집 무료 프로그램 새로운 암호화 바이러스가 확산되는 방식. 랜섬웨어 트로이 목마 이후 파일 복원

새로운 암호화 바이러스가 확산되는 방식. 랜섬웨어 트로이 목마 이후 파일 복원

그리고 매년 점점 더 많은 새로운 것들이 ... 더 흥미롭고 흥미 롭습니다. 모든 파일(*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar 등)을 암호화하는 가장 인기 있는 최근 바이러스(Trojan-Ransom.Win32.Rector) .) .d.). 문제는 암호화 유형에 따라 이러한 파일의 암호를 해독하는 것이 극히 어렵고 시간이 많이 소요된다는 점입니다. 암호 해독에는 몇 주, 몇 달 또는 몇 년이 걸릴 수 있습니다. 내 생각에 이 바이러스는 이 순간, 다른 바이러스 중 위험에 처한 정점. 대부분의 사용자가 데이터를 백업하지 않고 파일을 암호화하면 모든 데이터가 손실되기 때문에 가정용 컴퓨터/노트북의 경우 특히 위험합니다. 조직의 경우 이 바이러스가 덜 위험합니다. 백업중요한 데이터는 물론 감염 시 바이러스를 제거한 후 단순히 복원합니다. 나는 이 바이러스를 여러 번 만났고, 어떻게 일어났고 어떻게 되었는지 설명할 것입니다.

내가 파일을 암호화하는 바이러스를 처음 알게 된 것은 2014년 초였습니다. 다른 도시의 관리자가 저에게 연락하여 가장 불쾌한 소식을 전했습니다. - 파일 서버의 모든 파일은 암호화됩니다! 감염은 기본적인 방식으로 발생했습니다. 이해하는 대로 "Act something there.pdf.exe"라는 첨부 파일과 함께 회계 부서에 편지가 왔습니다. 그들은 이것을 열었습니다. EXE 파일그리고 그 과정은... 컴퓨터에 있는 모든 개인 파일을 암호화하고 파일 서버(네트워크 드라이브에 의해 매핑되었습니다). 관리자와 함께 우리는 인터넷에서 정보를 파기 시작했습니다 ... 그 당시에는 해결책이 없었습니다 ... 모두가 그런 바이러스가 있다고 썼고 치료 방법을 알지 못했고 암호를 해독 할 수 없었습니다 파일을 Kaspersky, Dr Web 또는 Nod32로 보내는 것이 도움이 될 것입니다. 바이러스 백신 프로그램(라이센스 있음)을 사용하는 경우에만 보낼 수 있습니다. 우리는 파일을 Dr Web과 Nod32에 보냈고 결과는 0이었습니다. 그들이 Dr Web에서 뭐라고 말했는지 기억나지 않지만 Nod 32에서는 그들은 완전히 침묵했고 나는 그들로부터 어떤 응답도 기다리지 않았습니다. 일반적으로 모든 것이 슬프고 해결책을 찾지 못했고 일부 파일은 백업에서 복원되었습니다.

두 번째 이야기 - 바로 요전날(2014년 10월 중순) 저는 조직에서 바이러스 문제를 해결해 달라는 전화를 받았습니다. 아시다시피 컴퓨터의 모든 파일은 암호화되었습니다. 다음은 그것이 어떻게 생겼는지에 대한 예입니다.

보시다시피 *.AES256 확장자가 각 파일에 추가되었습니다. 각 폴더에는 통신을 위한 연락처가 있는 "Attention_open-me.txt" 파일이 있었습니다.

이러한 파일을 열려고 할 때 암호 해독 비용을 지불하기 위해 바이러스 작성자에게 연락하기 위해 연락처가 있는 프로그램이 열렸습니다. 물론, 그들에게 연락하고 코드 비용도 지불하는 것은 권장하지 않습니다. 재정적으로만 지원하고 암호 해독 키를 받는다는 사실이 아니기 때문입니다.

인터넷에서 다운로드한 프로그램을 설치하는 동안 감염이 발생했습니다. 가장 놀라운 것은 파일이 변경된 것을 알아차렸을 때(아이콘 및 파일 확장자가 변경됨) 아무 것도 하지 않고 계속 작동했는데 그 동안 랜섬웨어가 모든 파일을 계속 암호화했다는 것입니다.

주목!!! 컴퓨터에서 파일 암호화(아이콘 변경, 확장자 변경)를 발견하면 즉시 컴퓨터/노트북을 끄고 다른 장치(다른 컴퓨터/노트북, 휴대폰, 태블릿)에서 솔루션을 찾거나 IT 전문가에게 문의하십시오. 컴퓨터/노트북이 켜져 있는 시간이 길수록 더 많은 파일그는 암호화합니다.

일반적으로 나는 이미 그들을 돕기를 거부하고 싶었지만 인터넷을 서핑하기로 결정했습니다. 아마도이 문제에 대한 해결책이 이미있을 것입니다. 검색 결과 복호화 불가, 안티바이러스 업체(Kaspersky, Dr Web, Nod32)에 파일을 보내야 한다는 정보를 많이 읽었습니다. 감사합니다. 경험담이었습니다.
Kaspersky의 유틸리티인 RectorDecryptor를 발견했습니다. 그리고 보라, 파일이 해독되었다. 자, 우선 먼저...

첫 번째 단계는 랜섬웨어를 차단하는 것입니다. 설치된 Dr Web이 아무 것도 찾지 못했기 때문에 바이러스 백신에서 찾을 수 없습니다. 우선 자동 로드에 들어가 모든 자동 로드를 비활성화했습니다(바이러스 백신 제외). 컴퓨터를 재부팅했습니다. 그런 다음 그는 시작 시 어떤 종류의 파일이 있는지 살펴보기 시작했습니다.

보시다시피 "명령"필드에는 파일이있는 위치가 표시되며 서명이없는 응용 프로그램을 제거하려면 특별한주의가 필요합니다 (제조업체 - 데이터 없음). 일반적으로 아직 명확하지 않은 멀웨어와 파일을 찾아 제거했습니다. 그 후 임시 폴더와 브라우저 캐시를 정리했습니다. 이러한 용도로 프로그램을 사용하는 것이 가장 좋습니다. 씨클리너 .

그런 다음 파일을 해독하기 위해 계속해서 다운로드했습니다. 복호화 프로그램 RectorDecryptor . 시작하고 다소 금욕적인 유틸리티 인터페이스를 보았습니다.

수정된 모든 파일의 확장자를 나타내는 "검사 시작"을 클릭했습니다.

그리고 암호화된 파일을 표시했습니다. 최신 버전의 RectorDecryptor에서는 암호화된 파일을 간단히 지정할 수 있습니다. "열기" 버튼을 클릭합니다.

타다아아아!!! 기적이 일어났고 파일이 해독되었습니다.

그 후 유틸리티는 연결된 모든 컴퓨터 파일 + 파일을 자동으로 확인합니다. 네트워크 드라이브그리고 그것들을 해독합니다. 암호 해독 프로세스는 암호화된 파일 수와 컴퓨터 속도에 따라 몇 시간이 걸릴 수 있습니다.

결과적으로 모든 암호화된 파일은 원래 있던 동일한 디렉터리로 성공적으로 해독되었습니다.

확장자가 .AES256인 모든 파일을 삭제해야 합니다. RectorDecryptor 창에서 "확인 설정 변경"을 클릭한 경우 "복호화 성공 후 암호화된 파일 삭제" 확인란을 선택하면 됩니다.

그러나 파일의 암호 해독에 실패한 경우 파일이 삭제되고 다시 암호 해독을 시도하려면 파일을 시작해야 하므로 이 상자를 선택하지 않는 것이 좋습니다. 재건하다 .

암호화된 모든 파일을 삭제하려고 할 때 표준 검색및 제거, 나는 정지와 극도로 느린 컴퓨터 성능을 발견했습니다.

따라서 제거하려면 명령줄을 사용하여 실행하고 작성하는 것이 가장 좋습니다. 델"<диск>:\*.<расширение зашифрованного файла>"/f/s. 제 경우에는 del "d:\*.AES256" /f /s입니다.

이를 위해 "Attention_open-me.txt" 파일을 삭제하는 것을 잊지 마십시오. 명령줄명령을 사용 델"<диск>:\*.<имя файла>"/f/s,예를 들어
델 "d:\Attention_open-me.txt" /f /s

따라서 바이러스를 물리치고 파일을 복원했습니다. 나는 당신에게 경고하고 싶습니다 이 방법모든 사람을 돕지는 않겠지만 이 유틸리티의 Kapersky는 해독을 위해 알려진 모든 키(바이러스에 감염된 사람들이 보낸 파일에서)를 수집하고 키를 선택하고 무차별 대입으로 해독합니다. 저것들. 파일이 아직 알려지지 않은 키로 바이러스에 의해 암호화된 경우 이 방법은 도움이 되지 않습니다... 감염된 파일을 해독하려면 Kaspersky, Dr Web 또는 Nod32와 같은 안티바이러스 회사에 보내야 합니다.

이러한 바이러스는 약간 다를 수 있지만 일반적으로 작업은 항상 동일합니다.

컴퓨터에 설치;
적어도 일부 가치가 있을 수 있는 모든 파일(문서, 사진)을 암호화합니다.
이러한 파일을 열려고 할 때 공격자의 지갑이나 계정에 일정 금액을 예치하도록 사용자에게 요구하십시오. 그렇지 않으면 콘텐츠에 대한 액세스가 열리지 않습니다.

xtbl의 바이러스 암호화 파일

현재 바이러스는 파일을 암호화하고 확장자를 .xtbl로 변경할 수 있을 뿐만 아니라 이름을 완전히 임의의 문자로 바꿀 수 있는 매우 널리 퍼졌습니다.

또한 눈에 잘 띄는 곳에 생성 특수 파일지시와 함께 readme.txt. 그것에서 공격자는 모든 중요한 데이터가 암호화되어 이제 쉽게 열 수 없다는 사실을 사용자에게 알리고 모든 것을 이전 상태로 되돌리려면 특정 작업을 수행해야 한다고 덧붙입니다. 사기꾼에게 돈을 이체하는 것과 관련하여(일반적으로 그 전에 제안된 주소 중 하나로 특정 코드를 보내야 합니다. 이메일). 종종 이러한 메시지에는 모든 파일을 직접 해독하려고 하면 파일을 영원히 잃을 위험이 있다는 메모가 추가됩니다.

불행히도 현재 공식적으로 아무도 .xtbl을 해독할 수 없었습니다. 작업 방법이 나타나면 기사에서 이에 대해 확실히 보고할 것입니다. 사용자 중에는 이 바이러스와 유사한 경험을 한 사람들이 있으며 사기꾼에게 필요한 금액을 지불하고 문서의 암호 해독을 대가로 받습니다. 그러나 이것은 매우 위험한 단계입니다. 공격자 중에는 약속된 암호 해독에 특별히 신경 쓰지 않는 사람들이 있기 때문에 결국에는 돈이 낭비될 것이기 때문입니다.

그러면 어떻게 해야 합니까? 우리는 모든 데이터를 되돌리는 데 도움이 되는 몇 가지 팁을 제공하고 동시에 사기꾼에게 이끌려 돈을 주지 않을 것입니다. 따라서 수행해야 할 작업:

작업 관리자에서 작업하는 방법을 알고 있다면 의심스러운 프로세스를 중지하여 즉시 파일 암호화를 중단하십시오. 동시에 인터넷에서 컴퓨터의 연결을 끊습니다. 많은 랜섬웨어는 네트워크 연결이 필요합니다.
종이 한 장을 가지고 공격자에게 메일을 보내기 위해 제안된 코드를 적어 두십시오(기록할 파일도 읽을 수 없게 될 수 있기 때문에 종이 한 장).
도움으로 안티바이러스 도구 Malwarebytes 맬웨어 방지, 시험용 안티바이러스 Kaspersky IS 또는 CureIt, 제거 멀웨어. 신뢰성을 높이려면 제안된 모든 수단을 일관되게 사용하는 것이 좋습니다. 시스템에 이미 하나의 기본 바이러스 백신이 있는 경우 Kaspersky Anti-Virus를 설치할 수 없지만 그렇지 않으면 소프트웨어 충돌이 발생할 수 있습니다. 다른 모든 유틸리티는 어떤 상황에서도 사용할 수 있습니다.
안티바이러스 회사 중 하나가 이러한 파일에 대해 작동하는 암호 해독기를 개발할 때까지 기다리십시오. Kaspersky Lab은 가장 빠르게 대처합니다.
또한 다음 주소로 보낼 수 있습니다. [이메일 보호됨]필수 코드로 암호화된 파일의 사본과 원본 형식의 동일한 파일(있는 경우). 이것은 파일 암호 해독 방법의 개발 속도를 높일 수 있습니다.

어떤 경우에도 하지 마십시오:

이 문서의 이름 바꾸기
확장자 변경
파일 삭제.

이 트로이 목마는 또한 사용자의 파일을 암호화한 다음 이를 갈취합니다. 동시에 암호화된 파일의 확장자는 다음과 같습니다.

.잠김
.crypto
.크라켄
.AES256(반드시 이 트로이 목마가 아니라 동일한 확장을 설치하는 다른 트로이 목마가 있음).
[이메일 보호됨] _com
.oshit
다른 사람.

다행히도 특별한 암호 해독 유틸리티가 이미 만들어졌습니다. RakhniDecryptor. 공식 사이트에서 다운로드할 수 있습니다.

같은 사이트에서 이 유틸리티를 사용하여 트로이 목마가 작업한 모든 파일을 해독하는 방법을 상세하고 명확하게 보여주는 지침을 찾을 수 있습니다. 원칙적으로 신뢰성을 높이기 위해 암호화된 파일을 삭제하는 항목은 제외하는 것이 좋습니다. 그러나 대부분의 경우 개발자는 유틸리티를 잘 만들었고 데이터 무결성을 위협하는 것은 없습니다.

라이센스가 있는 Dr.Web 안티바이러스를 사용하는 사람들은 무료 액세스개발자의 암호 해독 http://support.drweb.com/new/free_unlocker/.

다른 유형의 랜섬웨어 바이러스

때로는 중요한 파일을 암호화하고 모든 것을 원래 형태로 되돌리는 대가를 요구하는 다른 바이러스도 발견될 수 있습니다. 우리는 가장 일반적인 바이러스의 결과를 처리하는 유틸리티가 포함된 작은 목록을 제공합니다. 여기에서 하나 또는 다른 트로이 목마 프로그램을 구별할 수 있는 주요 기능에 대해 알 수 있습니다.

게다가, 좋은 방법으로침입자를 감지하고 이름을 지정하는 Kaspersky 바이러스 백신으로 PC를 검사합니다. 이 이름으로 이미 디코더를 검색할 수 있습니다.

Trojan-Ransom.Win32.Rector- SMS를 보내거나 이러한 종류의 다른 작업을 수행해야 하는 전형적인 강탈 인코더, 우리는 이 링크에서 암호 해독기를 가져옵니다.
Trojan-Ransom.Win32.Xorist- 이전 트로이 목마의 변형으로 사용 설명서와 함께 암호 해독기를 얻을 수 있습니다.
Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury-이 사람들을 위해 특별한 유틸리티도 있습니다.

오늘날 바이러스 자체는 누구에게도 거의 놀라운 일이 아닙니다. 이전에 전체 시스템에 영향을 미쳤다면 오늘날에는 다양한 유형의 바이러스가 있습니다. 이러한 변종 중 하나가 랜섬웨어 바이러스입니다. 침투 위협의 효과는 더 많은 사용자 정보와 관련이 있습니다. 그러나 파괴적인 실행 파일과 스파이 애플릿보다 더 위험할 수 있습니다. 암호화 바이러스란 무엇입니까? 자체 복제 바이러스로 작성된 코드 자체는 영향을 미치지 않는 특수 암호화 알고리즘으로 모든 사용자 정보를 암호화합니다. 시스템 파일운영 체제 자체.

바이러스의 영향에 대한 논리는 모든 사람에게 명확하지 않을 수 있습니다. 이 애플릿을 개발한 해커가 파일의 원래 구조를 복원하기 위해 일정 금액을 요구하기 시작했을 때 모든 것이 분명해졌습니다. 동시에, 시스템에 침입한 랜섬웨어는 파일의 암호 해독을 허용하지 않습니다. 이를 위해서는 특수 디코더, 즉 콘텐츠를 복원할 수 있는 특수 알고리즘이 필요합니다.

랜섬웨어: 시스템 침투의 원리와 바이러스의 작동

인터넷에서 그러한 감염을 발견하는 것은 일반적으로 매우 어렵습니다. 주로 주어진 유형바이러스는 다음과 같이 하나의 컴퓨터 터미널에 설치된 클라이언트 수준에서 전자 메일로 전송됩니다. 박쥐, 아웃룩, 썬더버드. 이것은 인터넷 메일 서버에 적용되지 않는다는 점에 즉시 유의해야 합니다. 높은 학위보호. 사용자 정보에 대한 액세스는 해당 수준에서만 수행됩니다. 클라우드 스토리지정보. 특정 컴퓨터 터미널의 응용 프로그램은 완전히 다른 문제입니다.

바이러스의 개발 활동 분야는 상상하기 어려울 정도로 광범위합니다. 그러나 여기서 약간의 주의가 필요합니다. 대부분의 경우 바이러스는 개인 정보를 해독하기 위해 상당한 금액을 지불할 수 있는 대규모 조직 및 회사를 대상으로 합니다. 컴퓨터 회사의 컴퓨터 단말과 서버가 저장하기 때문에 명확합니다. 기밀 정보및 파일 단일 사본어떤 경우에도 삭제되어서는 안 됩니다. 이 경우 랜섬웨어 바이러스 활동 후 파일을 복호화하는 것은 상당히 문제가 될 수 있습니다. 물론 일반 사용자도 이러한 공격을 받을 수 있지만 그럴 가능성은 거의 없습니다. 특히 사용자가 알 수 없는 유형의 첨부 파일 작업에 대한 가장 간단한 권장 사항을 따르는 경우에는 더욱 그렇습니다.

설사 메일 클라이언트예를 들어 확장자가 .jpg 또는 기타 그래픽 확장자를 가진 파일로 첨부 파일을 감지하는 경우 먼저 확인하는 것이 가장 좋습니다. 주어진 파일시스템에서 사용되는 표준 바이러스 백신. 이렇게 하지 않으면 첨부파일을 더블클릭하여 연 후 코드의 활성화가 시작되고 암호화 과정이 시작될 수 있습니다. 그 후에는 랜섬웨어 자체를 제거하고 위협이 제거된 후 파일을 복원하는 것이 불가능합니다.

랜섬웨어 바이러스 노출의 일반적인 결과

앞서 언급했듯이 대부분의 바이러스는 전자 메일을 통해 시스템에 침입합니다. 큰 조직에서 "계약이 변경되었습니다. 스캔본이 편지에 첨부되어 있습니다." 또는 "상품 선적에 대한 송장이 발송되었습니다."와 같은 내용의 편지를 받았다고 가정해 보겠습니다. 회사의 순진한 직원이 첨부 파일을 열기만 하면 모든 사용자 파일이 즉시 암호화됩니다. 사무실 문서에서 아카이브 및 멀티미디어에 이르기까지 모두 파일입니다. 중요한 데이터는 모두 암호화되어 있으며, 컴퓨터 단말기가 연결된 경우 지역 네트워크, 그러면 다른 시스템의 데이터를 암호화하는 동안 바이러스가 더 많이 전송될 수 있습니다.

이 프로세스의 실행은 현재 컴퓨터 터미널에서 실행 중인 프로그램의 속도 저하 및 정지로 볼 수 있습니다. 암호화 프로세스가 완료되면 바이러스는 일종의 보고서를 보낸 후 조직은 위협이 시스템에 진입했다는 메시지를 받게 되며 파일을 해독하려면 바이러스 개발자에게 문의해야 합니다. 일반적으로 이것은 바이러스에 적용됩니다. [이메일 보호됨]다음으로 복호화 서비스에 대한 지불 요구 사항이 제공됩니다. 사용자에게 가짜일 가능성이 가장 높은 이메일에 일부 암호화된 파일을 보내라는 메시지가 표시됩니다.

바이러스 노출로 인한 피해

문제의 본질을 아직 완전히 이해하지 못했다면 암호화 바이러스의 조치 후 파일을 해독하는 것은 다소 힘든 과정이라는 점에 유의해야 합니다. 사용자가 공격자의 요구 사항을 따르지 않고 대신 상태 구조를 사용하여 컴퓨터 범죄에 대처하려고 시도하면 합리적인 조치가 나오지 않습니다. 컴퓨터에서 모든 데이터를 삭제하려고 시도한 다음 시스템 복원을 수행하고 이동식 미디어에서 원본 정보를 복사하면 모든 정보가 여전히 다시 암호화됩니다. 그러니 이것에 너무 집착하지 마십시오. 또한 플래시 드라이브를 삽입할 때 USB 포트사용자는 바이러스가 모든 데이터를 암호화한다는 사실조차 알지 못합니다. 그러면 더 많은 문제가 생길 것입니다.

최초의 랜섬웨어 바이러스

최초의 암호화 바이러스가 무엇인지 생각해 보십시오. 등장 당시에는 이메일 첨부 파일에 포함된 실행 코드에 노출된 후 파일을 치료하거나 해독하는 것이 가능하다고 생각한 사람은 아무도 없었습니다. 시간이 지나서야 재난의 규모를 실감하게 되었습니다. 최초의 랜섬웨어 바이러스는 다소 낭만적인 이름이 "I Love You"였습니다. 아무 의심도 하지 않은 사용자는 이메일로 온 편지에 있는 첨부파일을 열기만 하면 완전히 재생되지 않는 멀티미디어 파일(동영상, 그래픽, 오디오)을 받았다. 그러한 행동은 더 파괴적으로 보이지만 그 당시에는 누구도 데이터를 해독하기 위해 돈을 요구하지 않았습니다.

최신 수정 사항

특히 대기업의 많은 리더들이 돈 없이 남을 수 있다는 사실조차 생각하지 않고 공격자에게 필요한 금액을 최대한 빨리 지불하기 위해 서두르고 있다는 사실을 고려할 때 기술의 진화는 상당히 유리한 비즈니스가 되었습니다. 그리고 없이 필요한 정보. "필요한 금액을 지불하고 암호 해독기를 보냈고 모든 정보가 복원되었습니다"와 같은 인터넷상의 이러한 모든 좌파 게시물을 믿지 마십시오. 이 모든 것은 넌센스입니다. 기본적으로 이러한 리뷰는 잠재적인 희생자를 유치하기 위해 바이러스 개발자가 직접 작성합니다. 일반 사용자의 기준으로 볼 때 공격자가 데이터를 복호화하기 위해 요구하는 금액은 상당히 큽니다. 수천 달러 또는 유로에 이를 수 있습니다. 이제 기능을 살펴보자 최신 바이러스이 유형의. 모두 서로 유사하며 랜섬웨어 바이러스 범주에 속할 뿐만 아니라 소위 랜섬웨어 범주에 속할 수도 있습니다. 어떤 경우에는 조직이나 사용자 정보의 안전을 누군가가 관리하기를 원한다는 메시지를 사용자에게 전송하여 매우 올바르게 작동합니다. 이러한 랜섬웨어 바이러스는 메시지를 통해 사용자를 오도할 뿐입니다. 다만, 이용자가 소정의 금액을 지불하면 단순히 "이혼"됩니다.

XTBL 바이러스

비교적 최근에 등장한 XTBL 바이러스는 고전적인 버전의 랜섬웨어 바이러스에 기인할 수 있습니다. 이러한 개체는 일반적으로 전자 메일로 전송되는 메시지를 통해 시스템에 침투합니다. 메시지에는 확장자가 .scr인 첨부 파일이 포함될 수 있습니다. 이 확장 Windows 화면 보호기의 표준입니다. 사용자는 모든 것이 정상이라고 생각하고 보기를 활성화하거나 이 첨부 파일을 저장합니다. 이 작업은 다소 불행한 결과를 초래할 수 있습니다. 파일 이름은 간단한 문자 집합으로 변환됩니다. .xtbl 조합이 기본 파일 확장자에 추가됩니다. 이후 일정 금액을 지불한 후 복호화 가능성에 대한 메시지를 원하는 주소로 전송합니다.

이 유형의 바이러스는 고전적인 랜섬웨어로도 분류될 수 있습니다. 이메일 첨부 파일을 연 후 시스템에 나타납니다. 이 바이러스또한 사용자 파일의 이름을 바꾸고 확장자 끝에 .perfect 및 .nonchance와 같은 조합을 추가합니다. 불행히도 이러한 유형의 암호화 바이러스는 해독할 수 없습니다. 모든 단계를 완료하면 단순히 자체 파괴됩니다. RectorDecryptor와 같은 범용 도구도 도움이 되지 않습니다. 사용자는 지불을 요구하는 이메일을 받습니다. 사용자는 이틀 동안 지불해야 합니다.

속보_나쁜 바이러스

이러한 유형의 위협은 이미 친숙한 패턴에 따라 작동합니다. 확장자에 .breaking_bad 조합을 추가하여 사용자 파일의 이름을 바꿉니다. 그러나 문제는 이것에 국한되지 않습니다. 다른 랜섬웨어와 달리 이 바이러스는 또 다른 .Heisenberg 확장자를 생성할 수 있습니다. 따라서 모든 감염된 파일을 찾는 것은 매우 어렵습니다. Breaking_Bad 바이러스는 다소 심각한 위협이라고 말할 가치가 있습니다. 라이센스가 있는 바이러스 백신 프로그램인 Kaspersky_Endpoint Security도 이러한 위협을 놓치는 경우가 있습니다.

바이러스 [이메일 보호됨]

바이러스 [이메일 보호됨]주로 대규모 상업 조직을 대상으로 하는 또 다른 심각한 위협입니다. 일반적으로 회사의 일부 부서에서는 .jpg 또는 .js 파일이 포함된 이메일을 받습니다. 어떻게 이런 종류의 바이러스를 해독할 수 있습니까? RSA-1024 알고리즘이 거기에 사용된다는 사실로 판단하면 절대 안됩니다. 알고리즘 이름을 기반으로 1024비트 암호화 시스템을 사용한다고 가정할 수 있습니다. 현재까지 256비트 시스템이 가장 발전된 것으로 간주됩니다.

랜섬웨어 바이러스: 안티바이러스 소프트웨어가 파일을 해독할 수 있습니까?

이러한 위협 행위 이후에 파일을 해독할 수 있는 방법은 아직 발견되지 않았습니다. 그런 현장에서 인정받는 마스터들조차 바이러스 백신 보호, Dr Web, Kaspersky, Eset이 문제 해결의 열쇠를 찾을 수 없기 때문입니다. 이 경우 파일을 치료하는 방법은 무엇입니까? 일반적으로 사용자는 바이러스 백신 프로그램 개발자의 웹 사이트에 공식 요청을 보내라는 메시지가 표시됩니다. 이 경우 여러 개의 암호화된 파일과 원본을 첨부해야 합니다(있는 경우). 오늘날 저장하는 사용자는 거의 없습니다. 이동식 미디어데이터 사본. 그들의 부재 문제는 이미 불쾌한 상황을 악화시킬 수 있습니다.

위협 수동 제거: 가능한 방법

어떤 경우에는 기존 안티바이러스 프로그램을 사용하여 스캔하면 이러한 악성 개체를 식별하고 이러한 위협을 제거할 수도 있습니다. 하지만 암호화된 정보는 어떻게 해야 할까요? 일부 사용자는 암호 해독 프로그램을 사용하려고 합니다. 이러한 행동이 좋은 결과로 이어지지 않는다는 사실을 즉시 알아차려야 합니다. Breaking_Bad 바이러스의 경우 이것은 해로울 수도 있습니다. 사실 그러한 바이러스를 만드는 공격자는 자신을 보호하고 다른 사람들에게 교훈을 주려고 합니다. 암호 해독 유틸리티를 사용할 때 바이러스는 전체 운영 체제가 충돌하는 방식으로 반응하는 동시에 논리 파티션과 하드 드라이브에 저장된 모든 정보를 완전히 파괴할 수 있습니다. 공식 안티 바이러스 연구소에만 희망이 있습니다.

급진적 인 방법

상황이 정말 나쁘면 포맷할 수 있습니다. HDD, 가상 파티션을 포함한 다음 다시 설치 운영 체제. 불행히도 다른 탈출구가 없습니다. 시스템을 특정 복원 지점으로 롤백해도 상황을 해결하는 데 도움이 되지 않습니다. 결과적으로 바이러스는 사라질 수 있지만 파일은 여전히 암호화된 상태로 유지됩니다.

현대 기술을 통해 해커는 사기 행위와 관련하여 지속적으로 개선할 수 있습니다. 일반 사용자. 일반적으로 컴퓨터에 침투하는 바이러스 소프트웨어는 이러한 목적으로 사용됩니다. 암호화 바이러스는 특히 위험한 것으로 간주됩니다. 위협은 바이러스가 매우 빠르게 확산되어 파일을 암호화한다는 사실에 있습니다(사용자는 문서를 열 수 없습니다). 그리고 그것이 아주 간단하다면 데이터를 해독하는 것이 훨씬 더 어렵습니다.

바이러스가 컴퓨터의 파일을 암호화한 경우 수행할 작업

모든 사람이 랜섬웨어의 공격을 받을 수 있으며 강력한 바이러스 백신 소프트웨어를 보유한 사용자도 보험에 가입할 수 없습니다. 파일 암호화 트로이 목마는 바이러스 백신의 능력을 넘어서는 다른 코드로 표시됩니다. 해커는 정보 보호에 필요한 조치를 취하지 않은 대기업을 이런 방식으로 공격하기도 합니다. 따라서 온라인에서 랜섬웨어 프로그램을 "선택"한 후에는 여러 가지 조치를 취해야 합니다.

감염의 주요 징후는 컴퓨터의 느린 작동과 문서 이름의 변경입니다(바탕 화면에서 볼 수 있음).

암호화를 중지하려면 컴퓨터를 다시 시작하십시오. 활성화된 경우 알 수 없는 프로그램의 실행을 확인하지 마십시오.
랜섬웨어의 공격을 받지 않은 바이러스 백신을 실행합니다.
경우에 따라 섀도 복사본이 정보를 복원하는 데 도움이 됩니다. 그것들을 찾으려면 암호화된 문서의 "속성"을 여십시오. 이 방법은 포털에 대한 정보가 있는 Vault 확장의 암호화된 데이터와 함께 작동합니다.
유틸리티 다운로드 최신 버전랜섬웨어 바이러스 퇴치. 가장 효과적인 것은 Kaspersky Lab에서 제공합니다.

2016년 암호화 바이러스: 예

바이러스 공격과 싸울 때 코드가 매우 자주 변경되고 보완된다는 점을 이해하는 것이 중요합니다. 새로운 보호바이러스 백신에서. 물론 보호 프로그램은 개발자가 데이터베이스를 업데이트할 때까지 시간이 필요합니다. 우리는 최근 가장 위험한 암호화 바이러스를 선택했습니다.

이슈타르 랜섬웨어

이슈타르는 사용자로부터 금품을 갈취하는 랜섬웨어입니다. 이 바이러스는 2016년 가을에 발견되어 러시아 및 기타 여러 국가의 수많은 사용자 컴퓨터를 감염시켰습니다. 첨부 문서(설치자, 문서 등)가 포함된 이메일 배포를 통해 배포됩니다. Ishtar 랜섬웨어에 감염된 데이터는 이름에 "ISHTAR"라는 접두사가 붙습니다. 이 프로세스는 암호를 얻기 위해 어디로 가야 하는지를 나타내는 테스트 문서를 생성합니다. 공격자는 3,000~15,000루블을 요구합니다.

Ishtar 바이러스의 위험은 오늘날 사용자에게 도움이 되는 해독기가 없다는 것입니다. 바이러스 백신 소프트웨어 회사는 모든 코드를 해독하는 데 시간이 필요합니다. 이제 우리는 격리 할 수 있습니다 중요한 정보(특히 중요한 경우) 문서를 해독할 수 있는 유틸리티의 릴리스를 기다리는 별도의 매체에 저장합니다. 운영 체제를 다시 설치하는 것이 좋습니다.

네이트리노

Neitrino 랜섬웨어는 2015년 인터넷에 등장했습니다. 공격 원칙에 따라 이 범주의 다른 바이러스와 유사합니다. "Neitrino" 또는 "Neutrino"를 추가하여 폴더 및 파일의 이름을 변경합니다. 바이러스는 해독하기 어렵습니다. 바이러스 백신 회사의 모든 대표자가 매우 복잡한 코드를 참조하여 이것을 수행하는 것과는 거리가 멀습니다. 섀도 복사본을 복원하면 일부 사용자에게 도움이 될 수 있습니다. 이렇게 하려면 마우스 오른쪽 버튼으로 클릭암호화된 문서를 클릭하고 "속성"으로 이동한 다음 "이전 버전" 탭에서 "복원"을 클릭합니다. 사용하는 것은 불필요하지 않을 것입니다 무료 유틸리티카스퍼스키 랩에서.

지갑 또는 .wallet.

월렛 암호화 바이러스는 2016년 말에 나타났습니다. 감염 과정에서 데이터 이름을 "Name..wallet" 또는 이와 유사한 이름으로 변경합니다. 대부분의 랜섬웨어 바이러스와 마찬가지로 해커가 보낸 이메일 첨부 파일을 통해 시스템에 침입합니다. 위협이 아주 최근에 나타났기 때문에 바이러스 백신 프로그램은 이를 알아차리지 못합니다. 암호화 후 사기범이 통신용 메일을 지정하는 문서를 생성합니다. 현재 안티바이러스 소프트웨어 개발자는 랜섬웨어 바이러스의 코드를 해독하는 작업을 하고 있습니다. [이메일 보호됨]공격을 받은 사용자는 기다릴 수만 있습니다. 데이터가 중요한 경우 다음 위치에 저장하는 것이 좋습니다. 외장 드라이브시스템을 클리어함으로써.

수수께끼

에니그마 랜섬웨어 바이러스 2016년 4월 말에 러시아 사용자의 컴퓨터를 감염시키기 시작했습니다. 오늘날 대부분의 랜섬웨어에서 볼 수 있는 AES-RSA 암호화 모델을 사용합니다. 이 바이러스는 의심스러운 이메일에서 파일을 열어 사용자가 직접 실행하는 스크립트를 사용하여 컴퓨터에 침투합니다. 에니그마 암호를 다루는 보편적인 치료법은 아직 없습니다. 바이러스 백신 라이선스가 있는 사용자는 개발자의 공식 웹사이트에서 도움을 요청할 수 있습니다. 작은 "허점"도 발견되었습니다 - Windows UAC. 사용자가 바이러스 감염 시 나타나는 창에서 "아니오"를 클릭하면 나중에 섀도 복사본을 사용하여 정보를 복원할 수 있습니다.

화강암

신종 랜섬웨어 바이러스 Granit은 2016년 가을에 웹에 등장했습니다. 감염은 다음 시나리오에 따라 발생합니다. 사용자는 PC와 연결된 드라이브의 모든 데이터를 감염시키고 암호화하는 설치 프로그램을 실행합니다. 바이러스와 싸우는 것은 어렵습니다. 제거하려면 다음을 사용할 수 있습니다. 특수 유틸리티 Kaspersky에서 제공하지만 코드가 아직 해독되지 않았습니다. 데이터의 이전 버전을 복원하면 도움이 될 수 있습니다. 또한 풍부한 경험을 가진 전문가가 암호를 해독할 수 있지만 서비스 비용이 비쌉니다.

타이슨

최근에 본. 이는 이미 잘 알려진 no_more_ransom 랜섬웨어의 확장이며 당사 웹사이트에서 자세히 알아볼 수 있습니다. 전자 메일에서 개인용 컴퓨터로 이동합니다. 많은 기업 PC가 공격을 받았습니다. 바이러스 생성 텍스트 문서잠금 해제 지침과 함께 "몸값"을 지불하겠다고 제안합니다. 최근 타이슨 랜섬웨어가 등장하여 아직 잠금해제 키가 없습니다. 정보를 복구하는 유일한 방법은 이전 버전바이러스에 의해 제거되지 않는 한. 물론 공격자가 지정한 계정으로 돈을 이체하여 위험을 감수할 수 있지만 암호를 받는다는 보장은 없습니다.

스포라

2017년 초, 많은 사용자가 새로운 Spora 랜섬웨어의 희생자가 되었습니다. 작동 원칙에 따라 해당 제품과 크게 다르지 않지만보다 전문적인 성능을 자랑합니다. 암호를 얻는 지침이 더 좋고 웹 사이트가 더 예뻐 보입니다. C 언어로 생성된 Spora 랜섬웨어는 RSA와 AES의 조합을 사용하여 피해자 데이터를 암호화합니다. 일반적으로 활발히 사용되는 컴퓨터가 공격을 받습니다. 회계 프로그램 1C. .pdf 형식의 간단한 인보이스로 위장한 이 바이러스는 회사 직원이 이를 실행하도록 합니다. 아직 치료법이 발견되지 않았습니다.

1C.드롭.1

이 1C용 암호화 바이러스는 2016년 여름에 나타나 많은 회계 부서의 업무를 방해했습니다. 다음을 사용하는 컴퓨터를 위해 특별히 설계되었습니다. 소프트웨어 1C. 이메일의 파일을 통해 PC로 전송하면 소유자에게 프로그램을 업데이트하라는 메시지가 표시됩니다. 사용자가 어떤 버튼을 누르든 바이러스는 파일 암호화를 시작합니다. Dr.Web 전문가들이 암호 해독 도구를 연구하고 있지만 아직까지 해결책을 찾지 못했습니다. 이것은 여러 수정이 있을 수 있는 복잡한 코드 때문입니다. 1C.Drop.1에 대한 유일한 보호는 사용자의 경계와 중요한 문서의 정기적인 보관입니다.

da_vinci_code

특이한 이름을 가진 새로운 랜섬웨어. 이 바이러스는 2016년 봄에 나타났습니다. 개선된 코드와 강력한 암호화 모드에서 이전 버전과 다릅니다. da_vinci_code는 사용자가 독립적으로 실행하는 실행 가능한 애플리케이션(보통 이메일에 첨부됨) 덕분에 컴퓨터를 감염시킵니다. da Vinci coder(da vinci code)는 본체를 시스템 디렉토리 및 레지스트리에 복사하여 Windows가 켜질 때 자동으로 시작되도록 합니다. 각 피해자의 컴퓨터에는 고유한 ID가 할당됩니다(비밀번호를 얻는 데 도움이 됨). 데이터를 해독하는 것은 거의 불가능합니다. 공격자에게 돈을 지불할 수 있지만 아무도 암호를 받을 것이라고 보장하지 않습니다.

[이메일 보호됨] / [이메일 보호됨]

2016년에 종종 랜섬웨어를 동반한 두 개의 이메일 주소. 피해자와 공격자를 연결하는 역할을 합니다. 주소는 da_vinci_code, no_more_ransom 등 다양한 유형의 바이러스에 첨부되었습니다. 사기꾼에게 연락하거나 돈을 송금하지 않는 것이 좋습니다. 대부분의 경우 사용자는 암호 없이 남아 있습니다. 따라서 공격자 랜섬웨어가 작동하여 수익을 창출함을 보여줍니다.

속보

2015년 초 등장했지만 1년여 만에 활발히 확산됐다. 감염 원리는 다른 랜섬웨어와 동일합니다: 이메일에서 파일 설치, 데이터 암호화. 기존의 바이러스 백신은 일반적으로 Breaking Bad 바이러스를 인식하지 못합니다. 일부 코드는 Windows UAC를 우회할 수 없으므로 사용자는 여전히 이전 버전의 문서를 복원할 수 있습니다. 디코더는 바이러스 백신 소프트웨어를 개발하는 회사에서 아직 제공하지 않았습니다.

XTBL

많은 사용자에게 문제를 일으킨 매우 흔한 랜섬웨어. PC에서 바이러스는 파일 확장자를 몇 분 만에 .xtbl로 변경합니다. 공격자가 돈을 갈취하는 문서가 생성됩니다. 일부 품종 XTBL 바이러스중요한 문서를 반환할 수 있는 시스템 복구를 위해 파일을 파괴할 수 없습니다. 바이러스 자체는 많은 프로그램에서 제거할 수 있지만 문서를 해독하는 것은 매우 어렵습니다. 라이센스가 있는 바이러스 백신을 소유하고 있다면 감염된 데이터의 샘플을 첨부하여 기술 지원을 이용하십시오.

쿠카라차

쿠카라차 암호는 2016년 12월에 발견되었습니다. 흥미로운 이름을 가진 바이러스는 저항성이 높은 RSA-2048 알고리즘을 사용하여 사용자 파일을 숨깁니다. Kaspersky Anti-Virus는 이를 Trojan-Ransom.Win32.Scatter.lb로 식별했습니다. 다른 문서가 감염되지 않도록 컴퓨터에서 Kukaracha를 제거할 수 있습니다. 그러나 감염된 것들은 오늘날 해독이 거의 불가능합니다(매우 강력한 알고리즘).

랜섬웨어 작동 방식

수많은 랜섬웨어가 있지만 모두 비슷한 원리로 작동합니다.

에 명중 개인용 컴퓨터. 원칙적으로 이메일에 첨부된 파일 덕분입니다. 문서를 열어 사용자가 직접 설치를 시작합니다.
파일 감염. 거의 모든 유형의 파일이 암호화됩니다(바이러스에 따라 다름). 침입자와의 통신을 위한 연락처가 포함된 텍스트 문서가 생성됩니다.
모두. 사용자는 문서에 액세스할 수 없습니다.

단지에 대해. 프로그램들. 철. 인터넷. 창