هکرهای باج افزار بسیار شبیه باجگیران معمولی هستند. هم در دنیای واقعی و هم در محیط سایبری، یک هدف منفرد یا گروهی برای حمله وجود دارد. یا دزدیده می شود یا غیرقابل دسترسی است. در مرحله بعد، مجرمان از وسایل ارتباطی خاصی با قربانیان برای انتقال خواسته های خود استفاده می کنند. کلاهبرداران رایانه ای معمولاً فقط چند قالب را برای باج نامه انتخاب می کنند، اما کپی ها را می توان تقریباً در هر مکان حافظه در یک سیستم آلوده یافت. در مورد خانواده نرم افزارهای جاسوسی معروف به ترولدش یا شید، کلاهبرداران هنگام تماس با قربانی رویکرد خاصی را در پیش می گیرند.

بیایید نگاهی دقیق‌تر به این نوع ویروس باج‌افزار بیندازیم که مخاطبان روسی زبان را هدف قرار داده است. اکثر عفونت های مشابه طرح بندی صفحه کلید را در رایانه شخصی مورد حمله شناسایی می کنند و اگر یکی از زبان ها روسی باشد، نفوذ متوقف می شود. با این حال، ویروس باج افزار XTBLغیرقابل کشف: متأسفانه برای کاربران، حمله بدون توجه به موقعیت جغرافیایی و ترجیحات زبانی آنها آشکار می شود. تجسم واضح این تطبیق پذیری هشداری است که در پس زمینه دسکتاپ ظاهر می شود و همچنین یک فایل TXT با دستورالعمل های پرداخت باج است.

ویروس XTBL معمولاً از طریق اسپم منتشر می شود. پیام‌ها شبیه نامه‌های برندهای معروف هستند یا به سادگی چشم نواز هستند زیرا در خط موضوع از عباراتی مانند "فوری!" یا «اسناد مالی مهم». ترفند فیشینگ زمانی کار خواهد کرد که گیرنده چنین ایمیلی باشد. پیام ها یک فایل ZIP حاوی کد جاوا اسکریپت یا یک شی Docm حاوی یک ماکرو بالقوه آسیب پذیر را دانلود می کنند.

تروجان باج افزار پس از تکمیل الگوریتم اولیه روی رایانه شخصی آسیب دیده، به جستجوی داده هایی می پردازد که ممکن است برای کاربر ارزشمند باشند. برای این منظور، ویروس محلی و حافظه خارجی، به طور همزمان هر فایل را با مجموعه ای از فرمت های انتخاب شده بر اساس پسوند شی مطابقت می دهد. همه فایل‌های jpg، .wav، .doc، .xls، و همچنین بسیاری از اشیاء دیگر با استفاده از الگوریتم رمزنگاری بلوک متقارن AES-256 رمزگذاری می‌شوند.

این تأثیر مضر دو جنبه دارد. اول از همه، کاربر دسترسی به داده های مهم را از دست می دهد. علاوه بر این، نام فایل‌ها عمیقاً رمزگذاری شده‌اند و در نتیجه یک رشته بی‌معنی از کاراکترهای هگزادسیمال ایجاد می‌شود. تنها چیزی که نام فایل های آسیب دیده را متحد می کند، پسوند xtbl است که به آنها اضافه شده است، یعنی. نام تهدید سایبری نام فایل های رمزگذاری شده گاهی فرمت خاصی دارند. در برخی از نسخه های ترولدش، نام اشیاء رمزگذاری شده ممکن است بدون تغییر باقی بماند و یک کد منحصر به فرد در پایان اضافه شود: [ایمیل محافظت شده], [ایمیل محافظت شده]، یا [ایمیل محافظت شده].

بدیهی است که مهاجمان با معرفی آدرس ایمیل. مستقیماً به نام پرونده ها ارسال کنید و روش ارتباط را به قربانیان نشان دهید. ایمیل همچنین در جای دیگری، یعنی در باج نامه موجود در فایل "Readme.txt" ذکر شده است. چنین اسناد دفترچه یادداشت بر روی دسکتاپ و همچنین در تمام پوشه های دارای داده های رمزگذاری شده ظاهر می شوند. پیام کلیدی این است:

«همه فایل‌ها رمزگذاری شده بودند. برای رمزگشایی آنها، باید کد را ارسال کنید: [رمز منحصر به فرد شما] به آدرس ایمیل [ایمیل محافظت شده]یا [ایمیل محافظت شده]. در مرحله بعد تمام دستورالعمل های لازم را دریافت خواهید کرد. تلاش برای رمزگشایی به تنهایی منجر به چیزی جز از دست دادن غیرقابل برگشت اطلاعات نخواهد شد."

آدرس ایمیل ممکن است بسته به گروه باج‌گیری که ویروس را منتشر می‌کند تغییر کند.

در مورد پیشرفت‌های بعدی: به طور کلی، کلاهبرداران با توصیه به انتقال باج پاسخ می‌دهند که می‌تواند 3 بیت کوین یا مقدار دیگری در این محدوده باشد. لطفا توجه داشته باشید که هیچ کس نمی تواند تضمین کند که هکرها حتی پس از دریافت پول به وعده خود عمل خواهند کرد. برای بازگرداندن دسترسی به فایل‌های xtbl.، به کاربران آسیب‌دیده توصیه می‌شود ابتدا همه روش‌های جایگزین موجود را امتحان کنند. در برخی موارد، می‌توان با استفاده از سرویس Volume Shadow Copy که مستقیماً در سیستم عامل ویندوز ارائه می‌شود، و همچنین برنامه‌های رمزگشایی و بازیابی اطلاعات از توسعه‌دهندگان نرم‌افزار مستقل، داده‌ها را مرتب کرد.

باج افزار XTBL را با استفاده از پاک کننده خودکار حذف کنید

یک روش بسیار موثر برای کار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی، آنها را تضمین می کند حذف کاملبا یک کلیک لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف یک عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.

  1. . پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع به اسکن کنید).
  2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف تمام تهدیدات شناسایی شده، گزینه را انتخاب کنید رفع تهدیدها(از بین بردن تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده با پسوند xtbl

همانطور که اشاره شد، باج‌افزار XTBL فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند، به طوری که داده‌های رمزگذاری‌شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد. اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کند. در زیر می توانید با آنها آشنا شوید.

رمزگشا - برنامه بازیابی خودکارفایل ها

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت پاک می شود فایل های منبعبه صورت رمزگذاری نشده بنابراین، فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصت را برای چنین فراهم می کند نرم افزارنحوه بازیابی اشیاء پاک شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. اکیداً توصیه می شود به روش بازیابی پرونده متوسل شوید که اثربخشی آن بیش از یک بار تأیید شده است.

کپی سایه از مجلدات

این رویکرد مبتنی بر رویه ویندوز است کپی رزرو کنیدفایل ها، که در هر نقطه بازیابی تکرار می شود. شرایط کاری مهم این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

وجود احتمالی اجزای باقی مانده از ویروس باج افزار XTBL را بررسی کنید

تمیز کردن در حالت دستیمملو از حذف تکه‌های باج‌افزاری است که می‌توانند از حذف به‌عنوان اشیاء پنهان جلوگیری کنند سیستم عاملیا اقلام رجیستری برای از بین بردن خطر حفظ جزئی عناصر مخرب منفرد، رایانه خود را با استفاده از مجموعه آنتی ویروس جهانی قابل اعتماد اسکن کنید.

فن آوری های مدرن به هکرها اجازه می دهد تا به طور مداوم روش های کلاهبرداری را در رابطه با کاربران عادی. به عنوان یک قاعده، نرم افزار ویروسی که به رایانه نفوذ می کند برای این اهداف استفاده می شود. ویروس های رمزگذاری به ویژه خطرناک در نظر گرفته می شوند. تهدید این است که ویروس بسیار سریع پخش می شود و فایل ها را رمزگذاری می کند (کاربر به سادگی قادر به باز کردن یک سند واحد نخواهد بود). و اگر بسیار ساده است، رمزگشایی داده ها بسیار دشوارتر است.

اگر یک ویروس فایل های رمزگذاری شده روی رایانه شما را داشته باشد چه باید کرد؟

هر کسی می تواند مورد حمله باج افزار قرار گیرد؛ حتی کاربرانی که نرم افزارهای ضد ویروس قدرتمندی دارند نیز در امان نیستند. تروجان های رمزگذاری فایل ها دارای کدهای مختلفی هستند که ممکن است فراتر از توانایی های یک آنتی ویروس باشد. هکرها حتی موفق می شوند به روشی مشابه به شرکت های بزرگی حمله کنند که از حفاظت لازم از اطلاعات خود مراقبت نکرده اند. بنابراین، با انتخاب یک برنامه باج افزار به صورت آنلاین، باید اقداماتی را انجام دهید.

علائم اصلی عفونت، کندی عملکرد رایانه و تغییر در نام اسناد است (در دسکتاپ قابل مشاهده است).

  1. کامپیوتر خود را مجددا راه اندازی کنید تا رمزگذاری متوقف شود. هنگام روشن کردن، راه اندازی برنامه های ناشناخته را تأیید نکنید.
  2. اگر آنتی ویروستان مورد حمله باج افزار قرار نگرفته است، آن را اجرا کنید.
  3. در برخی موارد، کپی های سایه به بازیابی اطلاعات کمک می کنند. برای پیدا کردن آنها، "Properties" سند رمزگذاری شده را باز کنید. این روش با داده های رمزگذاری شده از پسوند Vault کار می کند که اطلاعاتی در مورد آن در پورتال وجود دارد.
  4. برنامه کاربردی را دانلود کنید آخرین نسخهبرای مبارزه با ویروس های باج افزار موثرترین آنها توسط Kaspersky Lab ارائه شده است.

ویروس‌های باج‌افزار در سال 2016: نمونه‌هایی

هنگام مبارزه با هر گونه حمله ویروسی، مهم است که بدانید کد اغلب تغییر می کند و به آن اضافه می شود حفاظت جدیداز آنتی ویروس ها البته، برنامه‌های امنیتی تا زمانی که توسعه‌دهنده پایگاه‌های داده را به‌روزرسانی کند، به زمان نیاز دارند. ما خطرناک ترین ویروس های رمزنگاری چند وقت اخیر را انتخاب کرده ایم.

باج افزار Ishtar

Ishtar باج افزاری است که از کاربر اخاذی می کند. این ویروس در پاییز 2016 مورد توجه قرار گرفت و تعداد زیادی از رایانه های کاربران از روسیه و تعدادی از کشورهای دیگر را آلوده کرد. از طریق ایمیل، که حاوی اسناد پیوست شده است (نصب کننده ها، اسناد و غیره) توزیع می شود. داده های آلوده شده توسط رمزگذار Ishtar در نام آن پیشوند "ISHTAR" داده می شود. این فرآیند یک سند آزمایشی ایجاد می کند که نشان می دهد برای دریافت رمز عبور به کجا بروید. مهاجمان برای آن از 3000 تا 15000 روبل درخواست می کنند.

خطر ویروس Ishtar این است که امروزه هیچ رمزگشایی وجود ندارد که به کاربران کمک کند. شرکت های نرم افزار آنتی ویروس به زمان نیاز دارند تا همه کدها را رمزگشایی کنند. حالا شما فقط می توانید منزوی شوید اطلاعات مهم(اگر از اهمیت خاصی برخوردار باشند) برای یک رسانه جداگانه، منتظر انتشار یک ابزار با قابلیت رمزگشایی اسناد هستند. توصیه می شود سیستم عامل را دوباره نصب کنید.

نیترینو

رمزگذار Neitrino در سال 2015 در اینترنت ظاهر شد. اصل حمله مشابه سایر ویروس های یک دسته مشابه است. نام پوشه ها و فایل ها را با افزودن "Neitrino" یا "Neutrino" تغییر می دهد. رمزگشایی این ویروس دشوار است؛ همه نمایندگان شرکت های آنتی ویروس با استناد به یک کد بسیار پیچیده این کار را انجام نمی دهند. برخی از کاربران ممکن است از بازیابی یک کپی سایه سود ببرند. برای انجام این کار، کلیک کنید کلیک راستماوس را روی سند رمزگذاری شده قرار دهید، به برگه «Properties»، «Previous Versions» بروید، روی «Restore» کلیک کنید. استفاده از آن ضرری ندارد ابزار رایگاناز آزمایشگاه کسپرسکی

کیف پول یا .wallet.

ویروس رمزگذاری کیف پول در پایان سال 2016 ظاهر شد. در طول فرآیند عفونت، نام داده ها را به "Name..wallet" یا چیزی مشابه تغییر می دهد. مانند بسیاری از ویروس‌های باج‌افزار، از طریق پیوست‌های موجود در ایمیل‌های ارسال شده توسط مهاجمان وارد سیستم می‌شود. از آنجایی که این تهدید اخیراً ظاهر شده است، برنامه های آنتی ویروس متوجه آن نمی شوند. پس از رمزگذاری، او سندی ایجاد می کند که در آن کلاهبردار ایمیل را برای ارتباط نشان می دهد. در حال حاضر، توسعه دهندگان نرم افزار آنتی ویروس در حال کار برای رمزگشایی کد ویروس باج افزار هستند. [ایمیل محافظت شده]. کاربرانی که مورد حمله قرار گرفته اند فقط می توانند منتظر بمانند. اگر داده ها مهم هستند، توصیه می شود آن ها را ذخیره کنید ذخیره سازی خارجی، تمیز کردن سیستم

معما

ویروس باج افزار انیگما از اواخر آوریل 2016 شروع به آلوده کردن رایانه های کاربران روسی کرد. مدل رمزگذاری AES-RSA استفاده می شود که امروزه در اکثر ویروس های باج افزار یافت می شود. ویروس با استفاده از اسکریپتی که کاربر با باز کردن فایل‌های یک ایمیل مشکوک اجرا می‌کند، به رایانه نفوذ می‌کند. هنوز هیچ راه حل جهانی برای مبارزه وجود ندارد رمزنگار انیگما. کاربران دارای مجوز آنتی ویروس می توانند در وب سایت رسمی توسعه دهنده درخواست کمک کنند. یک "خلاف" کوچک نیز پیدا شد - Windows UAC. اگر کاربر در پنجره‌ای که در طول فرآیند آلودگی به ویروس ظاهر می‌شود روی «نه» کلیک کند، می‌تواند متعاقباً اطلاعات را با استفاده از کپی‌های سایه بازیابی کند.

سنگ گرانیت

یک ویروس باج افزار جدید به نام Granit در پاییز 2016 در اینترنت ظاهر شد. آلودگی طبق سناریوی زیر رخ می دهد: کاربر نصب کننده را راه اندازی می کند که تمام داده های رایانه شخصی و همچنین درایوهای متصل را آلوده و رمزگذاری می کند. مبارزه با ویروس سخت است. برای حذف می توانید استفاده کنید ابزارهای ویژهاز Kaspersky، اما کد هنوز رمزگشایی نشده است. شاید بازیابی نسخه های قبلی داده ها کمک کند. علاوه بر این، متخصصی که تجربه زیادی دارد می تواند رمزگشایی کند، اما خدمات گران است.

تایسون

اخیرا مشاهده شد. این یک برنامه افزودنی از باج افزار شناخته شده no_more_ransom است که می توانید در وب سایت ما با آن آشنا شوید. از به رایانه های شخصی می رسد پست الکترونیک. بسیاری از رایانه های شخصی شرکت ها مورد حمله قرار گرفتند. ویروس ایجاد می کند سند متنیبا دستورالعمل باز کردن قفل، پیشنهاد پرداخت "باج". باج افزار تایسون اخیراً ظاهر شده است، بنابراین هنوز کلید باز کردن قفل وجود ندارد. تنها راه بازیابی اطلاعات، بازگشت است نسخه های قبلی، اگر توسط ویروس پاک نشده باشند. البته می توانید با انتقال پول به حساب مشخص شده توسط مهاجمان، ریسک کنید، اما هیچ تضمینی برای دریافت رمز عبور وجود ندارد.

اسپور

در ابتدای سال 2017 تعدادی از کاربران قربانی باج افزار جدید Spora شدند. از نظر اصل عملکرد، تفاوت چندانی با همتایان خود ندارد، اما از طراحی حرفه ای تری برخوردار است: دستورالعمل های دریافت رمز عبور بهتر نوشته شده است و وب سایت زیباتر به نظر می رسد. ویروس باج افزار Spora به زبان C ایجاد شده است و از ترکیبی از RSA و AES برای رمزگذاری داده های قربانی استفاده می کند. به عنوان یک قاعده، رایانه هایی که به طور فعال مورد استفاده قرار می گرفتند مورد حمله قرار می گرفتند. برنامه حسابداری 1C. این ویروس که تحت عنوان یک فاکتور ساده در قالب pdf پنهان شده است، کارمندان شرکت را مجبور به راه اندازی آن می کند. هنوز درمانی پیدا نشده است.

1C.Drop.1

این ویروس رمزگذاری 1C در تابستان 2016 ظاهر شد و کار بسیاری از بخش های حسابداری را مختل کرد. این به طور خاص برای کامپیوترهایی که استفاده می کنند طراحی شده است نرم افزار 1C. هنگامی که از طریق یک فایل در یک ایمیل روی رایانه شخصی قرار می گیرید، از مالک می خواهد که برنامه را به روز کند. هر دکمه ای را که کاربر فشار دهد، ویروس شروع به رمزگذاری فایل ها می کند. متخصصان Dr.Web در حال کار بر روی ابزارهای رمزگشایی هستند، اما هنوز راه حلی پیدا نشده است. این به دلیل کد پیچیده است که ممکن است چندین اصلاح داشته باشد. تنها محافظت در برابر 1C.Drop.1 هوشیاری کاربر و بایگانی منظم اسناد مهم است.

da_vinci_code

باج افزار جدیدبا یک نام غیر معمول این ویروس در بهار 2016 ظاهر شد. تفاوت آن با نسخه های قبلی خود در کد بهبود یافته و حالت رمزگذاری قوی است. da_vinci_code کامپیوتر را به لطف یک برنامه اجرایی (معمولاً به ایمیل متصل می شود) آلوده می کند، که کاربر به طور مستقل راه اندازی می کند. ابزار رمزگذاری داوینچی بدنه را در فهرست راهنمای سیستم و رجیستری کپی می‌کند و از راه‌اندازی خودکار هنگام روشن شدن ویندوز اطمینان حاصل می‌کند. به رایانه هر قربانی یک شناسه منحصر به فرد اختصاص داده می شود (به دریافت رمز عبور کمک می کند). رمزگشایی داده ها تقریبا غیرممکن است. شما می توانید به مهاجمان پول پرداخت کنید، اما هیچکس تضمین نمی کند که رمز عبور را دریافت خواهید کرد.

[ایمیل محافظت شده] / [ایمیل محافظت شده]

دو آدرس ایمیل که اغلب در سال 2016 با ویروس های باج افزار همراه بودند. آنها برای ارتباط قربانی با مهاجم خدمت می کنند. آدرس‌هایی برای انواع ویروس‌ها پیوست شد: da_vinci_code، no_more_ransom و غیره. اکیداً توصیه می شود که با کلاهبرداران تماس نگیرید یا به آنها پول منتقل نکنید. کاربران در بیشتر موارد بدون رمز عبور می مانند. بنابراین، نشان دادن این که باج افزار مهاجمان کار می کند و درآمد ایجاد می کند.

بریکینگ بد

در ابتدای سال 2015 ظاهر شد، اما تنها یک سال بعد به طور فعال گسترش یافت. اصل آلودگی با سایر باج افزارها یکسان است: نصب یک فایل از ایمیل، رمزگذاری داده ها. برنامه های آنتی ویروس معمولی، به عنوان یک قاعده، متوجه ویروس Breaking Bad نمی شوند. برخی از کدها نمی توانند UAC ویندوز را دور بزنند و کاربر را قادر می سازد تا نسخه های قبلی اسناد را بازیابی کند. هیچ شرکتی که نرم‌افزار ضد ویروس تولید می‌کند هنوز رمزگشا را ارائه نکرده است.

XTBL

یک باج افزار بسیار رایج که برای بسیاری از کاربران دردسر ایجاد کرده است. ویروس پس از استفاده از رایانه شخصی، پسوند فایل را در عرض چند دقیقه به xtbl. تغییر می دهد. سندی ایجاد می شود که در آن مهاجم اخاذی می کند. برخی از انواع ویروس XTBL نمی توانند فایل ها را برای بازیابی سیستم از بین ببرند، که به شما امکان می دهد اسناد مهم را بازیابی کنید. خود ویروس را می توان با بسیاری از برنامه ها حذف کرد، اما رمزگشایی اسناد بسیار دشوار است. اگر صاحب یک آنتی ویروس مجاز هستید، با پیوست کردن نمونه هایی از داده های آلوده، از پشتیبانی فنی استفاده کنید.

کوکاراچا

باج افزار Cucaracha در دسامبر 2016 کشف شد. این ویروس با نام جالب فایل های کاربر را با استفاده از الگوریتم RSA-2048 که بسیار مقاوم است، پنهان می کند. آنتی ویروس کسپرسکیآن را با عنوان Trojan-Ransom.Win32.Scatter.lb برچسب گذاری کرد. Kukaracha را می توان از رایانه حذف کرد تا سایر اسناد آلوده نشوند. با این حال، در حال حاضر رمزگشایی موارد آلوده تقریبا غیرممکن است (الگوریتمی بسیار قدرتمند).

ویروس باج افزار چگونه کار می کند؟

تعداد زیادی باج افزار وجود دارد، اما همه آنها بر اساس یک اصل مشابه کار می کنند.

  1. ضربه زدن به کامپیوتر شخصی. به طور معمول، به لطف یک فایل پیوست شده به ایمیل. نصب توسط خود کاربر با باز کردن سند آغاز می شود.
  2. عفونت فایل تقریباً همه انواع فایل ها رمزگذاری شده اند (بسته به ویروس). یک سند متنی ایجاد می شود که حاوی مخاطبین برای ارتباط با مهاجمان است.
  3. همه. کاربر نمی تواند به هیچ سندی دسترسی داشته باشد.

عوامل کنترل از آزمایشگاه های محبوب

استفاده گسترده از باج افزار که به عنوان خطرناک ترین تهدید برای داده های کاربران شناخته می شود، به انگیزه ای برای بسیاری از آزمایشگاه های آنتی ویروس تبدیل شده است. هر شرکت محبوب برنامه هایی را در اختیار کاربران خود قرار می دهد که به آنها در مبارزه با باج افزار کمک می کند. علاوه بر این، بسیاری از آنها به رمزگشایی اسناد و محافظت از سیستم کمک می کنند.

کسپرسکی و ویروس های باج افزار

یکی از معروف ترین آزمایشگاه های ضد ویروس در روسیه و جهان امروزه موثرترین ابزارها را برای مبارزه با ویروس های باج افزار ارائه می دهد. اولین مانع برای ویروس باج افزار خواهد بود Kaspersky Endpointامنیت 10 ثانیه آخرین به روزرسانی ها. آنتی ویروس به سادگی اجازه نمی دهد تهدید وارد رایانه شما شود (اگرچه ممکن است نسخه های جدید را متوقف نکند). برای رمزگشایی اطلاعات، توسعه دهنده چندین ابزار رایگان ارائه می دهد: XoristDecryptor، RakhniDecryptor و Ransomware Decryptor. آنها به یافتن ویروس و انتخاب رمز عبور کمک می کنند.

دکتر. وب و باج افزار

این آزمایشگاه استفاده از آنها را توصیه می کند برنامه آنتی ویروس, ویژگی اصلیکه تبدیل به فایل پشتیبان شد. ذخیره سازی با کپی اسناد نیز از دسترسی غیرمجاز توسط متجاوزان محافظت می شود. صاحبان محصول دارای مجوز Dr. تابع کمک وب در دسترس است پشتیبانی فنی. درست است، حتی متخصصان با تجربه همیشه نمی توانند در برابر این نوع تهدید مقاومت کنند.

ESET Nod 32 و باج افزار

این شرکت نیز کنار نماند و از کاربران خود در برابر ویروس های وارد شده به رایانه آنها محافظت خوبی ارائه کرد. علاوه بر این، آزمایشگاه به تازگی منتشر شده است ابزار رایگانبا پایگاه داده های فعلی - Eset Crysis Decryptor. توسعه دهندگان می گویند که حتی در مبارزه با جدیدترین باج افزارها نیز کمک خواهد کرد.

اگر سیستم آلوده باشد بد افزار Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury، Trojan-Ransom.Win32.Crybola، Trojan-Ransom.Win32.Cryakl یا Trojan-Ransom.Win32، همه خانواده ها. فایل های کامپیوتر شما به صورت زیر رمزگذاری می شوند:

  • هنگامی که Trojan-Ransom.Win32.Rannoh آلوده می شود، نام ها و پسوندها بر اساس الگوی قفل شده تغییر می کنند-<оригинальное_имя>.<4 произвольных буквы>.
  • هنگامی که Trojan-Ransom.Win32.Cryakl آلوده می شود، یک برچسب (CRYPTENDBLACKDC) به انتهای محتویات فایل اضافه می شود.
  • هنگامی که به Trojan-Ransom.Win32.AutoIt آلوده می شود، پسوند مطابق با الگو تغییر می کند.<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    مثلا، [ایمیل محافظت شده] _.RZWDTDIC.
  • هنگامی که به Trojan-Ransom.Win32.CryptXXX آلوده می شود، برنامه افزودنی مطابق با الگوها تغییر می کند.<оригинальное_имя>.دخمه،<оригинальное_имя>.crypz و<оригинальное_имя>.cryp1.

ابزار RannohDecryptor برای رمزگشایی فایل ها پس از آلوده شدن به Trojan-Ransom.Win32.Polyglot، Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury، Trojan-Ransom.Crybolain طراحی شده است. ، Trojan- Ransom.Win32.Cryakl یا Trojan-Ransom.Win32.CryptXXX نسخه های 1، 2 و 3.

چگونه سیستم را درمان کنیم

برای درمان سیستم آلوده:

  1. فایل RannohDecryptor.zip را دانلود کنید.
  2. RannohDecryptor.exe را روی دستگاه آلوده اجرا کنید.
  3. در پنجره اصلی کلیک کنید شروع به بررسی کنید.
  1. مسیر فایل رمزگذاری شده و رمزگذاری نشده را مشخص کنید.
    اگر فایل توسط Trojan-Ransom.Win32.CryptXXX رمزگذاری شده است، خود فایل ها را مشخص کنید. سایز بزرگ. رمزگشایی فقط برای فایل هایی با اندازه مساوی یا کوچکتر در دسترس خواهد بود.
  2. تا پایان جستجو و رمزگشایی فایل های رمزگذاری شده صبر کنید.
  3. در صورت نیاز کامپیوتر خود را مجددا راه اندازی کنید.
  4. بعد از قفل شدن-<оригинальное_имя>.<4 произвольных буквы>برای حذف یک کپی از فایل های رمزگذاری شده پس از رمزگشایی موفقیت آمیز، را انتخاب کنید.

اگر فایل توسط Trojan-Ransom.Win32.Cryakl رمزگذاری شده باشد، برنامه کاربردی فایل را در مکان قدیمی خود با پسوند .decryptedKLR.original_extension ذخیره می کند. اگر انتخاب کرده اید پس از رمزگشایی موفق، فایل های رمزگذاری شده را حذف کنید، فایل رونویسی شده توسط ابزار با نام اصلی ذخیره می شود.

  1. به طور پیش فرض، ابزار گزارش کار را در ریشه نمایش می دهد دیسک سیستم(دیسکی که سیستم عامل روی آن نصب شده است).

    نام گزارش به شرح زیر است: UtilityName.Version_Date_Time_log.txt

    برای مثال، C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

در یک سیستم آلوده به Trojan-Ransom.Win32.CryptXXX، ابزار اسکن می کند. تعداد محدودفرمت های فایل اگر کاربر فایلی را انتخاب کند که تحت تأثیر CryptXXX v2 قرار گرفته است، بازیابی کلید ممکن است زمان زیادی طول بکشد. در این مورد، ابزار یک هشدار نمایش می دهد.

ویروس‌های باج‌افزار رمزگذاری شده اخیراً به یکی از تهدیدهای اصلی تبدیل شده‌اند و هر روز در مورد حملات جدید، ویروس‌های باج‌افزار جدید یا نسخه‌های آن‌ها و متأسفانه درباره قربانیانی که مجرمان سایبری از آنها باج می‌خواهند برای دسترسی مجدد به داده‌های رمزگذاری شده مطلع می‌شویم. از همین رو آزمایشگاه کسپرسکیجزء System Watcher جدیدترین محصولات شامل یک زیرسیستم ویژه برای مبارزه با بدافزارهای رمزگذاری شده است برنامه های کسپرسکیزیرسیستم مقابله با بدافزار رمزنگاری. به لطف مجموعه ای از فناوری های منحصر به فرد، در لتونی و در جهان در میان کاربران جدیدترین محصولات کسپرسکیکه از فرصت های ارائه شده توسط محصولات به درستی استفاده کرد، عملا هیچ قربانی حملات باج افزار رمزگذاری شده وجود ندارد!و این جادو یا توطئه نیست، همانطور که حتی کارشناسان گاهی اوقات می گویند، با دیدن اینکه چگونه، برخلاف کاربران سایر آنتی ویروس ها، طرفداران محصولات کسپرسکی در حملات با رمزگذاری ویروس های باج افزار آسیبی نمی بینند. اینها به سادگی فناوری هایی هستند که توسط توسعه دهندگان آزمایشگاه کسپرسکی اختراع و پیاده سازی شده اند!

کدام محصولات شامل System Watcher و Kaspersky Cryptomalware Countermeasures Subsystem هستند؟

فن آوری های ویژه برای مبارزه با ویروس های باج افزار رمزگذاری شده در آن گنجانده شده است نسخه های فعلیمحصولات اتاق عمل زیر که در زیر ذکر شده است سیستم های ویندوزیا جزء آنها برای ویندوز.

محصولات کسب و کار کوچک:
محصولات امنیتی سازمانی:

* همه محصولات 30 روز آزمایشی رایگان با امکانات کامل در دسترس استبا پشتیبانی فنی محلی سعی کنید و نصب کنید.

System Watcher و Kaspersky Cryptomalware Countermeasures Subsystem چگونه کار می کنند؟

آزمایشگاه کسپرسکی هر روز به طور متوسط ​​315000 نمونه بدافزار جدید را پردازش می کند. با چنین هجوم گسترده بدافزارهای جدید، شرکت های آنتی ویروس اغلب مجبور می شوند از کاربران در برابر حملات بدافزارهایی که هنوز برای آنها شناخته نشده است محافظت کنند. در یک قیاس دنیای واقعی، این همان شناسایی یک مجرم قبل از به دست آوردن اثر انگشت، عکس و سایر داده‌های او است. چگونه انجامش بدهیم؟ مشاهده و تجزیه و تحلیل رفتار. این دقیقاً همان کاری است که مؤلفه تعبیه شده در جدیدترین محصولات آزمایشگاه کسپرسکی انجام می دهد و به طور مداوم بر سیستم رایانه نظارت می کند که System Watcher نامیده می شود.

System Watcher فرآیندهای رخ داده در سیستم را نظارت می کند و اقدامات مخرب را با استفاده از Behavior Stream Signatures (BSS) شناسایی می کند و بنابراین به شما امکان می دهد برنامه های مخرب کاملاً جدید و ناشناخته را بر اساس رفتار آنها شناسایی و متوقف کنید. اما این همه ماجرا نیست. تا زمانی که مشخص شود که یک برنامه مخرب است، ممکن است زمان انجام کاری را داشته باشد. بنابراین یکی دیگر از ویژگی های System Watcher امکان برگرداندن تغییرات ایجاد شده توسط برنامه های مخرب در سیستم است.

به منظور لغو تغییرات ایجاد شده توسط یک بدافزار رمزگذاری جدید، متخصصان آزمایشگاه کسپرسکی، زیرسیستمی برای مبارزه با ویروس‌های رمزنگاری‌کننده، یعنی Kaspersky Cryptomalware Countermeasures Subsystem را به مؤلفه System Watcher اضافه کردند که ایجاد می‌کند. پشتیبان گیریفایل‌ها در صورت باز شدن توسط یک برنامه مشکوک، و متعاقباً، در صورت لزوم، آنها را از نسخه‌های ذخیره شده بازیابی می‌کند. بنابراین، حتی اگر ویروس رمزگذاری جدید باشد، یعنی آنتی ویروس «اثر انگشت» خود را نداشته باشد، و با مکانیسم‌های دیگر شناسایی نشود، System Watcher آن را با رفتار خود تشخیص می‌دهد و با استفاده از زیرسیستم ذکر شده، برمی‌گرداند. سیستم کامپیوتریبا وضعیتی که قبل از حمله بدافزار بود.

تشخیص بدافزار رمزگذاری ناشناخته با رفتار آن، توقف عملکرد آن و بازگرداندن تغییراتی که ایجاد کرده است (جایگزینی فایل های رمزگذاری شده با کپی های رمزگذاری نشده) را می توان در ویدیوی آزمایشی زیر مشاهده کرد.



در اینجا لازم است توضیح داده شود که برای هر کاربر خاص، موقعیت‌هایی که در آن لازم است از زیرسیستم مقابله با بدافزار Kaspersky استفاده شود، به ندرت ممکن است رخ دهد، زیرا اطلاعات مربوط به هر حادثه با یک برنامه مخرب ناشناخته به ابر شبکه امنیتی Kaspersky ارسال می‌شود. ثانیه و سایر کاربران راه حل های کسپرسکی از این لحظه قبلاً در برابر آن محافظت می شوند تهدید جدیدسیستم تشخیص زودهنگام این بدان معنی است که هرگونه تلاش بیشتر برای آلوده کردن رایانه های کاربران کسپرسکی توسط امضای قبلی مسدود می شود. عملکرد چنین مکانیزم‌های منحصربه‌فردی است که این واقعیت را توضیح می‌دهد که در لتونی عملاً هیچ تلفاتی در بین کاربران جدیدترین محصولات کسپرسکی وجود نداشته است، زیرا مانند یک سیستم ایمنی جهانی برای همه 400 میلیون کاربر کسپرسکی در سراسر جهان عمل می‌کند!

اطلاعات بیشتر درباره System Watcher و Kaspersky Cryptomalware Countermeasures Subsystem در زبان انگلیسیرا می توان در اسناد PDF یافت:

چه چیز دیگری باید در مورد System Watcher و زیرسیستم مقابله با بدافزار Kaspersky Cryptomalware بدانید؟

System Watcher و همراه با آن به طور خودکار زیرسیستم مقابله با بدافزار Kaspersky Cryptomalware به طور پیش فرض مطابق با تنظیمات اولیه سازنده فعال می شود. پس از نصب محصولات، کاربر برای استفاده از فناوری های توضیح داده شده در بالا نیازی به انجام هیچ گونه اقدام اضافی ندارد.

مخصوصاً باید توجه داشت که System Watcher در آن گنجانده نشده است محصول کسپرسکیآنتی ویروس برای ویندوز Workstation 6.0 (منتشر شده در سال 2007)، که هنوز هم گاهی اوقات استفاده می شود. به کاربران این محصول توصیه می‌شود از ارتقای رایگان نسخه جدیدتر Kaspersky Endpoint Security برای ویندوز استفاده کنند. کاربران حقوقی می توانند دانلود و نصب کنند آخرین نسخه هامحصولات به صورت رایگان، به عنوان مثال، از بخش " " این سایت.