És minden évben egyre több új jelenik meg ... egyre érdekesebb és érdekesebb. A legnépszerűbb vírus (Trojan-Ransom.Win32.Rector), amely titkosítja az összes fájlját (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar stb. .) .d.). A probléma az, hogy az ilyen fájlok visszafejtése rendkívül nehéz és időigényes, a titkosítás típusától függően a visszafejtés heteket, hónapokat vagy akár éveket is igénybe vehet. Véleményem szerint ez a vírus Ebben a pillanatban, a többi vírus között veszélyben lévő apogeus. Ez különösen veszélyes az otthoni számítógépekre / laptopokra, mivel a legtöbb felhasználó nem készít biztonsági másolatot adatairól, és amikor titkosítja a fájlokat, minden adatot elveszít. A szervezetek számára ez a vírus kevésbé veszélyes, mert készítenek biztonsági mentések fontos adatokat és fertőzés esetén egyszerűen visszaállítják, természetesen a vírus eltávolítása után. Többször találkoztam ezzel a vírussal, leírom hogyan történt és mihez vezetett.

2014 elején ismerkedtem meg először egy fájlokat titkosító vírussal. Egy másik város adminisztrátora megkeresett, és elmondta a legkellemetlenebb hírt: A fájlszerveren lévő összes fájl titkosítva van! A fertőzés alapvetően történt - levél érkezett a könyvelőre "Cselekedj ott.pdf.exe" melléklettel ahogy érted, ezt nyitották meg EXE fájlés a folyamat lezajlott... titkosította az összes személyes fájlt a számítógépen, és elment a fájlszerver(egy hálózati meghajtó képezte le). Az adminisztrátorral együtt elkezdtünk információkat ásni az interneten ... akkoriban nem volt megoldás ... mindenki azt írta, hogy van ilyen vírus, nem ismert, hogyan kell kezelni, nem lehetett visszafejteni a fájlok, esetleg fájlok elküldése a Kaspersky-nek, a Dr Web-nek vagy a Nod32-nek segítene. Csak akkor küldheti el őket, ha használja a vírusirtó programjaikat (vannak licencek). Elküldtük a fájlokat a Dr Webnek és a Nod32-nek, az eredmény 0 volt, nem emlékszem, mit mondtak a Dr Webben, de a Nod 32-ben teljesen elhallgattak, és nem vártam tőlük semmilyen választ. Általánosságban elmondható, hogy minden szomorú volt, és soha nem találtunk megoldást, néhány fájlt biztonsági másolatból visszaállítottak.

A második történet – éppen a minap (2014. október közepén) felhívtak a szervezettől, hogy oldjam meg a vírussal kapcsolatos problémát, mivel érted, a számítógépen lévő összes fájl titkosítva volt. Íme egy példa, hogyan nézett ki.

Amint láthatja, minden fájlhoz *.AES256 kiterjesztést adtunk. Mindegyik mappában volt egy "Attention_open-me.txt" fájl, amelyben voltak kapcsolattartók a kommunikációhoz.

Amikor megpróbálta megnyitni ezeket a fájlokat, megnyílt egy névjegyeket tartalmazó program, amellyel kapcsolatba léphetett a vírus szerzőivel, és fizetni kell a visszafejtésért. Természetesen nem javaslom, hogy vegye fel velük a kapcsolatot, és fizessen is a kódért, mivel csak anyagilag támogatja őket, és nem tény, hogy visszafejtő kulcsot kap.

A fertőzés egy internetről letöltött program telepítése során történt. A legmeglepőbb az volt, hogy amikor észrevették, hogy megváltoztak a fájlok (változtak az ikonok és a fájlkiterjesztések), nem tettek semmit, és folytatták a munkát, és közben a ransomware folytatta az összes fájl titkosítását.

Figyelem!!! Ha fájltitkosítást észlel a számítógépén (ikonváltás, kiterjesztés módosítása), azonnal kapcsolja ki számítógépét/laptopját, és keressen megoldást egy másik eszközről (másik számítógépről/laptopról, telefonról, táblagépről), vagy forduljon informatikusokhoz. Minél tovább hagyja bekapcsolva számítógépét/laptopját, annál tovább több fájl titkosítja.

Általában már meg akartam tagadni, hogy segítsek nekik, de úgy döntöttem, hogy szörfölök az interneten, talán már van megoldás erre a problémára. A keresések eredményeként sok olyan információt olvastam, hogy nem lehet visszafejteni, hogy fájlokat kell küldeni vírusirtó cégeknek (Kaspersky, Dr Web vagy Nod32) - köszi, élmény volt.
Találkoztam a Kaspersky segédprogramjával - RectorDecryptor. És lám, a fájlokat feloldották. Nos, először a dolgok...

Az első lépés a ransomware leállítása. A vírusirtókon nem találja meg, mert a telepített Dr Web nem talált semmit. Először is belementem az automatikus betöltésbe, és letiltottam az összes automatikus betöltést (kivéve a víruskeresőt). Újraindította a számítógépet. Aztán elkezdte nézni, hogy milyen fájlok vannak indításkor.

Amint láthatja, a "Parancs" mezőben jelzi, hol található a fájl, különös figyelmet kell fordítani az aláírás nélküli alkalmazások eltávolítására (Gyártó - Nincs adat). Általában olyan rosszindulatú programokat és fájlokat találtam és eltávolítottam, amelyek még nem voltak egyértelműek számomra. Ezt követően kitisztítottam az ideiglenes mappákat és a böngésző gyorsítótárait, erre a célra a legjobb a programot használni CCleaner .

Ezután folytattam a fájlok visszafejtését, ehhez letöltöttem visszafejtő program RectorDecryptor . Elindítottuk és láttam egy meglehetősen aszketikus segédfelületet.

Rákattintottam az "Ellenőrzés indítása" gombra, jelezve az összes módosított fájl kiterjesztését.

És jelezte a titkosított fájlt. A RectorDecryptor újabb verzióiban egyszerűen megadhatja a titkosított fájlt. Kattintson a "Megnyitás" gombra.

Tada-a-a-am!!! Csoda történt, és a fájl visszafejtésre került.

Ezt követően a segédprogram automatikusan ellenőrzi az összes számítógépes fájlt + a csatlakoztatott fájlokat hálózati meghajtóés visszafejti őket. A visszafejtési folyamat több órát is igénybe vehet (a titkosított fájlok számától és a számítógép sebességétől függően).

Ennek eredményeként az összes titkosított fájlt sikeresen visszafejtették ugyanabba a könyvtárba, ahol eredetileg voltak.

Marad az összes .AES256 kiterjesztésű fájl törlése, ezt a "Titkosított fájlok törlése a sikeres visszafejtés után" jelölőnégyzet bejelölésével teheti meg, ha a RectorDecryptor ablakban az "Ellenőrzési beállítások módosítása" gombra kattint.

De ne feledje, hogy jobb, ha nem jelöli be ezt a jelölőnégyzetet, mert a fájlok sikertelen visszafejtése esetén azok törlődnek, és ha újra megpróbálja visszafejteni őket, el kell indítania őket. helyreállítani .

Amikor megpróbálja törölni az összes titkosított fájlt a szabványos keresésés eltávolítása, lefagyásokra és rendkívül lassú számítógép-teljesítményre bukkantam.

Ezért az eltávolításához a legjobb a parancssor használata, futtatása és írása del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Az én esetemben del "d:\*.AES256" /f /s.

Ehhez ne felejtse el törölni az "Attention_open-me.txt" fájlokat parancs sor használja a parancsot del"<диск>:\*.<имя файла>"/f/s, például
del "d:\Attention_open-me.txt" /f /s

Így a vírust legyőzték, és a fájlok helyreálltak. Szeretném figyelmeztetni Ily módon nem fog mindenkinek segíteni, a helyzet az, hogy a Kapersky ebben a segédprogramban összegyűjtötte az összes ismert kulcsot a visszafejtéshez (azokból a fájlokból, amelyeket a vírussal fertőzöttek küldtek), és nyers erővel kiválasztja a kulcsokat és dekódolja. Azok. ha a fájljait egy vírus titkosítja még nem ismert kulccsal, akkor ez a módszer nem segít... a fertőzött fájlokat el kell küldenie vírusirtó cégeknek - Kaspersky, Dr Web vagy Nod32, hogy visszafejtse őket.

Ezek a vírusok kissé eltérhetnek egymástól, de általában mindig ugyanazok a vírusok:

  • telepíteni számítógépre;
  • titkosítsa az összes olyan fájlt, amely legalább valamilyen értékkel bír (dokumentumok, fényképek);
  • amikor megpróbálja megnyitni ezeket a fájlokat, kérje meg a felhasználótól, hogy helyezzen el egy bizonyos összeget a támadó pénztárcájára vagy számlájára, ellenkező esetben a tartalomhoz való hozzáférés soha nem fog megnyílni.

Vírus által titkosított fájlok xtbl-ben

Jelenleg eléggé elterjedt egy vírus, amely képes a fájlok titkosítására és kiterjesztését .xtbl-re módosítani, valamint a nevüket teljesen véletlenszerű karakterekre cserélni.

Ezen kívül egy feltűnő helyen jön létre speciális fájl utasításokkal readme.txt. Ebben a támadó annak elé állítja a felhasználót, hogy minden fontos adata titkosítva volt, és most már nem nyithatók meg olyan könnyen, kiegészítve ezt azzal, hogy ahhoz, hogy minden visszaálljon a korábbi állapotába, szükséges bizonyos műveletek végrehajtása a csalónak történő pénzátutalással kapcsolatban (általában előtte el kell küldenie egy bizonyos kódot a javasolt címek egyikére Email). Az ilyen üzeneteket gyakran kiegészítik egy megjegyzéssel, hogy ha saját maga próbálja megfejteni az összes fájlt, fennáll annak a veszélye, hogy örökre elveszíti őket.

Sajnos jelenleg hivatalosan senki sem tudta visszafejteni az .xtbl-t, ha megjelenik egy működő módszer, arról mindenképpen beszámolunk a cikkben. A felhasználók között vannak olyanok is, akiknek volt hasonló tapasztalatuk ezzel a vírussal, és kifizették a szükséges összeget a csalóknak, cserébe megkapva dokumentumaik visszafejtését. Ez azonban rendkívül kockázatos lépés, mert a támadók között vannak olyanok, akik nem különösebben törődnek a beígért visszafejtéssel, a végén pénz lesz a lefolyóba.

Mi a teendő akkor, kérdezed? Kínálunk néhány tippet, amelyek segítenek visszaszerezni az összes adatot, és ugyanakkor nem fognak csalók vezetni és pénzt adni nekik. És mit kell tenni:

  1. Ha tudja, hogyan kell dolgozni a Feladatkezelőben, azonnal szakítsa meg a fájltitkosítást a gyanús folyamat leállításával. Ezzel egyidejűleg válassza le számítógépét az internetről – sok zsarolóvírusnak hálózati kapcsolatra van szüksége.
  2. Vegyünk egy darab papírt, és írjuk rá a támadóknak postára küldendő kódot (egy darab papírt, mert a fájl, amelybe írni fog, szintén olvashatatlanná válhat).
  3. Segítséggel vírusirtó eszközök Malwarebytes Antimalware, próba víruskereső Kaspersky IS vagy CureIt, távolítsa el rosszindulatú. A nagyobb megbízhatóság érdekében jobb következetesen használni az összes javasolt eszközt. Bár a Kaspersky Anti-Virus nem telepíthető, ha a rendszer már rendelkezik egy fő víruskeresővel, különben szoftverkonfliktusok léphetnek fel. Az összes többi segédprogram bármilyen helyzetben használható.
  4. Várjon, amíg az egyik vírusirtó cég működőképes visszafejtőt fejleszt ki az ilyen fájlok számára. A Kaspersky Lab a leggyorsabban megbirkózik.
  5. Ezen kívül elküldheti a címre [e-mail védett] a fájl másolata, amely titkosítva volt a szükséges kóddal, és ha van, ugyanaz a fájl eredeti formájában. Nagyon valószínű, hogy ez felgyorsíthatja egy fájl visszafejtési módszer kifejlesztését.

Semmilyen körülmények között ne tegye:

  • ezen dokumentumok átnevezése;
  • kiterjesztésének megváltoztatása;
  • fájlok törlése.

Ezek a trójaiak a felhasználók fájljait is titkosítják, majd kicsikarják őket. Ugyanakkor a titkosított fájlok a következő kiterjesztéssel rendelkezhetnek:

  • .zárt
  • .crypto
  • .kraken
  • .AES256 (nem feltétlenül ez a trójai, mások is telepítik ugyanazt a kiterjesztést).
  • [e-mail védett] _com
  • .bassza meg
  • És mások.

Szerencsére egy speciális visszafejtő segédprogram már elkészült - RakhniDecryptor. Letöltheti a hivatalos oldalról.

Ugyanezen az oldalon találhat olyan utasításokat, amelyek részletesen és világosan bemutatják, hogyan kell a segédprogramot használni az összes fájl visszafejtésére, amelyen a trójai dolgozott. Elvileg a nagyobb megbízhatóság érdekében érdemes kizárni a titkosított fájlok törlésére szolgáló elemet. De a legvalószínűbb, hogy a fejlesztők jó munkát végeztek a segédprogram létrehozásában, és semmi sem veszélyezteti az adatok integritását.

Azok, akik licencelt Dr.Web vírusirtót használnak, rendelkeznek szabad hozzáférés dekódoláshoz a fejlesztőktől: http://support.drweb.com/new/free_unlocker/.

Más típusú ransomware vírusok

Néha más vírusok is találkozhatnak, amelyek fontos fájlokat titkosítanak, és díjat kicsikarnak azért, hogy mindent visszaállítsanak az eredeti formájukba. A leggyakoribb vírusok következményeinek kezelésére kínálunk egy kis listát a segédprogramokkal. Ott megismerkedhet azokkal a főbb jellemzőkkel is, amelyek alapján meg lehet különböztetni egyik vagy másik trójai programot.

Kívül, a jó értelembenátvizsgálja számítógépét a Kaspersky antivirus programmal, amely észleli a behatolót, és nevet ad neki. Ezen a néven már lehet dekódert keresni hozzá.

  • Trojan-Ransom.Win32.Rector- egy tipikus zsaroló kódoló, amely megköveteli, hogy SMS-t küldjön vagy más ilyen jellegű műveletet hajtson végre, a visszafejtőt erről a linkről vesszük.
  • Trojan-Ransom.Win32.Xorist- az előző trójai változata, kaphat egy dekódolót a használati útmutatóval.
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- ezeknek a srácoknak van egy speciális segédprogramja is, nézd meg

A vírusok önmagukban ma már szinte senkit sem lepnek meg. Ha korábban az egész rendszer egészét érintették, ma már különféle típusú vírusok léteznek. Ezen fajták egyike a ransomware vírus. A behatoló fenyegetés hatása több felhasználói információra vonatkozik. Ez azonban veszélyesebb lehet, mint a pusztító végrehajtható fájlok és kémkisalkalmazások. Mi az a titkosító vírus? Maga a kód, amelyet egy önmásoló vírusba írnak, magában foglalja az összes felhasználói információ titkosítását speciális kriptográfiai algoritmusokkal, amelyek nem befolyásolják rendszerfájlokat maga az operációs rendszer.

Lehet, hogy nem mindenki számára világos a vírus hatásának logikája. Minden világossá vált, amikor a hackerek, akik ezeket a kisalkalmazásokat fejlesztették, elkezdtek követelni némi összeget a fájlok eredeti szerkezetének visszaállításáért. Ugyanakkor a rendszerbe került ransomware nem teszi lehetővé a fájlok visszafejtését. Ehhez speciális dekóderre, vagy más szóval egy speciális algoritmusra lesz szükség, amellyel visszaállíthatja a tartalmat.

Ransomware: a rendszerekbe való behatolás elve és a vírus működése

Az ilyen fertőzések felvétele az interneten általában meglehetősen nehéz. Többnyire adott típus a vírusokat e-mailben továbbítják az egy számítógépes terminálra telepített kliensek szintjén, mint pl a denevér, Outlook, Thunderbird. Azonnal meg kell jegyezni, hogy ez nem vonatkozik az internetes levelezőszerverekre, mivel ezek igen magas fok védelem. A felhasználói információkhoz való hozzáférés csak szinten történik felhőalapú tárolás információ. Egy adott számítógépes terminálon lévő alkalmazás egészen más kérdés.

A vírusok kifejlesztésének tevékenységi köre olyan széles, hogy nehéz elképzelni. Itt azonban meg kell tenni egy kis figyelmeztetést. A legtöbb esetben a vírusok olyan nagy szervezeteket és vállalatokat céloznak meg, amelyek jelentős összeget tudnak majd fizetni a személyes adatok visszafejtéséért. Ez egyértelmű, mert a számítógépes terminálok és a számítógépes cégek szerverei tárolnak bizalmas információés fájlokat egyetlen példányban amelyet semmilyen körülmények között nem szabad törölni. Ebben az esetben a fájlok visszafejtése a ransomware vírus működése után meglehetősen problémás lehet. Természetesen egy hétköznapi felhasználó is ki lehet téve egy ilyen támadásnak, bár ez nem valószínű, különösen akkor, ha a felhasználó követi az ismeretlen típusú mellékletekkel való munkavégzés legegyszerűbb ajánlásait.

Még akkor is, ha levelező kliensészleli a mellékleteket, például .jpg vagy más grafikus kiterjesztésű fájlokat, érdemes először ellenőrizni adott fájl a rendszerben használt szabványos víruskereső. Ha ezt nem teszi meg, akkor a csatolt fájl dupla kattintással történő megnyitása után elindulhat a kód aktiválása és megkezdődik a titkosítási folyamat. Ezt követően magát a zsarolóprogramot nem lehet eltávolítani, és a fenyegetés megszüntetése után visszaállítani a fájlokat.

A ransomware vírusnak való kitettség általános következményei

Mint korábban említettük, a legtöbb vírus e-mailen keresztül jut be a rendszerbe. Tegyük fel, hogy egy nagy szervezet kap egy levelet, amelynek tartalma: „Módosították a szerződést, a levélhez egy szkennelt dokumentumot csatoltak” vagy „Küldtek Önnek egy számlát az áruszállításról”. A cég gyanútlan alkalmazottja egyszerűen megnyitja a csatolt fájlt, és ezután az összes felhasználói fájl azonnal titkosításra kerül. Ezek mind fájlok, az irodai dokumentumoktól az archívumokig és a multimédiáig. Minden fontos adat titkosítva van, és ha a számítógépes terminálhoz csatlakozik helyi hálózat, akkor a vírus továbbítható, miközben titkosítja az adatokat más gépeken.

Ennek a folyamatnak a lefutását a számítógépes terminálon jelenleg futó programok lelassulása, lefagyása mutatja. A titkosítási folyamat befejeztével a vírus egyfajta jelentést küld, amely után a szervezet egy üzenetet kap arról, hogy fenyegetés lépett a rendszerbe, a fájlok visszafejtéséhez pedig fel kell venni a kapcsolatot a vírus fejlesztőjével. Ez általában a vírusra vonatkozik [e-mail védett] Ezt követően a visszafejtési szolgáltatásokért fizetni kell. A rendszer felkéri a felhasználót, hogy küldjön néhány titkosított fájlt egy olyan e-mailre, amely valószínűleg hamis.

A vírusnak való kitettség okozta károk

Ha még nem értette meg teljesen a probléma lényegét, akkor meg kell jegyezni, hogy a fájlok visszafejtése a titkosító vírus működése után meglehetősen munkaigényes folyamat. Ha a felhasználó nem követi a támadók követeléseit, hanem az állami struktúrák segítségével próbálja felvenni a harcot a számítógépes bûnözéssel, akkor semmi értelmes nem lesz. Ha megpróbál minden adatot törölni a számítógépről, majd rendszer-visszaállítást hajt végre, és az eredeti információkat cserélhető adathordozóról másolja, akkor az összes információ továbbra is újra titkosítva lesz. Szóval ne ragadd magad túlságosan ezen. Akkor is, ha flash meghajtót helyez be USB csatlakozó a felhasználó észre sem veszi, hogy a vírus az összes rajta lévő adatot titkosítja. Akkor még több probléma lesz.

Az első ransomware vírus

Fontolja meg, mi volt az első titkosító vírus. Megjelenésekor senki sem gondolta, hogyan lehetséges a fájlok gyógyítása vagy visszafejtése az e-mail mellékletben található végrehajtható kódnak való kitettség után. Csak idővel jött rá a katasztrófa teljes mértéke. Az első ransomware vírus meglehetősen romantikus "I Love You" nevet viselt. A felhasználó, aki nem sejtett semmit, egyszerűen kinyitotta az e-mailben érkezett levél mellékletét, és ennek eredményeként teljesen lejátszhatatlan multimédiás fájlokat (videó, grafika és hang) kapott. Az ilyen akciók pusztítóbbnak tűntek, de akkoriban senki sem követelt pénzt az adatok visszafejtéséért.

A legújabb módosítások

A technológia evolúciója meglehetősen jövedelmező üzletté vált, különösen, ha figyelembe vesszük azt a tényt, hogy a nagy cégek sok vezetője siet, hogy a lehető leghamarabb kifizesse a szükséges összeget a támadóknak, még csak nem is gondolva arra, hogy elhagyhatják őket. pénz nélkül és anélkül szükséges információ. Ne higgye el ezeket a baloldali hozzászólásokat az interneten, mint például: "Kifizettem a szükséges összeget, küldtek egy dekódolót, és az összes információ helyreállt." Mindez nonszensz. Az ilyen véleményeket alapvetően maguk a vírusfejlesztők írják, hogy vonzzák a potenciális áldozatokat. A hétköznapi felhasználók szabványai szerint a támadók által az adatok visszafejtéséhez szükséges mennyiségek meglehetősen komolyak. Több ezer dollárt vagy eurót is elérhet. Most pedig vessünk egy pillantást a funkciókra legújabb vírusok ebből a típusból. Mindegyik hasonló egymáshoz, és nem csak a ransomware vírusok kategóriájába tartozhat, hanem az úgynevezett ransomware kategóriába is. Egyes esetekben egészen korrekten járnak el, üzeneteket küldenek a felhasználónak, hogy valaki gondoskodni akar a szervezet vagy a felhasználó információinak biztonságáról. Üzeneteivel egy ilyen ransomware vírus egyszerűen félrevezeti a felhasználókat. Ha azonban a felhasználó kifizeti a szükséges összeget, egyszerűen „elvált”.

XTBL vírus

A viszonylag nemrégiben megjelent XTBL vírus a ransomware vírusok klasszikus változatának tulajdonítható. Az ilyen objektumok általában e-mailben küldött üzeneteken keresztül hatolnak be a rendszerbe. Az üzenetek .scr kiterjesztésű fájlmellékleteket tartalmazhatnak. Ez a kiterjesztés szabvány a Windows képernyővédőhöz. A felhasználó úgy gondolja, hogy minden rendben van, és aktiválja a nézetet, vagy elmenti ezt a mellékletet. Ez a művelet meglehetősen sajnálatos következményekkel járhat. A fájlnevek egyszerű karakterkészletté konvertálódnak. Az .xtbl kombináció hozzáadódik a fő fájlkiterjesztéshez. Ezt követően üzenetet küldenek a kívánt címre egy bizonyos összeg kifizetése után a visszafejtés lehetőségéről.

Ez a vírustípus a klasszikus zsarolóvírusok közé is sorolható. Az e-mail mellékletek megnyitása után jelenik meg a rendszerben. Ez a vírusátnevezi a felhasználó fájljait, és a kiterjesztés végére hozzáad egy kombinációt, például a .perfect és a .nonchance. Az ilyen típusú titkosító vírusok visszafejtése sajnos nem lehetséges. Az összes lépés elvégzése után egyszerűen önmagát megsemmisíti. Még egy olyan univerzális eszköz sem segít, mint a RectorDecryptor. A felhasználó fizetést kérő e-mailt kap. A felhasználónak két napja van fizetni.

Breaking_Bad virus

Ez a fajta fenyegetés a már ismert minta szerint működik. Átnevezi a felhasználó fájljait azáltal, hogy hozzáadja a .breaking_bad kombinációt a kiterjesztéshez. De a dolog nem korlátozódik erre. Más zsarolóprogramokkal ellentétben ez a vírus újabb .Heisenberg kiterjesztést tud létrehozni. Ezért meglehetősen nehéz megtalálni az összes fertőzött fájlt. Azt is érdemes elmondani, hogy a Breaking_Bad vírus meglehetősen komoly veszélyt jelent. Vannak esetek, amikor még a Kaspersky_Endpoint Security licencelt víruskereső programja is kihagy egy ilyen fenyegetést.

Vírus [e-mail védett]

Vírus [e-mail védett] egy másik meglehetősen komoly fenyegetés, amely leginkább a nagy kereskedelmi szervezeteket célozza meg. Általában a vállalat egyes részlegei .jpg vagy .js fájlt tartalmazó e-mailt kapnak. Hogyan lehet dekódolni az ilyen típusú vírusokat? Abból ítélve, hogy ott az RSA-1024 algoritmust használják, semmiképpen. Az algoritmus neve alapján feltételezhetjük, hogy 1024 bites titkosítási rendszert használ. A mai napig a 256 bites rendszert tartják a legfejlettebbnek.

Ransomware vírus: Dekódolhatja a víruskereső szoftver a fájlokat?

Az ilyen fenyegetések működése után még nem találtak módot a fájlok visszafejtésére. Még olyan elismert mesterek is a területen vírusvédelem, mivel a Dr Web, a Kaspersky és az Eset nem találja a kulcsot a probléma megoldásához. Hogyan gyógyítható a fájl ebben az esetben? Általában a felhasználónak hivatalos kérést kell küldenie a víruskereső program fejlesztőjének webhelyére. Ebben az esetben csatolnia kell több titkosított fájlt és azok eredeti példányait, ha vannak ilyenek. Ma már kevés felhasználó tárolja cserélhető adathordozó az adatok másolatai. Hiányuk problémája csak súlyosbíthatja az amúgy is kellemetlen helyzetet.

Fenyegetés kézi eltávolítása: lehetséges módszerek

Egyes esetekben a hagyományos víruskereső programokkal végzett vizsgálat azonosítja az ilyen rosszindulatú objektumokat, és még ki is küszöböli ezeket a fenyegetéseket. De mit kezdjünk a titkosított információkkal? Egyes felhasználók megpróbálnak visszafejtő programokat használni. Azonnal meg kell jegyezni, hogy ezek a tevékenységek nem vezetnek semmi jóhoz. A Breaking_Bad vírus esetében ez akár káros is lehet. Az a tény, hogy az ilyen vírusokat létrehozó támadók megpróbálják megvédeni magukat és leckét adni másoknak. A visszafejtő segédprogramok használatakor a vírus úgy reagálhat, hogy az egész operációs rendszer összeomlik, és egyúttal teljesen megsemmisíti a logikai partíciókon és merevlemezeken tárolt összes információt. Remélem csak a hivatalos vírusirtó laboratóriumokban.

Radikális módszerek

Ha a dolgok nagyon rosszak, akkor formázhatod HDD, beleértve a virtuális partíciókat is, majd telepítse újra operációs rendszer. Sajnos nincs más kiút. A rendszer visszaállítása egy adott visszaállítási pontra nem segít a helyzet javításában. Ennek eredményeként a vírus eltűnhet, de a fájlok továbbra is titkosítva maradnak.

A modern technológiák lehetővé teszik a hackerek számára, hogy folyamatosan javítsák a csalás módjait hétköznapi felhasználók. Általában a számítógépen áthatoló vírusszoftvert használják erre a célra. A titkosító vírusok különösen veszélyesek. A veszély abban rejlik, hogy a vírus nagyon gyorsan terjed, titkosítja a fájlokat (a felhasználó egyszerűen nem tud megnyitni egyetlen dokumentumot sem). És ha ez nagyon egyszerű, akkor sokkal nehezebb visszafejteni az adatokat.

Mi a teendő, ha egy vírus titkosított fájlokat tartalmaz a számítógépén

Mindenkit megtámadhat egy zsarolóvírus, még a hatékony víruskereső szoftverrel rendelkező felhasználók sem biztosítottak. A fájltitkosító trójaiakat különböző kódok képviselik, amelyek meghaladhatják a víruskereső erejét. A hackereknek még olyan nagyvállalatokat is sikerül így megtámadniuk, amelyek nem gondoskodtak adataik szükséges védelméről. Tehát, miután „felkapott” egy ransomware programot az interneten, számos intézkedést kell tennie.

A fertőzés fő jelei a számítógép lassú működése és a dokumentumok elnevezésének megváltozása (az asztalon látható).

  1. Indítsa újra a számítógépet a titkosítás leállításához. Ha engedélyezve van, ne erősítse meg az ismeretlen programok elindítását.
  2. Futtassa a víruskeresőt, ha nem támadta meg ransomware.
  3. Bizonyos esetekben az árnyékmásolatok segítenek visszaállítani az információkat. Megtalálásukhoz nyissa meg a titkosított dokumentum "Tulajdonságok" részét. Ez a módszer a Vault bővítmény titkosított adataival működik, amely információkat tartalmaz a portálon.
  4. Töltse le a segédprogramot legújabb verzió a zsarolóvírusok elleni küzdelemhez. A leghatékonyabbakat a Kaspersky Lab kínálja.

Titkosító vírusok 2016-ban: példák

Bármilyen vírustámadás elleni küzdelem során fontos megérteni, hogy a kód nagyon gyakran változik, kiegészítve új védelem vírusirtóktól. Természetesen a védelmi programoknak időre van szükségük, amíg a fejlesztő frissíti az adatbázisokat. Kiválogattuk az utóbbi idők legveszélyesebb titkosító vírusait.

Ishtar ransomware

Az Ishtar egy zsarolóprogram, amely pénzt csal ki a felhasználótól. A vírust 2016 őszén vették észre, és rengeteg felhasználó számítógépét fertőzte meg Oroszországból és számos más országból. Terjesztése e-mail terjesztéssel történik, amely csatolt dokumentumokat (telepítőket, dokumentumokat stb.) tartalmaz. Az Ishtar ransomware-rel fertőzött adatok az „ISHTAR” előtagot kapják a névben. A folyamat létrehoz egy tesztdokumentumot, amely jelzi, hová kell menni a jelszó beszerzéséhez. A támadók 3000-15000 rubelt követelnek érte.

Az Ishtar vírus veszélye, hogy ma nincs olyan dekódoló, amely segítené a felhasználókat. A víruskereső szoftvereket gyártó cégeknek időre van szükségük az összes kód megfejtéséhez. Most már csak elszigetelhetjük magunkat fontos információ(ha különösen fontosak) egy külön adathordozóra várva a dokumentumok visszafejtésére képes segédprogram kiadását. Az operációs rendszer újratelepítése javasolt.

Neitrino

A Neitrino ransomware 2015-ben jelent meg az interneten. A támadás elve alapján hasonló a kategória többi vírusához. Megváltoztatja a mappák és fájlok nevét a "Neitrino" vagy a "Neutrino" hozzáadásával. A vírust nehéz megfejteni - a víruskereső cégek korántsem minden képviselője vállalja ezt, egy nagyon összetett kódra hivatkozva. Egy árnyékmásolat visszaállítása segíthet néhány felhasználónak. Ehhez kattintson a gombra Jobb klikk kattintson a titkosított dokumentumra, lépjen a "Tulajdonságok" fülre, a "Korábbi verziók" fülre, kattintson a "Visszaállítás" gombra. Nem lenne felesleges használni ingyenes segédprogram a Kaspersky Lab-tól.

Pénztárca vagy .pénztárca.

A Wallet titkosító vírus 2016 végén jelent meg. A fertőzési folyamat során az adatok nevét "Név..pénztárca"-ra vagy hasonlóra változtatja. A legtöbb zsarolóvírushoz hasonlóan a hackerek által küldött e-mail mellékleteken keresztül jut be a rendszerbe. Mivel a fenyegetés nemrég jelent meg, a víruskereső programok nem veszik észre. A titkosítás után létrehoz egy dokumentumot, amelyben a csaló megadja a kommunikációhoz szükséges levelet. Jelenleg a víruskereső szoftverfejlesztők dolgoznak a ransomware vírus kódjának visszafejtésén. [e-mail védett] A megtámadott felhasználók csak várhatnak. Ha az adatok fontosak, akkor ajánlott menteni külső meghajtó a rendszer törlésével.

Talány

Enigma ransomware vírus 2016. április végén kezdte megfertőzni az orosz felhasználók számítógépeit. Az AES-RSA titkosítási modellt használja, amely ma a legtöbb ransomware-ben megtalálható. A vírus egy olyan szkript segítségével hatol be a számítógépbe, amelyet a felhasználó maga futtat le úgy, hogy fájlokat nyit meg egy gyanús e-mailből. Még mindig nincs univerzális gyógymód az Enigma rejtjel kezelésére. Azok a felhasználók, akik rendelkeznek víruskereső licenccel, segítséget kérhetnek a fejlesztő hivatalos webhelyén. Egy kis "kiskapukat" is találtak - Windows UAC. Ha a felhasználó a vírusfertőzés során megjelenő ablakban a "Nem" gombra kattint, később árnyékmásolatok segítségével visszaállíthatja az információkat.

Gránit

Új ransomware vírus A Granit 2016 őszén jelent meg az interneten. A fertőzés a következő forgatókönyv szerint történik: a felhasználó elindít egy telepítőt, amely megfertőzi és titkosítja a számítógépen és a csatlakoztatott meghajtókon található összes adatot. A vírus elleni küzdelem nehéz. Az eltávolításhoz használhatja speciális közművek a Kaspersky-től, de a kódot még nem sikerült visszafejteni. Az adatok korábbi verzióinak visszaállítása segíthet. Ezenkívül egy nagy tapasztalattal rendelkező szakember meg tudja fejteni a titkosítást, de a szolgáltatás drága.

Tyson

Nemrég volt látható. Ez a már jól ismert no_more_ransom ransomware kiterjesztése, amelyről honlapunkon tájékozódhat. E-mailből eljut a személyi számítógépekhez. Sok vállalati PC-t megtámadtak. Vírus hoz létre Szöveges dokumentum feloldási utasításokkal, felajánlva „váltságdíjat”. A Tyson ransomware nemrég jelent meg, így még nincs feloldó kulcs. Az információ visszaszerzésének egyetlen módja a visszaküldés előző verziók kivéve, ha vírus távolította el őket. Természetesen kockáztathatsz, ha pénzt utalsz a támadók által megjelölt számlára, de nincs garancia arra, hogy megkapod a jelszót.

Spora

2017 elején számos felhasználó esett áldozatul az új Spora ransomware-nek. Működési elve szerint nem sokban különbözik társaitól, de professzionálisabb teljesítménnyel büszkélkedhet: jobban meg vannak írva a jelszó beszerzési utasítások, szebb a weboldal. Létrehozta a Spora ransomware-t C nyelven, az RSA és az AES kombinációját használja az áldozatok adatainak titkosításához. Általában az aktívan használt számítógépeket támadják meg. számviteli program 1C. Az egyszerű .pdf formátumú számla leple alatt megbúvó vírus elindítására kényszeríti a cég alkalmazottait. Még nem találtak gyógymódot.

1C.Drop.1

Ez az 1C titkosító vírus 2016 nyarán jelent meg, megzavarva számos számviteli osztály munkáját. Kifejezetten használó számítógépekhez tervezték szoftver 1C. Ha egy e-mailben lévő fájlt átjut a számítógépre, a tulajdonos felkéri a program frissítésére. Bármelyik gombot is megnyomja a felhasználó, a vírus elkezdi titkosítani a fájlokat. A Dr.Web szakemberei dolgoznak a visszafejtő eszközökön, de egyelőre nem találtak megoldást. Ez a bonyolult kódnak köszönhető, amely többféle módosításban is lehet. Az 1C.Drop.1 ellen csak a felhasználók ébersége és a fontos dokumentumok rendszeres archiválása jelent védelmet.

da_vinci_code

Egy új zsarolóprogram szokatlan névvel. A vírus 2016 tavaszán jelent meg. A továbbfejlesztett kóddal és az erős titkosítási móddal különbözik elődeitől. A da_vinci_code egy futtatható alkalmazásnak köszönhetően (általában egy e-mailhez csatolva) fertőzi meg a számítógépet, amelyet a felhasználó önállóan indít el. A da Vinci kódoló (da Vinci kód) átmásolja a törzset a rendszerkönyvtárba és a rendszerleíró adatbázisba, biztosítva, hogy a Windows bekapcsolásakor automatikusan elinduljon. Minden áldozat számítógépéhez egyedi azonosító tartozik (segít a jelszó beszerzésében). Az adatok visszafejtése szinte lehetetlen. Fizethet pénzt a támadóknak, de senki nem garantálja, hogy megkapja a jelszót.

[e-mail védett] / [e-mail védett]

Két e-mail cím, amelyek gyakran kísérték a zsarolóvírust 2016-ban. Arra szolgálnak, hogy összekapcsolják az áldozatot a támadóval. A címeket különféle típusú vírusokhoz csatolták: da_vinci_code, no_more_ransom és így tovább. Nagyon nem ajánlott felvenni a kapcsolatot, valamint pénzt utalni a csalóknak. A felhasználók a legtöbb esetben jelszavak nélkül maradnak. Így megmutatja, hogy a támadók ransomware működik, és bevételt termel.

Breaking Bad

2015 elején jelent meg, de csak egy évvel később terjedt el aktívan. A fertőzés elve megegyezik a többi zsarolóvíruséval: fájl telepítése e-mailből, adattitkosítás. A hagyományos antivírusok általában nem veszik észre a Breaking Bad vírust. Egyes kódok nem tudják megkerülni a Windows UAC-t, így a felhasználó továbbra is vissza tudja állítani a dokumentumok korábbi verzióit. A dekódert még egyetlen vírusirtó szoftvert fejlesztő cég sem mutatta be.

XTBL

Nagyon gyakori zsarolóprogram, amely sok felhasználónak okozott gondot. A számítógépre kerülve a vírus percek alatt megváltoztatja a fájl kiterjesztését .xtbl-re. Létrejön egy dokumentum, amelyben a támadó pénzt zsarol ki. Néhány fajta XTBL vírus nem tudja megsemmisíteni a fájlokat a rendszer-helyreállításhoz, ami lehetővé teszi a fontos dokumentumok visszaküldését. Maga a vírus számos programmal eltávolítható, de a dokumentumok visszafejtése nagyon nehéz. Ha licencelt víruskeresővel rendelkezik, vegye igénybe a technikai támogatást a fertőzött adatok mintáinak csatolásával.

Kukaracha

A Kukaracha-rejtjelet 2016 decemberében észlelték. Egy érdekes nevű vírus az RSA-2048 algoritmus segítségével rejti el a felhasználói fájlokat, amely rendkívül ellenálló. A Kaspersky Anti-Virus a Trojan-Ransom.Win32.Scatter.lb néven azonosította. A Kukaracha eltávolítható a számítógépről, hogy más dokumentumok ne fertőződjenek meg. A fertőzötteket azonban ma már szinte lehetetlen visszafejteni (nagyon erős algoritmus).

A ransomware működése

Nagyon sok ransomware létezik, de mindegyik hasonló elven működik.

  1. Rajtaüt Személyi számítógép. Általában az e-mailhez csatolt fájlnak köszönhetően. A telepítést maga a felhasználó kezdeményezi a dokumentum megnyitásával.
  2. Fájlfertőzés. Szinte minden fájltípus titkosított (a vírustól függően). Létrejön egy szöveges dokumentum, amely kapcsolatokat tartalmaz a behatolókkal való kommunikációhoz.
  3. Összes. A felhasználó egyetlen dokumentumhoz sem férhet hozzá.

Gyógyszerek népszerű laboratóriumokból

A zsarolóvírusok széles körben elterjedt használata, amely a felhasználói adatok legveszélyesebb fenyegetése, számos víruskereső labor lendületévé vált. Minden népszerű cég olyan programokkal látja el felhasználóit, amelyek segítenek a ransomware elleni küzdelemben. Emellett sokuk segít a rendszer által védett dokumentumok visszafejtésében.

Kaspersky és titkosító vírusok

Oroszország és a világ egyik leghíresebb víruskereső laboratóriuma kínálja a leghatékonyabb eszközöket a ransomware vírusok elleni küzdelemhez. A ransomware vírus első akadálya az lesz Kaspersky végpont Biztonság 10s legújabb frissítések. A víruskereső egyszerűen nem engedi, hogy a fenyegetés bejusson a számítógépbe (az új verziókat azonban nem lehet leállítani). Az információk visszafejtéséhez a fejlesztő egyszerre több ingyenes segédprogramot is bemutat: XoristDecryptor, RakhniDecryptor és Ransomware Decryptor. Segítenek megtalálni a vírust és kiválasztani a jelszót.

Dr. Web és ransomware

Ez a labor javasolja ezek használatát víruskereső program, fő jellemzője ami a fájl biztonsági mentése volt. A dokumentumok másolatait tartalmazó tárolás is védett a behatolók illetéktelen hozzáférésétől. A licencelt termék tulajdonosai Dr. Web, a segélyhívás funkció elérhető technikai támogatás. Igaz, még a tapasztalt szakemberek sem tudnak mindig ellenállni az ilyen típusú fenyegetéseknek.

ESET Nod 32 és ransomware

Ez a cég sem állt félre, jó védelmet nyújtott felhasználóinak a számítógépbe kerülő vírusok ellen. Ezen kívül a laboratórium a közelmúltban megjelent ingyenes segédprogram aktuális adatbázisokkal - Eset Crysis Decryptor. A fejlesztők azt állítják, hogy még a legújabb zsarolóvírusok elleni küzdelemben is segít.