασίας).

1. Κάντε επανεκκίνηση του υπολογιστή σας για να σταματήσει η κρυπτογράφηση. Όταν είναι ενεργοποιημένο, μην επιβεβαιώσετε την εκκίνηση άγνωστων προγραμμάτων.
2. Εκτελέστε το πρόγραμμα προστασίας από ιούς εάν δεν έχει δεχτεί επίθεση από ransomware.
3. Σε ορισμένες περιπτώσεις, τα σκιερά αντίγραφα θα βοηθήσουν στην επαναφορά πληροφοριών. Για να τα βρείτε, ανοίξτε τις "Ιδιότητες" του κρυπτογραφημένου εγγράφου. Αυτή η μέθοδος λειτουργεί με τα κρυπτογραφημένα δεδομένα της επέκτασης Vault, η οποία έχει πληροφορίες στην πύλη.
4. Κατεβάστε το βοηθητικό πρόγραμμα τελευταία έκδοσηγια την καταπολέμηση ιών ransomware. Τα πιο αποτελεσματικά προσφέρονται από την Kaspersky Lab.

Ιοί κρυπτογράφησης το 2016: παραδείγματα

Κατά την καταπολέμηση οποιασδήποτε επίθεσης ιού, είναι σημαντικό να κατανοήσετε ότι ο κώδικας αλλάζει πολύ συχνά, συμπληρώνεται νέα προστασίααπό antivirus. Φυσικά, τα προγράμματα προστασίας χρειάζονται κάποιο χρόνο μέχρι ο προγραμματιστής να ενημερώσει τις βάσεις δεδομένων. Επιλέξαμε τους πιο επικίνδυνους ιούς κρυπτογράφησης των τελευταίων εποχών.

Ishtar ransomware

Το Ishtar είναι ένα ransomware που εκβιάζει χρήματα από τον χρήστη. Ο ιός παρατηρήθηκε το φθινόπωρο του 2016, μολύνοντας έναν τεράστιο αριθμό υπολογιστών χρηστών από τη Ρωσία και μια σειρά από άλλες χώρες. Διανέμεται χρησιμοποιώντας διανομή email, η οποία περιέχει συνημμένα έγγραφα (εγκαταστάτες, έγγραφα κ.λπ.). Τα δεδομένα που έχουν μολυνθεί με το ransomware Ishtar λαμβάνουν το πρόθεμα "ISHTAR" στο όνομα. Η διαδικασία δημιουργεί ένα έγγραφο δοκιμής που υποδεικνύει πού να πάτε για να λάβετε τον κωδικό πρόσβασης. Οι επιτιθέμενοι απαιτούν από 3.000 έως 15.000 ρούβλια για αυτό.

Ο κίνδυνος του ιού Ishtar είναι ότι σήμερα δεν υπάρχει αποκρυπτογραφητής που θα βοηθούσε τους χρήστες. Οι εταιρείες λογισμικού προστασίας από ιούς χρειάζονται χρόνο για να αποκρυπτογραφήσουν όλο τον κώδικα. Τώρα μπορούμε μόνο να απομονωθούμε σημαντικές πληροφορίες(εάν έχουν ιδιαίτερη σημασία) σε ξεχωριστό μέσο, ​​περιμένοντας την κυκλοφορία ενός βοηθητικού προγράμματος ικανού να αποκρυπτογραφήσει έγγραφα. Συνιστάται η επανεγκατάσταση του λειτουργικού συστήματος.

Νεϊτρίνο

Το ransomware Neitrino εμφανίστηκε στο Διαδίκτυο το 2015. Σύμφωνα με την αρχή της επίθεσης, είναι παρόμοιο με άλλους ιούς αυτής της κατηγορίας. Αλλάζει τα ονόματα των φακέλων και των αρχείων προσθέτοντας "Neitrino" ή "Neutrino". Ο ιός είναι δύσκολο να αποκρυπτογραφηθεί - δεν το αναλαμβάνουν όλοι οι εκπρόσωποι των εταιρειών προστασίας από ιούς, αναφερόμενοι σε έναν πολύ περίπλοκο κώδικα. Η επαναφορά ενός σκιώδους αντιγράφου μπορεί να βοηθήσει ορισμένους χρήστες. Για να το κάνετε αυτό, κάντε κλικ κάντε δεξί κλικκάντε κλικ στο κρυπτογραφημένο έγγραφο, μεταβείτε στις "Ιδιότητες", στην καρτέλα "Προηγούμενες εκδόσεις", κάντε κλικ στην "Επαναφορά". Δεν θα ήταν περιττό να το χρησιμοποιήσετε δωρεάν βοηθητικό πρόγραμμααπό το Kaspersky Lab.

Wallet ή .wallet.

Ο ιός κρυπτογράφησης Wallet εμφανίστηκε στα τέλη του 2016. Κατά τη διαδικασία μόλυνσης, αλλάζει το όνομα των δεδομένων σε "Όνομα..πορτοφόλι" ή παρόμοιο. Όπως οι περισσότεροι ιοί ransomware, εισέρχεται στο σύστημα μέσω συνημμένων email που αποστέλλονται από χάκερ. Δεδομένου ότι η απειλή εμφανίστηκε πρόσφατα, τα προγράμματα προστασίας από ιούς δεν την παρατηρούν. Μετά την κρυπτογράφηση, δημιουργεί ένα έγγραφο στο οποίο ο απατεώνας καθορίζει την αλληλογραφία για επικοινωνία. Επί του παρόντος, οι προγραμματιστές λογισμικού προστασίας από ιούς εργάζονται για την αποκρυπτογράφηση του κώδικα του ιού ransomware. [email προστατευμένο]Οι χρήστες που έχουν δεχθεί επίθεση μπορούν μόνο να περιμένουν. Εάν τα δεδομένα είναι σημαντικά, συνιστάται να τα αποθηκεύσετε εξωτερική μονάδα δίσκουμε την εκκαθάριση του συστήματος.

Αίνιγμα

Ιός ransomware Enigmaάρχισε να μολύνει υπολογιστές Ρώσων χρηστών στα τέλη Απριλίου 2016. Χρησιμοποιεί το μοντέλο κρυπτογράφησης AES-RSA, το οποίο βρίσκεται στα περισσότερα ransomware σήμερα. Ο ιός διεισδύει στον υπολογιστή χρησιμοποιώντας ένα σενάριο που εκτελεί ο ίδιος ο χρήστης ανοίγοντας αρχεία από ένα ύποπτο email. Δεν υπάρχει ακόμα καθολική θεραπεία για την αντιμετώπιση του κρυπτογράφησης Enigma. Οι χρήστες που έχουν άδεια για ένα πρόγραμμα προστασίας από ιούς μπορούν να ζητήσουν βοήθεια στον επίσημο ιστότοπο του προγραμματιστή. Βρέθηκε επίσης ένα μικρό "παραθυράκι" - Windows UAC. Εάν ο χρήστης κάνει κλικ στο "Όχι" στο παράθυρο που εμφανίζεται κατά τη διάρκεια της μόλυνσης από τον ιό, μπορεί αργότερα να επαναφέρει τις πληροφορίες χρησιμοποιώντας σκιερά αντίγραφα.

Γρανίτης

Νέος ιός ransomwareΤο Granit εμφανίστηκε στον Ιστό το φθινόπωρο του 2016. Η μόλυνση συμβαίνει σύμφωνα με το ακόλουθο σενάριο: ο χρήστης εκκινεί ένα πρόγραμμα εγκατάστασης που μολύνει και κρυπτογραφεί όλα τα δεδομένα στον υπολογιστή και τις συνδεδεμένες μονάδες δίσκου. Η καταπολέμηση του ιού είναι δύσκολη. Για να αφαιρέσετε, μπορείτε να χρησιμοποιήσετε ειδικές βοηθητικές υπηρεσίεςαπό την Kaspersky, αλλά ο κώδικας δεν έχει ακόμη αποκρυπτογραφηθεί. Η επαναφορά προηγούμενων εκδόσεων των δεδομένων μπορεί να βοηθήσει. Επιπλέον, ένας ειδικός που έχει μεγάλη εμπειρία μπορεί να αποκρυπτογραφήσει, αλλά η υπηρεσία είναι ακριβή.

Ο Τάισον

Φάνηκε πρόσφατα. Είναι μια επέκταση του ήδη γνωστού no_more_ransom ransomware, για το οποίο μπορείτε να μάθετε από την ιστοσελίδα μας. Μεταβαίνει σε προσωπικούς υπολογιστές από e-mail. Πολλοί εταιρικοί υπολογιστές έχουν δεχθεί επίθεση. Ο ιός δημιουργεί Έγγραφο κειμένουμε οδηγίες ξεκλειδώματος, προσφέροντας να πληρώσει «λύτρα». Το Tyson ransomware εμφανίστηκε πρόσφατα, επομένως δεν υπάρχει ακόμη κλειδί ξεκλειδώματος. Ο μόνος τρόπος για να ανακτήσετε πληροφορίες είναι να επιστρέψετε ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣεκτός αν έχουν αφαιρεθεί από ιό. Μπορείτε, φυσικά, να ρισκάρετε μεταφέροντας χρήματα στον λογαριασμό που υποδεικνύουν οι εισβολείς, αλλά δεν υπάρχει καμία εγγύηση ότι θα λάβετε τον κωδικό πρόσβασης.

Σπορά

Στις αρχές του 2017, αρκετοί χρήστες έπεσαν θύματα του νέου ransomware Spora. Σύμφωνα με την αρχή της λειτουργίας, δεν διαφέρει πολύ από τους ομολόγους του, αλλά μπορεί να υπερηφανεύεται για μια πιο επαγγελματική απόδοση: οι οδηγίες για την απόκτηση κωδικού πρόσβασης είναι καλύτερες, ο ιστότοπος φαίνεται πιο όμορφος. Δημιούργησε το Spora ransomware σε γλώσσα C, χρησιμοποιεί έναν συνδυασμό RSA και AES για την κρυπτογράφηση των δεδομένων των θυμάτων. Κατά κανόνα, οι υπολογιστές που χρησιμοποιούνται ενεργά δέχονται επίθεση. λογιστικό πρόγραμμα 1C. Ο ιός, που κρύβεται κάτω από το πρόσχημα ενός απλού τιμολογίου σε μορφή .pdf, αναγκάζει τους υπαλλήλους της εταιρείας να τον εκτοξεύσουν. Δεν έχει βρεθεί ακόμη θεραπεία.

1C.Drop.1

Αυτός ο ιός κρυπτογράφησης για το 1C εμφανίστηκε το καλοκαίρι του 2016, διακόπτοντας το έργο πολλών λογιστικών τμημάτων. Σχεδιασμένο ειδικά για υπολογιστές που χρησιμοποιούν λογισμικό 1C. Μεταφέροντας ένα αρχείο σε ένα email σε έναν υπολογιστή, ζητά από τον κάτοχο να ενημερώσει το πρόγραμμα. Όποιο κουμπί πατήσει ο χρήστης, ο ιός θα αρχίσει να κρυπτογραφεί αρχεία. Οι ειδικοί του Dr.Web εργάζονται σε εργαλεία αποκρυπτογράφησης, αλλά μέχρι στιγμής δεν έχει βρεθεί λύση. Αυτό οφείλεται στον πολύπλοκο κώδικα, ο οποίος μπορεί να είναι σε πολλές τροποποιήσεις. Η μόνη προστασία έναντι του 1C.Drop.1 είναι η επαγρύπνηση των χρηστών και η τακτική αρχειοθέτηση σημαντικών εγγράφων.

da_vinci_code

Ένα νέο ransomware με ασυνήθιστο όνομα. Ο ιός εμφανίστηκε την άνοιξη του 2016. Διαφέρει από τους προκατόχους του με βελτιωμένο κώδικα και ισχυρή λειτουργία κρυπτογράφησης. Το da_vinci_code μολύνει έναν υπολογιστή χάρη σε μια εκτελέσιμη εφαρμογή (συνήθως επισυνάπτεται σε ένα e-mail), την οποία εκκινεί ο χρήστης ανεξάρτητα. Ο κωδικοποιητής da Vinci (κωδικός da Vinci) αντιγράφει το σώμα στον κατάλογο και το μητρώο του συστήματος, διασφαλίζοντας ότι ξεκινά αυτόματα όταν τα Windows είναι ενεργοποιημένα. Στον υπολογιστή κάθε θύματος εκχωρείται ένα μοναδικό αναγνωριστικό (βοηθά στην απόκτηση του κωδικού πρόσβασης). Είναι σχεδόν αδύνατο να αποκρυπτογραφήσετε τα δεδομένα. Μπορείτε να πληρώσετε χρήματα σε εισβολείς, αλλά κανείς δεν εγγυάται ότι θα λάβετε τον κωδικό πρόσβασης.

[email προστατευμένο] / [email προστατευμένο]

Δύο διευθύνσεις email που συχνά συνόδευαν το ransomware το 2016. Χρησιμεύουν για τη σύνδεση του θύματος με τον εισβολέα. Οι διευθύνσεις προσαρτήθηκαν σε διάφορους τύπους ιών: da_vinci_code, no_more_ransom και ούτω καθεξής. Δεν συνιστάται ιδιαίτερα η επικοινωνία, καθώς και η μεταφορά χρημάτων σε απατεώνες. Οι χρήστες στις περισσότερες περιπτώσεις παραμένουν χωρίς κωδικούς πρόσβασης. Έτσι, δείχνοντας ότι το ransomware των εισβολέων λειτουργεί, δημιουργώντας έσοδα.

Breaking Bad

Εμφανίστηκε στις αρχές του 2015, αλλά διαδόθηκε ενεργά μόνο ένα χρόνο αργότερα. Η αρχή της μόλυνσης είναι ίδια με άλλα ransomware: εγκατάσταση αρχείου από email, κρυπτογράφηση δεδομένων. Τα συμβατικά antivirus συνήθως δεν παρατηρούν τον ιό Breaking Bad. Ορισμένος κώδικας δεν μπορεί να παρακάμψει το UAC των Windows, επομένως ο χρήστης εξακολουθεί να μπορεί να επαναφέρει προηγούμενες εκδόσεις εγγράφων. Ο αποκωδικοποιητής δεν έχει παρουσιαστεί ακόμη από καμία εταιρεία που αναπτύσσει λογισμικό προστασίας από ιούς.

XTBL

Ένα πολύ κοινό ransomware που προκάλεσε προβλήματα σε πολλούς χρήστες. Μόλις μπει σε υπολογιστή, ο ιός αλλάζει την επέκταση αρχείου σε .xtbl μέσα σε λίγα λεπτά. Δημιουργείται ένα έγγραφο στο οποίο ο εισβολέας εκβιάζει χρήματα. Μερικές ποικιλίες Ιός XTBLδεν μπορεί να καταστρέψει αρχεία για ανάκτηση συστήματος, γεγονός που σας επιτρέπει να επιστρέψετε σημαντικά έγγραφα. Ο ίδιος ο ιός μπορεί να αφαιρεθεί από πολλά προγράμματα, αλλά είναι πολύ δύσκολο να αποκρυπτογραφηθούν έγγραφα. Εάν έχετε άδεια προστασίας από ιούς, χρησιμοποιήστε τεχνική υποστήριξη επισυνάπτοντας δείγματα μολυσμένων δεδομένων.

Κουκαράτσα

Ο κρυπτογράφηση Kukaracha εντοπίστηκε τον Δεκέμβριο του 2016. Ένας ιός με ενδιαφέρον όνομα κρύβει αρχεία χρήστη χρησιμοποιώντας τον αλγόριθμο RSA-2048, ο οποίος είναι εξαιρετικά ανθεκτικός. Το Kaspersky Anti-Virus το προσδιόρισε ως Trojan-Ransom.Win32.Scatter.lb. Το Kukaracha μπορεί να αφαιρεθεί από τον υπολογιστή έτσι ώστε να μην μολυνθούν άλλα έγγραφα. Ωστόσο, τα μολυσμένα είναι σχεδόν αδύνατο να αποκρυπτογραφηθούν σήμερα (πολύ ισχυρός αλγόριθμος).

Πώς λειτουργεί το ransomware

Υπάρχει ένας τεράστιος αριθμός ransomware, αλλά όλα λειτουργούν με παρόμοια αρχή.

1. Χτύπησε στο Προσωπικός υπολογιστής. Κατά κανόνα, χάρη στο συνημμένο αρχείο στο e-mail. Η εγκατάσταση ξεκινά από τον ίδιο τον χρήστη ανοίγοντας το έγγραφο.
2. Μόλυνση αρχείου. Σχεδόν όλοι οι τύποι αρχείων είναι κρυπτογραφημένοι (ανάλογα με τον ιό). Δημιουργείται ένα έγγραφο κειμένου που περιέχει επαφές για επικοινωνία με εισβολείς.
3. Ολα. Ο χρήστης δεν μπορεί να έχει πρόσβαση σε κανένα έγγραφο.

Φάρμακα από δημοφιλή εργαστήρια

Η ευρεία χρήση του ransomware, το οποίο αναγνωρίζεται ως η πιο επικίνδυνη απειλή για τα δεδομένα των χρηστών, έχει γίνει ώθηση για πολλά εργαστήρια προστασίας από ιούς. Κάθε δημοφιλής εταιρεία παρέχει στους χρήστες της προγράμματα που τους βοηθούν να καταπολεμήσουν το ransomware. Επιπλέον, πολλά από αυτά βοηθούν στην αποκρυπτογράφηση των εγγράφων που προστατεύονται από το σύστημα.

Kaspersky και ιοί κρυπτογράφησης

Ένα από τα πιο διάσημα εργαστήρια κατά των ιών στη Ρωσία και στον κόσμο προσφέρει σήμερα τα πιο αποτελεσματικά μέσα για την καταπολέμηση των ιών ransomware. Το πρώτο εμπόδιο για τον ιό ransomware θα είναι Kaspersky EndpointΑσφάλεια 10s πιο πρόσφατες ενημερώσεις. Το anti-virus απλά δεν θα επιτρέψει στην απειλή να εισέλθει στον υπολογιστή (ωστόσο, οι νέες εκδόσεις ενδέχεται να μην σταματήσουν). Για την αποκρυπτογράφηση πληροφοριών, ο προγραμματιστής παρουσιάζει πολλά δωρεάν βοηθητικά προγράμματα ταυτόχρονα: XoristDecryptor, RakhniDecryptor και Ransomware Decryptor. Βοηθούν στον εντοπισμό του ιού και στην ανάκτηση του κωδικού πρόσβασης.

Ο Δρ. Ιστός και ransomware

Αυτό το εργαστήριο συνιστά τη χρήση τους πρόγραμμα προστασίας από ιούς, κύριο χαρακτηριστικόπου ήταν αντίγραφο ασφαλείας αρχείων. Η αποθήκευση με αντίγραφα εγγράφων προστατεύεται επίσης από μη εξουσιοδοτημένη πρόσβαση από εισβολείς. Οι κάτοχοι του αδειοδοτημένου προϊόντος Dr. Web, μια λειτουργία κλήσης για βοήθεια είναι διαθέσιμη στο τεχνική υποστήριξη. Είναι αλήθεια ότι ακόμη και έμπειροι ειδικοί δεν μπορούν πάντα να αντισταθούν σε αυτό το είδος απειλής.

ESET Nod 32 και ransomware

Ούτε αυτή η εταιρεία έμεινε στην άκρη, παρέχοντας στους χρήστες της καλή προστασία από ιούς που εισέρχονται στον υπολογιστή. Επιπλέον, το εργαστήριο κυκλοφόρησε πρόσφατα δωρεάν βοηθητικό πρόγραμμαμε τρέχουσες βάσεις δεδομένων - Eset Crysis Decryptor. Οι προγραμματιστές ισχυρίζονται ότι θα βοηθήσει στην καταπολέμηση ακόμη και του πιο πρόσφατου ransomware.