و هر سال موارد جدید بیشتری ظاهر می شوند ... جالب تر و جالب تر. محبوب ترین ویروس اخیر (Trojan-Ransom.Win32.Rector) که تمام فایل های شما (*.mp3، *.doc، *.docx، *.iso، *.pdf، *.jpg، *.rar، و غیره) را رمزگذاری می کند. .) .d.). مشکل این است که رمزگشایی چنین فایل هایی بسیار دشوار و زمان بر است، بسته به نوع رمزگذاری، رمزگشایی می تواند هفته ها، ماه ها یا حتی سال ها طول بکشد. به نظر من این ویروس است این لحظه، اوج در خطر در میان سایر ویروس ها. این به ویژه برای رایانه های خانگی / لپ تاپ خطرناک است، زیرا اکثر کاربران از اطلاعات خود نسخه پشتیبان تهیه نمی کنند و هنگام رمزگذاری فایل ها، تمام داده ها را از دست می دهند. برای سازمان ها، این ویروس کمتر خطرناک است زیرا آنها می سازند پشتیبان گیریداده های مهم و در صورت عفونت، آنها به سادگی آنها را بازیابی می کنند، البته پس از حذف ویروس. من چندین بار با این ویروس ملاقات کردم، توضیح خواهم داد که چگونه اتفاق افتاد و به چه چیزی منجر شد.

اولین بار در ابتدای سال 2014 با ویروسی که فایل ها را رمزگذاری می کند آشنا شدم. مدیری از شهر دیگری با من تماس گرفت و ناخوشایندترین خبر را به من گفت - همه فایل های موجود در سرور فایل رمزگذاری شده اند! عفونت به روش ابتدایی اتفاق افتاد - نامه ای به بخش حسابداری آمد با پیوست "Act something there.pdf.exe" همانطور که فهمیدید ، آنها این را باز کردند فایل EXEو پروسه پیش رفت... تمام فایل های شخصی کامپیوتر را رمزگذاری کرد و رفت به سرور فایل(توسط یک درایو شبکه نگاشت شده است). به همراه مدیر شروع به حفاری اطلاعات در اینترنت کردیم ... در آن زمان هیچ راه حلی وجود نداشت ... همه نوشتند که چنین ویروسی وجود دارد ، نحوه درمان آن معلوم نبود ، رمزگشایی امکان پذیر نبود. فایل ها، شاید ارسال فایل ها به Kaspersky، Dr Web یا Nod32 کمک کننده باشد. فقط در صورتی می توانید آنها را ارسال کنید که از برنامه های ضد ویروس آنها استفاده کنید (مجوزها وجود دارد). فایل ها را برای دکتر وب و نود 32 فرستادیم، نتیجه 0 بود، یادم نیست در دکتر وب چه گفتند، اما در نود 32 کاملا ساکت بودند و من منتظر هیچ پاسخی از آنها نبودم. به طور کلی، همه چیز ناراحت کننده بود و ما هرگز راه حلی پیدا نکردیم، برخی از فایل ها از یک نسخه پشتیبان بازیابی شدند.

داستان دوم - همین روز قبل (اواسط اکتبر 2014) از یک سازمان با من تماس گرفت و از من خواست که مشکل ویروس را حل کنم، همانطور که متوجه شدید همه فایل های رایانه رمزگذاری شده بودند. در اینجا نمونه ای از ظاهر آن است.

همانطور که مشاهده می کنید، پسوند *.AES256 به هر فایل اضافه شده است. در هر پوشه یک فایل "Attention_open-me.txt" وجود داشت که در آن مخاطبینی برای ارتباط وجود داشت.

هنگام تلاش برای باز کردن این فایل ها، برنامه ای با مخاطبین برای تماس با نویسندگان ویروس برای پرداخت هزینه رمزگشایی باز شد. البته توصیه نمی‌کنم با آن‌ها تماس بگیرید و هزینه کد را نیز بپردازید، زیرا شما فقط از نظر مالی از آنها حمایت می‌کنید و این واقعیت ندارد که یک کلید رمزگشایی دریافت کنید.

عفونت در حین نصب برنامه دانلود شده از اینترنت رخ داد. شگفت آورترین چیز این بود که وقتی متوجه شدند فایل ها تغییر کرده اند (آیکون ها و پسوند فایل ها تغییر کرده اند) هیچ کاری انجام ندادند و به کار خود ادامه دادند و در این بین باج افزار به رمزگذاری همه فایل ها ادامه داد.

توجه!!! اگر متوجه رمزگذاری فایل در رایانه خود شدید (تغییر نمادها، تغییر پسوند)، بلافاصله رایانه / لپ تاپ خود را خاموش کنید و به دنبال راه حلی از دستگاه دیگری (از رایانه / لپ تاپ، تلفن، تبلت دیگر) باشید یا با متخصصان فناوری اطلاعات تماس بگیرید. هر چه رایانه/لپ‌تاپ شما بیشتر روشن بماند، فایل های بیشتراو رمزگذاری می کند.

به طور کلی، من قبلاً می خواستم از کمک به آنها خودداری کنم، اما تصمیم گرفتم در اینترنت گشت و گذار کنم، شاید در حال حاضر راه حلی برای این مشکل وجود داشته باشد. در نتیجه جستجوها، من اطلاعات زیادی را خواندم که نمی توان آن را رمزگشایی کرد، که باید فایل ها را برای شرکت های ضد ویروس (کسپرسکی، دکتر وب یا نود32) ارسال کنید - با تشکر، تجربه ای وجود داشت.
من با ابزاری از Kaspersky برخورد کردم - RectorDecryptor. و اینک فایلها رمزگشایی شدند. خب، اول از همه...

اولین قدم این است که باج افزار را متوقف کنید. شما روی آنتی ویروس ها پیدا نخواهید شد، زیرا Dr Web نصب شده چیزی پیدا نکرد. اول از همه وارد autoloads شدم و همه autoload ها (به جز آنتی ویروس) رو غیر فعال کردم. کامپیوتر را دوباره راه اندازی کرد. سپس شروع به بررسی نوع فایل‌هایی در راه‌اندازی کرد.

همانطور که می بینید، در قسمت "Command" مشخص شده است که فایل در کجا قرار دارد، توجه ویژه ای برای حذف برنامه های بدون امضا لازم است (سازنده - بدون داده). به طور کلی، بدافزارها و فایل هایی را که هنوز برایم واضح نبود، پیدا و حذف کردم. پس از آن، پوشه های موقت و حافظه پنهان مرورگر را تمیز کردم، بهتر است از برنامه برای این اهداف استفاده کنید. CCleaner .

سپس من اقدام به رمزگشایی فایل ها کردم، برای این کار دانلود کردم برنامه رمزگشایی RectorDecryptor . راه اندازی شد و یک رابط کاربری نسبتاً زاهدانه را دید.

من روی "شروع بررسی" کلیک کردم، پسوندی را که همه فایل های اصلاح شده داشتند نشان داد.

و فایل رمزگذاری شده را نشان داد. در نسخه های جدیدتر RectorDecryptor، به سادگی می توانید فایل رمزگذاری شده را مشخص کنید. روی دکمه "باز کردن" کلیک کنید.

تادا-آ-ام!!! معجزه ای رخ داد و فایل رمزگشایی شد.

پس از آن، ابزار به طور خودکار تمام فایل های کامپیوتر + فایل های متصل را بررسی می کند درایو شبکهو آنها را رمزگشایی می کند. فرآیند رمزگشایی ممکن است چندین ساعت طول بکشد (بسته به تعداد فایل های رمزگذاری شده و سرعت رایانه شما).

در نتیجه، تمام فایل های رمزگذاری شده با موفقیت در همان فهرستی که در ابتدا قرار داشتند رمزگشایی شدند.

باقی مانده است که همه فایل‌های با پسوند AES256. حذف شوند، اگر روی «تغییر تنظیمات تأیید» در پنجره RectorDecryptor کلیک کنید، می‌توانید این کار را با علامت زدن کادر «حذف فایل‌های رمزگذاری‌شده پس از رمزگشایی موفقیت‌آمیز» انجام دهید.

اما به یاد داشته باشید که بهتر است این کادر را علامت نزنید، زیرا در صورت ناموفق بودن رمزگشایی فایل ها، حذف می شوند و برای اینکه دوباره رمزگشایی کنید، باید آنها را راه اندازی کنید. دوباره برقرار کردن .

هنگام تلاش برای حذف همه فایل های رمزگذاری شده با جستجوی استانداردو حذف، با انجماد و عملکرد بسیار کند کامپیوتر مواجه شدم.

بنابراین، برای حذف آن، بهتر است از خط فرمان استفاده کنید، آن را اجرا کنید و بنویسید دل"<диск>:\*.<расширение зашифрованного файла>"/f/s. در مورد من، "d:\*.AES256" /f /s.

فراموش نکنید که فایل های "Attention_open-me.txt" را برای این کار حذف کنید خط فرماناز دستور استفاده کنید دل"<диск>:\*.<имя файла>"/f/s،مثلا
del "d:\Attention_open-me.txt" /f /s

بنابراین، ویروس شکست خورده و فایل ها بازیابی شدند. من می خواهم به شما هشدار دهم که بدین ترتیببه همه کمک نخواهد کرد، مسئله این است که Kapersky در این ابزار، تمام کلیدهای شناخته شده را برای رمزگشایی جمع آوری کرده است (از فایل هایی که توسط افراد آلوده به ویروس ارسال شده است) و کلیدها را انتخاب کرده و با نیروی بی رحمانه رمزگشایی می کند. آن ها اگر فایل های شما توسط یک ویروس با کلیدی که هنوز مشخص نیست رمزگذاری شده است، پس این روش کمکی نخواهد کرد... باید فایل های آلوده را به شرکت های آنتی ویروس - Kaspersky، Dr Web یا Nod32 ارسال کنید تا آنها را رمزگشایی کنید.

این ویروس ها ممکن است کمی متفاوت باشند، اما به طور کلی، عملکرد آنها همیشه یکسان است:

• نصب بر روی کامپیوتر؛
• رمزگذاری تمام فایل هایی که ممکن است حداقل مقداری ارزش داشته باشند (اسناد، عکس ها).
• هنگام تلاش برای باز کردن این فایل ها، از کاربر بخواهید که مبلغ مشخصی را به کیف پول یا حساب مهاجم واریز کند، در غیر این صورت دسترسی به محتوا هرگز باز نخواهد شد.

فایل های رمزگذاری شده با ویروس در xtbl

در حال حاضر، یک ویروس کاملاً گسترده شده است که قادر به رمزگذاری فایل ها و تغییر پسوند آنها به xtbl. و همچنین جایگزینی نام آنها با کاراکترهای کاملاً تصادفی است.

علاوه بر این، در یک مکان آشکار ایجاد می شود فایل ویژهبا دستورالعمل readme.txt. در آن، مهاجم کاربر را در مقابل این واقعیت قرار می دهد که تمام داده های مهم او رمزگذاری شده است و اکنون نمی توان آنها را به این راحتی باز کرد و این را با این واقعیت تکمیل می کند که برای بازگرداندن همه چیز به حالت قبلی خود، لازم است. برای انجام برخی اقدامات مربوط به انتقال پول به کلاهبردار (معمولاً قبل از آن باید کد خاصی را به یکی از آدرس های پیشنهادی ارسال کنید. پست الکترونیک). اغلب چنین پیام هایی با این نکته نیز تکمیل می شود که اگر سعی کنید همه فایل های خود را رمزگشایی کنید، خطر از دست دادن آنها برای همیشه وجود دارد.

متأسفانه، در حال حاضر، رسماً هیچ کس نتوانسته است xtbl. را رمزگشایی کند، اگر روش کاری ظاهر شود، قطعاً در مقاله در مورد آن گزارش خواهیم کرد. در میان کاربران کسانی هستند که تجربه مشابهی با این ویروس داشته اند و مبلغ مورد نیاز را به کلاهبرداران پرداخت کرده و در ازای آن رمزگشایی اسناد خود را دریافت می کنند. اما این یک گام بسیار خطرناک است، زیرا در میان مهاجمان کسانی هستند که به‌خصوص با رمزگشایی وعده داده شده زحمت نمی‌کشند، در نهایت این پول از بین می‌رود.

می پرسی پس چه باید کرد؟ ما چند نکته را ارائه می دهیم که به شما کمک می کند تمام داده های خود را بازگردانید و در عین حال توسط کلاهبرداران هدایت نخواهید شد و پول خود را به آنها نمی دهید. و بنابراین آنچه باید انجام شود:

1. اگر می دانید چگونه در Task Manager کار کنید، بلافاصله رمزگذاری فایل را با متوقف کردن فرآیند مشکوک قطع کنید. در همان زمان، کامپیوتر خود را از اینترنت جدا کنید - بسیاری از باج افزارها به اتصال شبکه نیاز دارند.
2. یک تکه کاغذ بردارید و کد پیشنهادی برای ارسال به ایمیل مهاجمان را روی آن یادداشت کنید (یک تکه کاغذ زیرا ممکن است فایلی که در آن می نویسید نیز ناخوانا شود).
3. با کمک ابزارهای ضد ویروس Malwarebytes Antimalware، آنتی ویروس آزمایشی Kaspersky IS یا CureIt، حذف نصب کنید بد افزار. برای اطمینان بیشتر، بهتر است به طور مداوم از تمام ابزارهای پیشنهادی استفاده کنید. اگرچه اگر سیستم از قبل یک آنتی ویروس اصلی داشته باشد، آنتی ویروس کسپرسکی قابل نصب نیست، در غیر این صورت ممکن است تداخل نرم افزاری رخ دهد. همه ابزارهای دیگر در هر شرایطی قابل استفاده هستند.
4. صبر کنید تا یکی از شرکت های آنتی ویروس رمزگشای کارآمدی برای چنین فایل هایی ایجاد کند. آزمایشگاه کسپرسکی سریع‌ترین کار را انجام می‌دهد.
5. علاوه بر این، می توانید ارسال کنید [ایمیل محافظت شده]یک کپی از فایل که با کد مورد نیاز رمزگذاری شده است و در صورت وجود، همان فایل به شکل اصلی آن. کاملاً ممکن است که این می تواند توسعه یک روش رمزگشایی فایل را سرعت بخشد.

تحت هیچ شرایطی انجام ندهید:

• تغییر نام این اسناد؛
• تغییر پسوند آنها؛
• حذف فایل ها

این تروجان ها همچنین فایل های کاربران را رمزگذاری کرده و سپس از آنها اخاذی می کنند. در عین حال، فایل های رمزگذاری شده می توانند پسوندهای زیر را داشته باشند:

• .قفل شده
• .crypto
• .kraken
• .AES256 (الزاماً این تروجان نیست، سایرین هستند که همین پسوند را نصب می کنند).
• [ایمیل محافظت شده] _com
• .oshit
• و دیگران.

خوشبختانه، یک ابزار رمزگشایی ویژه قبلا ایجاد شده است - RakhniDecryptor. می توانید آن را از سایت رسمی دانلود کنید.

در همان سایت، می‌توانید دستورالعمل‌هایی را بیابید که نحوه استفاده از ابزار برای رمزگشایی تمام فایل‌هایی را که تروجان روی آنها کار کرده است، به طور واضح و با جزئیات نشان می‌دهد. در اصل، برای قابلیت اطمینان بیشتر، ارزش حذف مورد برای حذف فایل های رمزگذاری شده را دارد. اما به احتمال زیاد، توسعه دهندگان کار خوبی در ایجاد این ابزار انجام داده اند و هیچ چیز یکپارچگی داده ها را تهدید نمی کند.

کسانی که از آنتی ویروس Dr.Web دارای مجوز استفاده می کنند دسترسی رایگانبرای رمزگشایی از توسعه دهندگان http://support.drweb.com/new/free_unlocker/.

انواع دیگر ویروس های باج افزار

گاهی اوقات ویروس‌های دیگری نیز می‌توانند به سراغشان بیایند که فایل‌های مهم را رمزگذاری می‌کنند و برای بازگرداندن همه چیز به شکل اولیه‌اش، پول اخاذی می‌کنند. ما یک لیست کوچک با ابزارهای کاربردی برای مقابله با عواقب رایج ترین ویروس ها ارائه می دهیم. در آنجا همچنین می توانید با ویژگی های اصلی که توسط آنها می توانید یک یا آن برنامه تروجان را تشخیص دهید آشنا شوید.

بعلاوه، به نحوی خوبکامپیوتر شما را با آنتی ویروس کسپرسکی اسکن می کند، که یک مزاحم را شناسایی می کند و نامی برای آن می گذارد. با این نام، می توانید از قبل یک رمزگشا برای آن جستجو کنید.

• Trojan-Ransom.Win32.Rector- یک رمزگذار اخاذی معمولی که شما را ملزم به ارسال اس ام اس یا انجام کارهای دیگری از این دست می کند، رمزگشا را از این لینک می گیریم.
• Trojan-Ransom.Win32.Xorist- نوعی از تروجان قبلی، می توانید رمزگشا را با راهنمای استفاده از آن دریافت کنید.
• Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury- برای این بچه ها یک ابزار ویژه نیز وجود دارد، نگاه کنید

امروزه ویروس ها به خودی خود تقریباً برای هیچ کس تعجب نمی کنند. اگر قبلاً آنها کل سیستم را تحت تأثیر قرار می دادند ، امروزه انواع مختلفی از ویروس ها وجود دارد. یکی از این گونه ها یک ویروس باج افزار است. تأثیر یک تهدید نافذ به اطلاعات بیشتر کاربر مربوط می شود. با این حال، می تواند خطرناک تر از برنامه های اجرایی مخرب و اپلت های جاسوسی باشد. ویروس رمزگذاری چیست؟ خود کد، که در یک ویروس کپی خودکار نوشته شده است، شامل رمزگذاری تمام اطلاعات کاربر با الگوریتم‌های رمزنگاری خاص است که تأثیری ندارد. فایل های سیستمیخود سیستم عامل

منطق تأثیر ویروس ممکن است برای همه روشن نباشد. همه چیز زمانی مشخص شد که هکرهایی که این اپلت ها را توسعه دادند شروع به درخواست مقداری برای بازگرداندن ساختار اصلی فایل ها کردند. در عین حال، باج افزاری که وارد سیستم شده است اجازه رمزگشایی فایل ها را نمی دهد. این به یک رمزگشای خاص یا به عبارت دیگر الگوریتم خاصی نیاز دارد که با آن می توانید محتوا را بازیابی کنید.

باج افزار: اصل نفوذ به سیستم ها و عملکرد ویروس

برداشتن چنین عفونتی در اینترنت معمولاً بسیار دشوار است. اغلب نوع داده شدهویروس ها از طریق ایمیل در سطح کلاینت هایی که روی یک ترمینال کامپیوتر نصب شده اند منتقل می شوند، مانند خفاش, Outlook, Thunderbird. فوراً باید توجه داشت که این در مورد سرورهای ایمیل اینترنتی صدق نمی کند ، زیرا آنها کاملاً دارند درجه بالاحفاظت. دسترسی به اطلاعات کاربر فقط در سطح انجام می شود فضای ذخیره ابریاطلاعات یک برنامه کاربردی در یک ترمینال کامپیوتری خاص موضوع دیگری است.

زمینه فعالیت برای توسعه ویروس ها به قدری گسترده است که تصور آن دشوار است. با این حال، یک هشدار کوچک در اینجا باید انجام شود. در بیشتر موارد، ویروس ها سازمان ها و شرکت های بزرگی را هدف قرار می دهند که قادر به پرداخت مبلغ قابل توجهی برای رمزگشایی اطلاعات شخصی خواهند بود. واضح است، زیرا پایانه های کامپیوتری و سرورهای شرکت های کامپیوتری ذخیره می شوند اطلاعات محرمانهو فایل ها در تک نسخهکه تحت هیچ شرایطی نباید حذف شوند. در این حالت، رمزگشایی فایل ها پس از عمل ویروس باج افزار می تواند کاملاً مشکل ساز باشد. البته، یک کاربر معمولی نیز می تواند در معرض چنین حمله ای قرار گیرد، اگرچه این بعید است، به خصوص اگر کاربر ساده ترین توصیه ها را برای کار با پیوست هایی از نوع ناشناخته دنبال کند.

حتی اگر سرویس گیرنده پست الکترونیکیپیوست‌ها را شناسایی می‌کند، برای مثال، به‌عنوان فایل‌هایی با پسوند .jpg یا دیگر پسوندهای گرافیکی، بهتر است ابتدا بررسی کنید. فایل داده شدهآنتی ویروس استاندارد مورد استفاده در سیستم اگر این کار را انجام ندهید، پس از باز کردن فایل پیوست با دوبار کلیک کردن، ممکن است فعال سازی کد شروع شود و فرآیند رمزگذاری آغاز شود. پس از آن، حذف خود باج افزار و بازیابی فایل ها پس از رفع تهدید غیرممکن خواهد بود.

عواقب عمومی قرار گرفتن در معرض ویروس باج افزار

همانطور که قبلا ذکر شد، اکثر ویروس ها از طریق ایمیل وارد سیستم می شوند. فرض کنید یک سازمان بزرگ نامه ای با محتوایی مانند "قرارداد تغییر کرده است، اسکن در نامه ضمیمه شده است" یا "فاکتور برای ارسال کالا برای شما ارسال شده است" دریافت می کند. یک کارمند ناآگاه شرکت به سادگی فایل پیوست را باز می کند و پس از آن تمام فایل های کاربر بلافاصله رمزگذاری می شوند. اینها همه پرونده ها هستند، از اسناد اداری گرفته تا آرشیو و چند رسانه ای. تمام داده های مهم رمزگذاری می شوند و اگر ترمینال رایانه به آن متصل باشد شبکه محلی، سپس ویروس می تواند بیشتر منتقل شود، در حالی که داده ها را روی ماشین های دیگر رمزگذاری می کند.

اجرای این فرآیند را می توان با کند شدن و انجماد برنامه های در حال اجرا در ترمینال کامپیوتر در لحظه مشاهده کرد. هنگامی که فرآیند رمزگذاری به پایان رسید، ویروس نوعی گزارش ارسال می کند و پس از آن سازمان پیامی مبنی بر ورود تهدید به سیستم دریافت می کند و برای رمزگشایی فایل ها باید با توسعه دهنده ویروس تماس بگیرید. به عنوان یک قاعده، این در مورد ویروس صدق می کند [ایمیل محافظت شده]در مرحله بعد، الزام به پرداخت هزینه خدمات رمزگشایی داده می شود. از کاربر خواسته می شود تا برخی از فایل های رمزگذاری شده را به ایمیلی ارسال کند که به احتمال زیاد جعلی است.

آسیب ناشی از قرار گرفتن در معرض ویروس

اگر هنوز به طور کامل ماهیت مشکل را درک نکرده اید، باید توجه داشت که رمزگشایی فایل ها پس از عمل ویروس رمزگذاری یک فرآیند نسبتا پر زحمت است. اگر کاربر از خواسته های مهاجمان پیروی نکند، اما در عوض سعی کند از ساختارهای دولتی برای مبارزه با جرایم رایانه ای استفاده کند، هیچ چیز معقولی از آن حاصل نخواهد شد. اگر سعی کنید همه داده ها را از رایانه حذف کنید و سپس بازیابی سیستم را انجام دهید و اطلاعات اصلی را از رسانه قابل جابجایی کپی کنید، تمام اطلاعات همچنان رمزگذاری مجدد خواهند شد. پس زیاد در این مورد غافل نشوید. همچنین، هنگام قرار دادن یک درایو فلش در پورت USBکاربر حتی متوجه نمی شود که ویروس تمام داده های روی آن را رمزگذاری می کند. پس از آن مشکلات حتی بیشتر خواهد شد.

اولین ویروس باج افزار

در نظر بگیرید که اولین ویروس رمزگذاری چه بود. در زمان ظهور، هیچ کس فکر نمی کرد که چگونه می توان فایل ها را پس از قرار گرفتن در معرض کد اجرایی که در پیوست ایمیل قرار داده شده بود، درمان یا رمزگشایی کرد. تنها با گذشت زمان متوجه مقیاس کامل فاجعه شد. اولین ویروس باج افزار نام عاشقانه "I Love You" را داشت. کاربر که به چیزی مشکوک نبود، به سادگی پیوست نامه ای را که از طریق ایمیل ارسال شده بود باز کرد و در نتیجه فایل های چند رسانه ای کاملا غیرقابل پخش (ویدئو، گرافیک و صدا) را دریافت کرد. چنین اقداماتی مخرب تر به نظر می رسید، اما هیچ کس در آن زمان برای رمزگشایی داده ها پول نخواست.

آخرین تغییرات

تکامل فناوری به یک تجارت کاملاً پرسود تبدیل شده است، به خصوص وقتی این واقعیت را در نظر بگیرید که بسیاری از رهبران شرکت های بزرگ عجله دارند تا مبلغ مورد نیاز را در اسرع وقت به مهاجمان بپردازند، بدون اینکه حتی به این واقعیت فکر کنند که ممکن است آنها را ترک کنند. بدون پول و بدون اطلاعات لازم. این همه پست های چپ در اینترنت را باور نکنید، مانند "مبلغ لازم را پرداخت کردم، رمزگشا فرستادند و همه اطلاعات بازیابی شد." همه اینها مزخرف است. اساساً چنین بررسی هایی توسط خود توسعه دهندگان ویروس نوشته می شوند تا قربانیان بالقوه را جذب کنند. طبق استانداردهای کاربران عادی، مقادیری که مهاجمان برای رمزگشایی داده ها درخواست می کنند بسیار جدی است. می تواند به چندین هزار دلار یا یورو برسد. حالا بیایید نگاهی به ویژگی ها بیندازیم جدیدترین ویروس هااز این نوع همه آنها شبیه به یکدیگر هستند و نه تنها می توانند در دسته ویروس های باج افزار قرار گیرند، بلکه می توانند در دسته بندی باج افزارها نیز قرار گیرند. در برخی موارد، آنها کاملاً درست عمل می کنند و به کاربر پیام می فرستند مبنی بر اینکه شخصی می خواهد از امنیت اطلاعات سازمان یا کاربر مراقبت کند. چنین ویروس باج افزاری با پیام های خود به سادگی کاربران را گمراه می کند. با این حال، اگر کاربر مبلغ مورد نیاز را پرداخت کند، به سادگی "طلاق" می شود.

ویروس XTBL

ویروس XTBL که به تازگی ظاهر شده است را می توان به نسخه کلاسیک ویروس های باج افزار نسبت داد. چنین اشیایی، به عنوان یک قاعده، از طریق پیام های ارسال شده از طریق ایمیل به سیستم نفوذ می کنند. پیام ها ممکن است حاوی فایل های پیوست با پسوند .scr باشند. این پسونداستاندارد برای محافظ صفحه نمایش ویندوز است. کاربر فکر می کند که همه چیز مرتب است و نمای را فعال می کند یا این پیوست را ذخیره می کند. این عملیات می تواند منجر به عواقب تاسف بار شود. نام فایل ها به مجموعه ای ساده از کاراکترها تبدیل می شوند. ترکیب xtbl. به پسوند فایل اصلی اضافه می شود. پس از آن پیامی مبنی بر امکان رمزگشایی پس از پرداخت مبلغ مشخص به آدرس مورد نظر ارسال می شود.

این نوع ویروس را می توان به عنوان یک باج افزار کلاسیک نیز طبقه بندی کرد. پس از باز کردن پیوست های ایمیل در سیستم ظاهر می شود. این ویروسهمچنین نام فایل های کاربر را تغییر می دهد و ترکیبی مانند .perfect و .nonchance را در انتهای پسوند اضافه می کند. رمزگشایی این نوع ویروس رمزگذاری متاسفانه امکان پذیر نیست. پس از انجام تمام مراحل، به سادگی خود تخریب می شود. حتی چنین ابزار جهانی مانند RectorDecryptor کمکی نمی کند. کاربر ایمیلی دریافت می کند که درخواست پرداخت می کند. کاربر دو روز فرصت پرداخت دارد.

ویروس Breaking_Bad

این نوع تهدید بر اساس الگوی آشنا عمل می کند. با افزودن ترکیب .breaking_bad به پسوند، نام فایل های کاربر را تغییر می دهد. اما موضوع به این محدود نمی شود. برخلاف سایر باج افزارها، این ویروس می تواند پسوند Heisenberg دیگری ایجاد کند. بنابراین، یافتن تمام فایل های آلوده بسیار دشوار است. همچنین شایان ذکر است که ویروس Breaking_Bad یک تهدید نسبتاً جدی است. مواردی وجود دارد که حتی برنامه آنتی ویروس دارای مجوز Kaspersky_Endpoint Security چنین تهدیدی را از دست می دهد.

ویروس [ایمیل محافظت شده]

ویروس [ایمیل محافظت شده]یک تهدید نسبتاً جدی دیگر است که بیشتر سازمان‌های تجاری بزرگ را هدف قرار می‌دهد. معمولاً برخی از بخش‌های شرکت ایمیلی حاوی فایل jpg یا .js دریافت می‌کنند. چگونه می توان این نوع ویروس را رمزگشایی کرد؟ با قضاوت بر اساس این واقعیت که الگوریتم RSA-1024 در آنجا استفاده می شود، به هیچ وجه. بر اساس نام الگوریتم، می توان فرض کرد که از یک سیستم رمزگذاری 1024 بیتی استفاده می کند. تا به امروز، سیستم 256 بیتی پیشرفته ترین در نظر گرفته می شود.

ویروس Ransomware: آیا نرم افزار آنتی ویروس می تواند فایل ها را رمزگشایی کند؟

هیچ راهی برای رمزگشایی فایل ها پس از اقدام چنین تهدیداتی هنوز پیدا نشده است. حتی چنین اساتید شناخته شده ای در این زمینه محافظت از آنتی ویروس، زیرا دکتر وب، کسپرسکی، Eset نمی توانند کلید حل مشکل را پیدا کنند. چگونه فایل ها را در این مورد درمان کنیم؟ به عنوان یک قاعده، از کاربر خواسته می شود تا یک درخواست رسمی به وب سایت توسعه دهنده برنامه ضد ویروس ارسال کند. در این صورت باید چندین فایل رمزگذاری شده و در صورت وجود اصل آنها را پیوست کنید. امروزه تعداد کمی از کاربران در فروشگاه ذخیره می کنند رسانه قابل جابجاییکپی از داده ها مشکل غیبت آنها فقط می تواند وضعیت ناخوشایند را تشدید کند.

حذف دستی یک تهدید: روش های ممکن

در برخی موارد، اسکن با برنامه های آنتی ویروس معمولی، چنین اشیاء مخربی را شناسایی کرده و حتی این تهدیدات را از بین می برد. اما با اطلاعات رمزگذاری شده چه باید کرد؟ برخی از کاربران سعی می کنند از برنامه های رمزگشایی استفاده کنند. بلافاصله باید توجه داشت که این اقدامات منجر به هیچ چیز خوبی نخواهد شد. در مورد ویروس Breaking_Bad، این حتی می تواند مضر باشد. واقعیت این است که مهاجمانی که چنین ویروس هایی را ایجاد می کنند سعی می کنند از خود محافظت کنند و به دیگران درسی بدهند. هنگام استفاده از ابزارهای رمزگشایی، یک ویروس می تواند به گونه ای واکنش نشان دهد که کل سیستم عامل از کار بیفتد و در عین حال تمام اطلاعات ذخیره شده در پارتیشن های منطقی و هارد دیسک را به طور کامل از بین ببرد. فقط به امید آزمایشگاه های رسمی آنتی ویروس.

راه های رادیکال

اگر اوضاع واقعاً بد است، می توانید قالب بندی کنید HDD، از جمله پارتیشن های مجازی، و سپس دوباره نصب کنید سیستم عامل. متاسفانه راه دیگری وجود ندارد. بازگرداندن سیستم به یک نقطه بازیابی خاص کمکی به رفع این وضعیت نخواهد کرد. در نتیجه، ویروس ممکن است ناپدید شود، اما فایل ها همچنان رمزگذاری شده باقی می مانند.

فن آوری های مدرن به هکرها اجازه می دهد تا به طور مداوم روش های کلاهبرداری را در رابطه با آنها بهبود بخشند کاربران عادی. به عنوان یک قاعده، نرم افزار ویروسی که به رایانه نفوذ می کند برای این اهداف استفاده می شود. ویروس های رمزگذاری به ویژه خطرناک در نظر گرفته می شوند. تهدید در این واقعیت نهفته است که ویروس بسیار سریع پخش می شود و فایل ها را رمزگذاری می کند (کاربر به سادگی نمی تواند هیچ سندی را باز کند). و اگر بسیار ساده باشد، رمزگشایی داده ها بسیار دشوارتر است.

اگر یک ویروس فایل های رمزگذاری شده روی رایانه شما را داشته باشد چه باید کرد؟

همه افراد می توانند توسط یک باج افزار مورد حمله قرار گیرند، حتی کاربرانی که نرم افزار آنتی ویروس قوی دارند بیمه نیستند. تروجان های رمزگذار فایل با کدهای مختلفی نشان داده می شوند که ممکن است فراتر از قدرت آنتی ویروس باشد. هکرها حتی موفق می شوند از این طریق به شرکت های بزرگی که از حفاظت لازم از اطلاعات خود مراقبت نکرده اند حمله کنند. بنابراین، با "انتخاب" یک برنامه باج افزار به صورت آنلاین، باید اقداماتی را انجام دهید.

علائم اصلی عفونت کند بودن رایانه و تغییر نام اسناد است (می توانید آن را روی دسکتاپ مشاهده کنید).

1. کامپیوتر خود را مجددا راه اندازی کنید تا رمزگذاری متوقف شود. وقتی فعال است، راه اندازی برنامه های ناشناخته را تأیید نکنید.
2. اگر آنتی ویروس مورد حمله باج افزار قرار نگرفته باشد، آن را اجرا کنید.
3. در برخی موارد، کپی های سایه به بازیابی اطلاعات کمک می کنند. برای پیدا کردن آنها، "Properties" سند رمزگذاری شده را باز کنید. این روش با داده های رمزگذاری شده پسوند Vault که اطلاعاتی در پورتال دارد کار می کند.
4. برنامه کاربردی را دانلود کنید آخرین نسخهبرای مبارزه با ویروس های باج افزار موثرترین آنها توسط Kaspersky Lab ارائه شده است.

ویروس های رمزگذاری در سال 2016: نمونه ها

هنگام مبارزه با هر گونه حمله ویروسی، مهم است که بدانیم کد اغلب تغییر می کند، تکمیل می شود حفاظت جدیداز آنتی ویروس ها البته، برنامه‌های حفاظتی تا زمانی که توسعه‌دهنده پایگاه‌های داده را به‌روزرسانی کند، به زمان نیاز دارند. ما خطرناک ترین ویروس های رمزنگاری چند وقت اخیر را انتخاب کرده ایم.

باج افزار Ishtar

Ishtar باج افزاری است که از کاربر اخاذی می کند. این ویروس در پاییز 2016 مشاهده شد و تعداد زیادی از رایانه های کاربران از روسیه و تعدادی از کشورهای دیگر را آلوده کرد. با استفاده از توزیع ایمیل، که حاوی اسناد پیوست شده (نصب کننده ها، اسناد و غیره) است، توزیع می شود. داده‌های آلوده به باج‌افزار Ishtar پیشوند "ISHTAR" را در نام دریافت می‌کنند. این فرآیند یک سند آزمایشی ایجاد می کند که نشان می دهد برای دریافت رمز عبور به کجا بروید. مهاجمان برای آن از 3000 تا 15000 روبل درخواست می کنند.

خطر ویروس Ishtar این است که امروزه هیچ رمزگشایی وجود ندارد که به کاربران کمک کند. شرکت های نرم افزار آنتی ویروس به زمان نیاز دارند تا همه کدها را رمزگشایی کنند. اکنون فقط می توانیم منزوی شویم اطلاعات مهم(اگر از اهمیت خاصی برخوردار باشند) برای یک رسانه جداگانه، منتظر انتشار یک ابزار با قابلیت رمزگشایی اسناد هستند. توصیه می شود سیستم عامل را دوباره نصب کنید.

نیترینو

باج افزار Neitrino در سال 2015 در اینترنت ظاهر شد. با اصل حمله، مشابه سایر ویروس های این دسته است. نام پوشه ها و فایل ها را با افزودن "Neitrino" یا "Neutrino" تغییر می دهد. رمزگشایی این ویروس دشوار است - به دور از همه نمایندگان شرکت های آنتی ویروس، با اشاره به یک کد بسیار پیچیده، این کار را انجام می دهند. بازیابی یک کپی سایه ممکن است به برخی از کاربران کمک کند. برای انجام این کار، کلیک کنید کلیک راستروی سند رمزگذاری شده کلیک کنید، به "Properties" بروید، برگه "Previous Versions" را کلیک کنید، روی "Restore" کلیک کنید. استفاده از آن اضافی نخواهد بود ابزار رایگاناز آزمایشگاه کسپرسکی

کیف پول یا .wallet.

ویروس رمزگذاری کیف پول در پایان سال 2016 ظاهر شد. در طی فرآیند آلودگی، نام داده ها را به "Name..wallet" یا مشابه تغییر می دهد. مانند اکثر ویروس‌های باج‌افزار، از طریق پیوست‌های ایمیل ارسالی توسط هکرها وارد سیستم می‌شود. از آنجایی که تهدید اخیراً ظاهر شده است، برنامه های آنتی ویروس متوجه آن نمی شوند. پس از رمزگذاری، سندی ایجاد می کند که در آن کلاهبردار نامه را برای ارتباط مشخص می کند. در حال حاضر، توسعه دهندگان نرم افزار ضد ویروس در حال کار بر روی رمزگشایی کد ویروس باج افزار هستند. [ایمیل محافظت شده]کاربران مورد حمله فقط می توانند منتظر بمانند. اگر داده ها مهم هستند، توصیه می شود آن را ذخیره کنید درایو خارجیبا پاکسازی سیستم

معما

ویروس باج افزار انیگمادر پایان آوریل 2016 شروع به آلوده کردن رایانه های کاربران روسی کرد. از مدل رمزگذاری AES-RSA استفاده می کند که امروزه در اکثر باج افزارها یافت می شود. ویروس با استفاده از اسکریپتی که خود کاربر با باز کردن فایل‌های ایمیل مشکوک اجرا می‌کند، به رایانه نفوذ می‌کند. هنوز هیچ راه حل جهانی برای مقابله با رمز انیگما وجود ندارد. کاربرانی که مجوز آنتی ویروس دارند می توانند از وب سایت رسمی توسعه دهنده کمک بخواهند. یک "خلاف" کوچک نیز پیدا شد - Windows UAC. اگر کاربر در پنجره ای که در هنگام آلودگی به ویروس ظاهر می شود روی "نه" کلیک کند، می تواند بعداً اطلاعات را با استفاده از کپی های سایه بازیابی کند.

گرانیت

ویروس باج افزار جدید Granit در پاییز 2016 در وب ظاهر شد. آلودگی طبق سناریوی زیر رخ می دهد: کاربر نصب کننده ای را راه اندازی می کند که تمام داده های رایانه شخصی و درایوهای متصل را آلوده و رمزگذاری می کند. مبارزه با ویروس سخت است. برای حذف، می توانید استفاده کنید ابزارهای ویژهاز Kaspersky، اما هنوز رمزگشایی کد ممکن نشده است. بازیابی نسخه های قبلی داده ها ممکن است کمک کند. علاوه بر این، متخصصی که تجربه زیادی دارد می تواند رمزگشایی کند، اما خدمات گران است.

تایسون

اخیرا دیده شد. این یک افزونه از باج‌افزار معروف no_more_ransom است که می‌توانید در وب‌سایت ما با آن آشنا شوید. از طریق ایمیل به رایانه های شخصی می رسد. بسیاری از رایانه های شخصی شرکت ها مورد حمله قرار گرفته اند. ویروس ایجاد می کند سند متنیبا دستورالعمل باز کردن قفل، پیشنهاد پرداخت "باج". باج افزار تایسون اخیراً ظاهر شده است، بنابراین هنوز کلید باز کردن قفل وجود ندارد. تنها راه بازیابی اطلاعات، بازگشت است نسخه های قبلیمگر اینکه توسط ویروس حذف شده باشند. البته می توانید با انتقال پول به حسابی که مهاجمان نشان داده اند، ریسک کنید، اما هیچ تضمینی برای دریافت رمز عبور وجود ندارد.

اسپور

در اوایل سال 2017، تعدادی از کاربران قربانی باج افزار جدید Spora شدند. طبق اصل عملکرد، تفاوت چندانی با همتایان خود ندارد، اما از عملکرد حرفه ای تری برخوردار است: دستورالعمل های دریافت رمز عبور بهتر نوشته شده است، وب سایت زیباتر به نظر می رسد. باج افزار Spora به زبان C ایجاد شده و از ترکیب RSA و AES برای رمزگذاری داده های قربانی استفاده می کند. به عنوان یک قاعده، رایانه هایی که به طور فعال مورد استفاده قرار می گیرند مورد حمله قرار می گیرند. برنامه حسابداری 1C. این ویروس که تحت عنوان یک فاکتور ساده در قالب pdf پنهان شده است، کارمندان شرکت را مجبور به راه اندازی آن می کند. هنوز درمانی پیدا نشده است.

1C.Drop.1

این ویروس رمزگذاری برای 1C در تابستان 2016 ظاهر شد و کار بسیاری از بخش های حسابداری را مختل کرد. به طور خاص برای رایانه هایی که استفاده می کنند طراحی شده است نرم افزار 1C. دریافت فایل در یک ایمیل به رایانه شخصی، از مالک می خواهد که برنامه را به روز کند. هر دکمه ای را که کاربر فشار دهد، ویروس شروع به رمزگذاری فایل ها می کند. متخصصان Dr.Web در حال کار بر روی ابزارهای رمزگشایی هستند، اما تاکنون هیچ راه حلی پیدا نشده است. این به دلیل کد پیچیده است که می تواند در چندین تغییر باشد. تنها محافظت در برابر 1C.Drop.1 هوشیاری کاربران و بایگانی منظم اسناد مهم است.

da_vinci_code

یک باج افزار جدید با نامی غیرعادی. این ویروس در بهار 2016 ظاهر شد. با نسخه های قبلی خود با کد بهبود یافته و حالت رمزگذاری قوی متفاوت است. da_vinci_code به لطف یک برنامه اجرایی (معمولاً به ایمیل متصل می شود) رایانه را آلوده می کند که کاربر به طور مستقل آن را راه اندازی می کند. کدگذار داوینچی (کد داوینچی) بدنه را در دایرکتوری سیستم و رجیستری کپی می کند و اطمینان حاصل می کند که با روشن شدن ویندوز به طور خودکار شروع به کار می کند. به رایانه هر قربانی یک شناسه منحصر به فرد اختصاص داده می شود (به دریافت رمز عبور کمک می کند). رمزگشایی داده ها تقریبا غیرممکن است. شما می توانید به مهاجمان پول پرداخت کنید، اما هیچکس تضمین نمی کند که رمز عبور را دریافت خواهید کرد.

[ایمیل محافظت شده] / [ایمیل محافظت شده]

دو آدرس ایمیل که اغلب در سال 2016 با باج افزار همراه بودند. آنها برای ارتباط قربانی با مهاجم خدمت می کنند. آدرس‌ها به انواع مختلفی از ویروس‌ها متصل شدند: da_vinci_code، no_more_ransom و غیره. تماس و همچنین انتقال پول به کلاهبرداران به شدت توصیه نمی شود. کاربران در بیشتر موارد بدون رمز عبور می مانند. بنابراین، نشان می دهد که باج افزار مهاجمان کار می کند و درآمد ایجاد می کند.

بریکینگ بد

در ابتدای سال 2015 ظاهر شد، اما به طور فعال تنها یک سال بعد گسترش یافت. اصل آلودگی با سایر باج افزارها یکسان است: نصب یک فایل از ایمیل، رمزگذاری داده ها. آنتی ویروس های معمولی معمولا متوجه ویروس Breaking Bad نمی شوند. برخی از کدها نمی توانند UAC ویندوز را دور بزنند، بنابراین کاربر همچنان می تواند نسخه های قبلی اسناد را بازیابی کند. این رمزگشا هنوز توسط هیچ شرکتی که نرم افزار ضد ویروس تولید می کند ارائه نشده است.

XTBL

یک باج افزار بسیار رایج که برای بسیاری از کاربران دردسر ایجاد کرد. ویروس پس از استفاده از رایانه شخصی، پسوند فایل را در عرض چند دقیقه به xtbl. تغییر می دهد. سندی ایجاد می شود که در آن مهاجم اخاذی می کند. برخی از انواع ویروس XTBLنمی تواند فایل ها را برای بازیابی سیستم از بین ببرد، که به شما امکان می دهد اسناد مهم را بازگردانید. خود ویروس را می توان با بسیاری از برنامه ها حذف کرد، اما رمزگشایی اسناد بسیار دشوار است. اگر دارای یک آنتی ویروس مجاز هستید، با پیوست کردن نمونه هایی از داده های آلوده، از پشتیبانی فنی استفاده کنید.

کوکاراچا

رمز کوکاراچا در دسامبر 2016 مشاهده شد. ویروسی با نام جالب فایل های کاربر را با استفاده از الگوریتم RSA-2048 پنهان می کند که بسیار مقاوم است. آنتی ویروس کسپرسکی آن را با نام Trojan-Ransom.Win32.Scatter.lb شناسایی کرد. Kukaracha را می توان از رایانه حذف کرد تا سایر اسناد آلوده نشوند. با این حال، امروزه رمزگشایی موارد آلوده تقریبا غیرممکن است (الگوریتمی بسیار قدرتمند).

باج افزار چگونه کار می کند

تعداد زیادی باج افزار وجود دارد، اما همه آنها بر اساس یک اصل مشابه کار می کنند.

1. مخ زدن کامپیوتر شخصی. به عنوان یک قاعده، به لطف فایل پیوست شده به ایمیل. نصب توسط خود کاربر با باز کردن سند آغاز می شود.
2. عفونت فایل تقریباً همه انواع فایل ها رمزگذاری شده اند (بسته به ویروس). یک سند متنی ایجاد می شود که حاوی مخاطبین برای ارتباط با مزاحمان است.
3. همه. کاربر نمی تواند به هیچ سندی دسترسی داشته باشد.

درمان از آزمایشگاه های محبوب

استفاده گسترده از باج افزار، که به عنوان خطرناک ترین تهدید برای داده های کاربر شناخته می شود، به انگیزه ای برای بسیاری از آزمایشگاه های آنتی ویروس تبدیل شده است. هر شرکت محبوب برنامه هایی را در اختیار کاربران خود قرار می دهد که به آنها در مبارزه با باج افزار کمک می کند. علاوه بر این، بسیاری از آنها به رمزگشایی اسناد محافظت شده توسط سیستم کمک می کنند.

کسپرسکی و ویروس های رمزگذاری

یکی از معروف ترین آزمایشگاه های ضد ویروس در روسیه و جهان امروزه موثرترین ابزار را برای مبارزه با ویروس های باج افزار ارائه می دهد. اولین مانع برای ویروس باج افزار خواهد بود Kaspersky Endpointامنیت 10s آخرین به روزرسانی ها. آنتی ویروس به سادگی اجازه نمی دهد که تهدید وارد رایانه شود (اما ممکن است نسخه های جدید متوقف نشوند). برای رمزگشایی اطلاعات، توسعه دهنده چندین ابزار رایگان را به طور همزمان ارائه می دهد: XoristDecryptor، RakhniDecryptor و Ransomware Decryptor. آنها به یافتن ویروس و انتخاب رمز عبور کمک می کنند.

دکتر. وب و باج افزار

این آزمایشگاه استفاده از آنها را توصیه می کند برنامه آنتی ویروس, ویژگی اصلیکه پشتیبان فایل بود. ذخیره سازی با کپی اسناد نیز از دسترسی غیرمجاز توسط متجاوزان محافظت می شود. صاحبان محصول دارای مجوز Dr. وب، تابع فراخوانی برای کمک در دسترس است پشتیبانی فنی. درست است، حتی متخصصان با تجربه همیشه نمی توانند در برابر این نوع تهدید مقاومت کنند.

ESET Nod 32 و باج افزار

این شرکت نیز کنار نرفت و از کاربران خود در برابر ویروس های وارد شده به رایانه محافظت خوبی ارائه کرد. علاوه بر این، آزمایشگاه به تازگی منتشر شده است ابزار رایگانبا پایگاه داده های فعلی - Eset Crysis Decryptor. توسعه دهندگان ادعا می کنند که در مبارزه با حتی جدیدترین باج افزار کمک خواهد کرد.