I z roku na rok pojawia się coraz więcej nowych… ciekawszych i ciekawszych. Najpopularniejszy najnowszy wirus (Trojan-Ransom.Win32.Rector), który szyfruje wszystkie twoje pliki (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar itp. .) .d.). Problem polega na tym, że odszyfrowanie takich plików jest niezwykle trudne i czasochłonne, w zależności od rodzaju szyfrowania odszyfrowanie może zająć tygodnie, miesiące, a nawet lata. Moim zdaniem ten wirus jest ten moment, apogeum zagrożone wśród innych wirusów. Jest to szczególnie niebezpieczne dla domowych komputerów / laptopów, ponieważ większość użytkowników nie tworzy kopii zapasowych swoich danych, a szyfrując pliki, tracą wszystkie dane. Dla organizacji ten wirus jest mniej niebezpieczny, ponieważ sprawia, że kopie zapasowe ważne dane, aw przypadku infekcji po prostu je przywracają, oczywiście po usunięciu wirusa. Spotkałem się z tym wirusem kilka razy, opiszę jak to się stało i do czego doprowadził.

Pierwszy raz zetknąłem się z wirusem szyfrującym pliki na początku 2014 roku. Administrator z innego miasta skontaktował się ze mną i przekazał mi najbardziej nieprzyjemne wieści - Wszystkie pliki na serwerze plików są zaszyfrowane! Infekcja nastąpiła w sposób elementarny - do działu księgowości przyszedł list z załącznikiem "Zrób coś tam.pdf.exe", jak rozumiesz, otworzyli to plik EXE i proces poszedł… zaszyfrował wszystkie pliki osobiste na komputerze i poszedł do serwer plików(został zmapowany przez dysk sieciowy). Wspólnie z administratorem zaczęliśmy kopać informacje w Internecie... w tym czasie nie było rozwiązania... wszyscy pisali, że jest taki wirus, nie wiadomo było jak go leczyć, nie było możliwości odszyfrowania pliki, być może wysłanie plików do Kaspersky, Dr Web lub Nod32 pomogłoby. Możesz je wysłać tylko wtedy, gdy używasz ich programów antywirusowych (są licencje). Wysłaliśmy pliki do Dr Web i Nod32, wyniki były 0, nie pamiętam co powiedzieli w Dr Web, ale w Nod 32 byli kompletnie cisi i nie czekałem na jakąkolwiek odpowiedź z ich strony. Ogólnie wszystko było smutne i nigdy nie znaleźliśmy rozwiązania, niektóre pliki zostały przywrócone z kopii zapasowej.

Druga historia - niedawno (połowa października 2014) otrzymałem telefon od organizacji z prośbą o rozwiązanie problemu z wirusem, jak rozumiesz, wszystkie pliki na komputerze były zaszyfrowane. Oto przykład tego, jak to wyglądało.

Jak widać, do każdego pliku zostało dodane rozszerzenie *.AES256. W każdym folderze znajdował się plik „Attention_open-me.txt”, w którym znajdowały się kontakty do komunikacji.

Podczas próby otwarcia tych plików został otwarty program z kontaktami, aby skontaktować się z autorami wirusa, aby zapłacić za odszyfrowanie. Oczywiście nie polecam kontaktowania się z nimi i płacenia za kod, ponieważ wesprzesz ich tylko finansowo i nie jest faktem, że otrzymasz klucz odszyfrowujący.

Do infekcji doszło podczas instalacji programu pobranego z Internetu. Najbardziej zaskakujące było to, że kiedy zauważyli, że pliki się zmieniły (ikony i rozszerzenia plików się zmieniły), nic nie zrobili i kontynuowali pracę, aw międzyczasie oprogramowanie ransomware nadal szyfrowało wszystkie pliki.

Uwaga!!! Jeśli zauważysz szyfrowanie plików na swoim komputerze (zmiana ikon, zmiana rozszerzenia), natychmiast wyłącz komputer/laptop i poszukaj rozwiązania z innego urządzenia (z innego komputera/laptopa, telefonu, tabletu) lub skontaktuj się ze specjalistami IT. Im dłużej komputer/laptop pozostaje włączony, więcej plików szyfruje.

Ogólnie już chciałem odmówić im pomocy, ale postanowiłem surfować po Internecie, może jest już rozwiązanie tego problemu. W wyniku wyszukiwań przeczytałem wiele informacji, że nie da się tego odszyfrować, że trzeba wysyłać pliki do firm antywirusowych (Kaspersky, Dr Web lub Nod32) - dzięki, to było doświadczenie.
Natknąłem się na narzędzie od Kaspersky - RectorDecryptor. I oto pliki zostały odszyfrowane. No cóż, najpierw najważniejsze...

Pierwszym krokiem jest zatrzymanie oprogramowania ransomware. Nie znajdziesz się na antywirusach, ponieważ zainstalowany Dr Web niczego nie znalazł. Przede wszystkim wszedłem w autoload i wyłączyłem wszystkie autoloady (z wyjątkiem antywirusa). Uruchomiłem ponownie komputer. Potem zaczął przyglądać się, jakie pliki były uruchamiane.

Jak widać, w polu „Polecenie” wskazano, gdzie znajduje się plik, należy zwrócić szczególną uwagę na usunięcie aplikacji bez podpisu (Producent - Brak danych). Ogólnie znalazłem i usunąłem złośliwe oprogramowanie i pliki, które nie były jeszcze dla mnie jasne. Potem wyczyściłem foldery tymczasowe i pamięć podręczną przeglądarki, najlepiej użyć programu do tych celów CCleaner .

Następnie przystąpiłem do odszyfrowywania plików, w tym celu pobrałem program deszyfrujący RectorDecryptor . Uruchomiono i zobaczyłem dość ascetyczny interfejs użytkowy.

Kliknąłem „Rozpocznij sprawdzanie”, wskazałem rozszerzenie, które miały wszystkie zmodyfikowane pliki.

I wskazał zaszyfrowany plik. W nowszych wersjach RectorDecryptor możesz po prostu określić zaszyfrowany plik. Kliknij przycisk „Otwórz”.

Tada-a-a-am!!! Zdarzył się cud i plik został odszyfrowany.

Następnie narzędzie automatycznie sprawdza wszystkie pliki komputerowe + pliki na podłączonym dysk sieciowy i odszyfrowuje je. Proces odszyfrowywania może potrwać kilka godzin (w zależności od liczby zaszyfrowanych plików i szybkości komputera).

W rezultacie wszystkie zaszyfrowane pliki zostały pomyślnie odszyfrowane do tego samego katalogu, w którym się pierwotnie znajdowały.

Pozostaje usunąć wszystkie pliki z rozszerzeniem .AES256, można to zrobić, zaznaczając pole wyboru „Usuń zaszyfrowane pliki po pomyślnym odszyfrowaniu”, jeśli kliknąłeś „Zmień ustawienia weryfikacji” w oknie RectorDecryptor.

Pamiętaj jednak, że lepiej nie zaznaczać tego pola, ponieważ w przypadku nieudanego odszyfrowania plików zostaną one usunięte i aby spróbować je ponownie odszyfrować, będziesz musiał je uruchomić przywrócić .

Podczas próby usunięcia wszystkich zaszyfrowanych plików za pomocą wyszukiwanie standardowe i usuwanie, natknąłem się na zawieszanie się i bardzo niską wydajność komputera.

Dlatego, aby go usunąć, najlepiej skorzystać z wiersza poleceń, uruchomić go i napisać del"<диск>:\*.<расширение зашифрованного файла>„/k/s. W moim przypadku del "d:\*.AES256" /f /s.

Nie zapomnij usunąć plików "Attention_open-me.txt", w tym celu w wiersz poleceń użyj polecenia del"<диск>:\*.<имя файла>"/f/s, na przykład
del "d:\Uwaga_otwórz-mnie.txt" /f /s

W ten sposób wirus został pokonany, a pliki przywrócone. Chcę cię ostrzec, że tą drogą nie pomoże wszystkim, chodzi o to, że Kapersky w tym narzędziu zebrał wszystkie znane klucze do odszyfrowania (z tych plików, które zostały wysłane przez zainfekowanych wirusem) i wybiera klucze i odszyfrowuje metodą brute force. Tych. jeśli twoje pliki są zaszyfrowane przez wirusa z kluczem, który nie jest jeszcze znany, ta metoda nie pomoże... będziesz musiał wysłać zainfekowane pliki do firm antywirusowych - Kaspersky, Dr Web lub Nod32, aby je odszyfrować.

Wirusy te mogą się nieznacznie różnić, ale generalnie ich działanie jest zawsze takie samo:

• zainstalować na komputerze;
• zaszyfruj wszystkie pliki, które mogą mieć przynajmniej pewną wartość (dokumenty, zdjęcia);
• próbując otworzyć te pliki, wymagaj od użytkownika wpłaty określonej kwoty do portfela lub konta atakującego, w przeciwnym razie dostęp do treści nigdy nie zostanie otwarty.

Pliki zaszyfrowane przez wirusy w xtbl

Obecnie wirus stał się dość rozpowszechniony, potrafi szyfrować pliki i zmieniać ich rozszerzenie na .xtbl, a także zastępować ich nazwę całkowicie losowymi znakami.

Dodatkowo w widocznym miejscu powstaje plik specjalny z instrukcjami readme.txt. Atakujący stawia w nim użytkownika przed faktem, że wszystkie jego ważne dane zostały zaszyfrowane i teraz nie da się ich tak łatwo otworzyć, dodając, że aby przywrócić wszystko do poprzedniego stanu, konieczne jest wykonanie określonych czynności związane z przekazaniem pieniędzy oszustowi (zwykle wcześniej należy wysłać określony kod na jeden z proponowanych adresów E-mail). Często takie wiadomości są również uzupełniane informacją, że jeśli spróbujesz samodzielnie odszyfrować wszystkie swoje pliki, ryzykujesz ich utratę na zawsze.

Niestety w tej chwili oficjalnie nikt nie był w stanie odszyfrować .xtbl, jeśli pojawi się działająca metoda, na pewno poinformujemy o tym w artykule. Wśród użytkowników są tacy, którzy mieli podobne doświadczenia z tym wirusem i zapłacili oszustom wymaganą kwotę, otrzymując w zamian odszyfrowanie swoich dokumentów. Ale jest to niezwykle ryzykowny krok, ponieważ wśród atakujących są tacy, którzy nie zawracają sobie głowy obiecanym odszyfrowaniem, w końcu będą to pieniądze wyrzucone w błoto.

Co wtedy zrobić, pytasz? Oferujemy kilka wskazówek, które pomogą Ci odzyskać wszystkie swoje dane, a jednocześnie nie będziesz prowadzony przez oszustów i nie będziesz dawać im swoich pieniędzy. A więc co trzeba zrobić:

1. Jeśli wiesz, jak pracować w Menedżerze zadań, natychmiast przerwij szyfrowanie plików, zatrzymując podejrzany proces. Jednocześnie odłącz komputer od Internetu — wiele ransomware wymaga połączenia sieciowego.
2. Weź kartkę papieru i zapisz na niej kod proponowany do wysłania na pocztę do atakujących (kartka papieru, ponieważ plik, do którego będziesz pisać, również może stać się nieczytelny).
3. Z pomocą narzędzia antywirusowe Malwarebytes Anti-Malware, próbny program antywirusowy Kaspersky IS lub CureIt, odinstaluj złośliwe oprogramowanie. Aby uzyskać większą niezawodność, lepiej konsekwentnie korzystać ze wszystkich proponowanych środków. Chociaż Kaspersky Anti-Virus nie może zostać zainstalowany, jeśli system ma już jeden główny program antywirusowy, w przeciwnym razie mogą wystąpić konflikty oprogramowania. Wszystkie inne narzędzia mogą być używane w każdej sytuacji.
4. Poczekaj, aż jedna z firm antywirusowych opracuje działający dekrypter takich plików. Kaspersky Lab radzi sobie najszybciej.
5. Dodatkowo możesz wysłać do [e-mail chroniony] kopię pliku, który został zaszyfrowany wymaganym kodem i, jeśli taki istnieje, ten sam plik w jego oryginalnej formie. Jest całkiem możliwe, że może to przyspieszyć rozwój metody odszyfrowywania plików.

Pod żadnym pozorem nie wolno:

• zmiana nazw tych dokumentów;
• zmiana ich przedłużenia;
• usuwanie plików.

Te trojany również szyfrują pliki użytkowników, a następnie je wymuszają. Jednocześnie zaszyfrowane pliki mogą mieć następujące rozszerzenia:

• .zablokowany
• .krypto
• .kraken
• .AES256 (niekoniecznie ten trojan, istnieją inne, które instalują to samo rozszerzenie).
• [e-mail chroniony] _com
• .oszit
• I inni.

Na szczęście stworzono już specjalne narzędzie deszyfrujące - RakhniDeszyfrator. Możesz go pobrać z oficjalnej strony.

Na tej samej stronie można znaleźć instrukcje, które szczegółowo i wyraźnie pokazują, jak używać narzędzia do odszyfrowywania wszystkich plików, nad którymi pracował trojan. W zasadzie dla większej niezawodności warto wykluczyć pozycję do usuwania zaszyfrowanych plików. Ale najprawdopodobniej programiści wykonali dobrą robotę, tworząc narzędzie i nic nie zagraża integralności danych.

Osoby korzystające z licencjonowanego antywirusa Dr.Web mają: Darmowy dostęp do odszyfrowania od programistów http://support.drweb.com/new/free_unlocker/.

Inne rodzaje wirusów ransomware

Czasami zdarzają się również inne wirusy, które szyfrują ważne pliki i wymuszają zapłatę za przywrócenie wszystkiego do pierwotnej postaci. Oferujemy małą listę z narzędziami do radzenia sobie z konsekwencjami najczęstszych wirusów. Można tam również zapoznać się z głównymi funkcjami, dzięki którym można odróżnić ten lub inny program trojański.

Oprócz, w dobry sposób przeskanuje Twój komputer programem antywirusowym Kaspersky, który wykryje intruza i nada mu nazwę. Pod tą nazwą możesz już szukać dla niego dekodera.

• Trojan-Ransom.Win32.Rector- typowy koder szantażujący, który wymaga wysyłania SMS-ów lub wykonywania innych tego typu działań, pobieramy deszyfrator z tego linku.
• Trojan-Ransom.Win32.Xorist- odmiana poprzedniego trojana, możesz uzyskać deszyfrator z przewodnikiem po jego użyciu.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- dla tych facetów jest też specjalne narzędzie, spójrz na

Wirusy same w sobie dzisiaj prawie nikogo nie dziwią. Jeśli wcześniej wpłynęły na cały system jako całość, dziś istnieją różne typy wirusów. Jedną z tych odmian jest wirus ransomware. Efekt penetrującego zagrożenia dotyczy większej ilości informacji o użytkowniku. Jednak może być bardziej niebezpieczny niż destrukcyjne pliki wykonywalne i aplety szpiegowskie. Co to jest wirus szyfrujący? Sam kod, który jest napisany w samokopiującym się wirusie, obejmuje szyfrowanie wszystkich informacji użytkownika za pomocą specjalnych algorytmów kryptograficznych, które nie wpływają na pliki systemowe sam system operacyjny.

Logika wpływu wirusa może nie być jasna dla wszystkich. Wszystko stało się jasne, gdy hakerzy, którzy opracowali te aplety, zaczęli żądać pewnej kwoty za przywrócenie oryginalnej struktury plików. Jednocześnie oprogramowanie ransomware, które dostało się do systemu, nie pozwala na odszyfrowanie plików. Będzie to wymagało specjalnego dekodera lub innymi słowy specjalnego algorytmu, za pomocą którego można przywrócić zawartość.

Ransomware: zasada przenikania do systemów i działania wirusa

Wyłapanie takiej infekcji w Internecie jest zwykle dość trudne. Przeważnie dany typ wirusy są przesyłane pocztą elektroniczną na poziomie klientów zainstalowanych na jednym terminalu komputerowym, takich jak: nietoperz, Outlook, Thunderbird. Należy od razu zauważyć, że nie dotyczy to internetowych serwerów pocztowych, ponieważ mają dość wysoki stopień ochrona. Dostęp do informacji o użytkowniku odbywa się tylko na poziomie magazyn w chmurze Informacja. Zupełnie inną sprawą jest aplikacja na konkretnym terminalu komputerowym.

Pole działania na rzecz rozwoju wirusów jest tak szerokie, że trudno sobie wyobrazić. Jednak trzeba tu zrobić małe zastrzeżenie. W większości przypadków wirusy atakują duże organizacje i firmy, które będą w stanie zapłacić znaczną kwotę za odszyfrowanie danych osobowych. To jasne, bo terminale komputerowe i serwery firm komputerowych przechowują poufna informacja i pliki w pojedyncza kopia których w żadnym wypadku nie należy usuwać. W takim przypadku odszyfrowanie plików po działaniu wirusa ransomware może być dość problematyczne. Oczywiście zwykły użytkownik również może zostać poddany takiemu atakowi, choć jest to mało prawdopodobne, zwłaszcza jeśli zastosuje się on do najprostszych zaleceń dotyczących pracy z załącznikami nieznanego typu.

Nawet jeśli klient poczty wykrywa załączniki np. jako pliki z rozszerzeniem .jpg lub innym rozszerzeniem graficznym, najlepiej najpierw sprawdzić podany plik standardowy program antywirusowy używany w systemie. Jeśli tego nie zrobisz, to po otwarciu pliku załącznika poprzez dwukrotne kliknięcie może rozpocząć się aktywacja kodu i rozpocznie się proces szyfrowania. Po tym nie będzie możliwe usunięcie samego oprogramowania ransomware i przywrócenie plików po wyeliminowaniu zagrożenia.

Ogólne konsekwencje narażenia na wirusa ransomware

Jak wspomniano wcześniej, większość wirusów dostaje się do systemu za pośrednictwem poczty e-mail. Załóżmy, że duża organizacja otrzymuje list o treści „Umowa została zmieniona, do listu dołączony jest skan” lub „Wysłano Ci fakturę za wysyłkę towarów”. Niczego niepodejrzewający pracownik firmy po prostu otwiera załączony plik, a następnie wszystkie pliki użytkownika są natychmiast szyfrowane. Są to wszystkie pliki, od dokumentów biurowych po archiwa i multimedia. Wszystkie ważne dane są szyfrowane, a jeśli terminal komputerowy jest podłączony do lokalna sieć, wirus może być przenoszony dalej, jednocześnie szyfrując dane na innych komputerach.

Wykonanie tego procesu widać po spowolnieniu i zamrożeniu programów działających w danym momencie na terminalu komputerowym. Po zakończeniu procesu szyfrowania wirus wysyła swego rodzaju raport, po którym organizacja otrzyma wiadomość informującą, że do systemu dostało się zagrożenie, a w celu odszyfrowania plików należy skontaktować się z twórcą wirusa. Z reguły dotyczy to wirusa [e-mail chroniony] Następnie zostanie podany wymóg zapłaty za usługi deszyfrowania. Użytkownik zostanie poproszony o wysłanie zaszyfrowanych plików na e-mail, który najprawdopodobniej jest fałszywy.

Uszkodzenia spowodowane ekspozycją na wirusa

Jeśli nie zrozumiałeś jeszcze w pełni istoty problemu, należy zauważyć, że odszyfrowywanie plików po działaniu wirusa szyfrującego jest dość pracochłonnym procesem. Jeśli użytkownik nie zastosuje się do wymagań napastników, ale zamiast tego spróbuje wykorzystać struktury państwowe do zwalczania przestępstw komputerowych, nic sensownego z tego nie wyjdzie. Jeśli spróbujesz usunąć wszystkie dane z komputera, a następnie wykonasz przywracanie systemu i skopiujesz oryginalne informacje z nośników wymiennych, wszystkie informacje zostaną ponownie zaszyfrowane. Więc nie daj się ponieść emocjom. Również podczas wkładania dysku flash do Port USB użytkownik nawet nie zauważy, że wirus zaszyfruje wszystkie znajdujące się na nim dane. Wtedy będzie jeszcze więcej problemów.

Pierwszy wirus ransomware

Zastanów się, jaki był pierwszy wirus szyfrujący. W momencie jego pojawienia się nikt nie myślał, jak można wyleczyć lub odszyfrować pliki po ekspozycji na kod wykonywalny, który był zawarty w załączniku do wiadomości e-mail. Dopiero z czasem przyszło uświadomienie sobie pełnej skali katastrofy. Pierwszy wirus ransomware miał dość romantyczną nazwę „I Love You”. Użytkownik, który niczego nie podejrzewał, po prostu otworzył załącznik w liście otrzymanym e-mailem i w efekcie otrzymał kompletnie nieodtwarzalne pliki multimedialne (wideo, grafikę i dźwięk). Takie działania wyglądały bardziej destrukcyjnie, ale nikt wtedy nie żądał pieniędzy za odszyfrowanie danych.

Najnowsze modyfikacje

Ewolucja technologii stała się dość lukratywnym biznesem, zwłaszcza biorąc pod uwagę fakt, że wielu liderów dużych firm spieszy się, aby jak najszybciej zapłacić atakującym wymaganą kwotę, nie myśląc nawet o tym, że mogą zostać bez pieniędzy i bez niezbędne informacje. Nie wierz we wszystkie te lewicowe posty w Internecie, takie jak „Zapłaciłem wymaganą kwotę, wysłali mi deszyfrator i wszystkie informacje zostały przywrócone”. Wszystko to jest nonsensem. Zasadniczo takie recenzje są pisane przez samych twórców wirusów, aby przyciągnąć potencjalne ofiary. Według standardów zwykłych użytkowników kwoty, których żądają napastnicy za odszyfrowanie danych, są dość poważne. Może sięgać kilku tysięcy dolarów lub euro. Przyjrzyjmy się teraz funkcjom najnowsze wirusy tego typu. Wszystkie są do siebie podobne i mogą należeć nie tylko do kategorii wirusów ransomware, ale także do tak zwanej kategorii ransomware. W niektórych przypadkach działają całkiem poprawnie, wysyłając użytkownikowi wiadomości, że ktoś chce zadbać o bezpieczeństwo informacji organizacji lub użytkownika. Swoimi wiadomościami taki wirus ransomware po prostu wprowadza użytkowników w błąd. Jeśli jednak użytkownik zapłaci wymaganą kwotę, po prostu zostanie „rozwiedziony”.

Wirus XTBL

Wirus XTBL, który pojawił się stosunkowo niedawno, można przypisać klasycznej wersji wirusów ransomware. Takie obiekty z reguły przenikają do systemu za pośrednictwem wiadomości przesyłanych pocztą elektroniczną. Wiadomości mogą zawierać załączniki w postaci plików z rozszerzeniem .scr. To rozszerzenie jest standardem dla wygaszacza ekranu Windows. Użytkownik uważa, że ​​wszystko jest w porządku i aktywuje widok lub zapisuje ten załącznik. Ta operacja może prowadzić do raczej niefortunnych konsekwencji. Nazwy plików są konwertowane na prosty zestaw znaków. Kombinacja .xtbl jest dodawana do głównego rozszerzenia pliku. Następnie na żądany adres wysyłana jest wiadomość o możliwości odszyfrowania po zapłaceniu określonej kwoty.

Ten typ wirusa można również zaklasyfikować jako klasyczne oprogramowanie ransomware. Pojawia się w systemie po otwarciu załączników wiadomości e-mail. Ten wirus zmienia również nazwy plików użytkownika i dodaje kombinację, taką jak .perfect i .nonchance na końcu rozszerzenia. Odszyfrowanie tego typu wirusa szyfrującego niestety nie jest możliwe. Po wykonaniu wszystkich kroków po prostu ulega samozniszczeniu. Nawet tak uniwersalne narzędzie jak RectorDecryptor nie pomaga. Użytkownik otrzymuje wiadomość e-mail z żądaniem zapłaty. Użytkownik ma dwa dni na zapłatę.

Breaking_Zły wirus

Ten rodzaj zagrożenia działa zgodnie ze znanym już schematem. Zmienia nazwy plików użytkownika, dodając kombinację .breaking_bad do rozszerzenia. Ale sprawa nie ogranicza się do tego. W przeciwieństwie do innych ransomware, ten wirus może stworzyć kolejne rozszerzenie .Heisenberg. Dlatego znalezienie wszystkich zainfekowanych plików jest dość trudne. Warto również powiedzieć, że wirus Breaking_Bad jest dość poważnym zagrożeniem. Zdarzają się przypadki, kiedy nawet licencjonowany program antywirusowy Kaspersky_Endpoint Security przegapia takie zagrożenie.

Wirus [e-mail chroniony]

Wirus [e-mail chroniony] to kolejne dość poważne zagrożenie, które skierowane jest głównie do dużych organizacji komercyjnych. Zwykle jakiś dział firmy otrzymuje wiadomość e-mail zawierającą plik .jpg lub .js. Jak można odszyfrować ten typ wirusa? Sądząc po tym, że zastosowano tam algorytm RSA-1024, nie ma mowy. Na podstawie nazwy algorytmu możemy założyć, że wykorzystuje on 1024-bitowy system szyfrowania. Do tej pory system 256-bitowy jest uważany za najbardziej zaawansowany.

Wirus ransomware: czy oprogramowanie antywirusowe może odszyfrować pliki?

Nie znaleziono jeszcze możliwości odszyfrowania plików po działaniu takich zagrożeń. Nawet tak uznani mistrzowie w tej dziedzinie ochrona antywirusowa, ponieważ Dr Web, Kaspersky, Eset nie może znaleźć klucza do rozwiązania problemu. Jak leczyć pliki w takim przypadku? Z reguły użytkownik jest proszony o wysłanie oficjalnego żądania na stronę internetową twórcy programu antywirusowego. W takim przypadku musisz dołączyć kilka zaszyfrowanych plików i ich oryginały, jeśli takie istnieją. Niewielu użytkowników przechowuje dzisiaj nośniki wymienne kopie danych. Problem ich braku może tylko pogorszyć i tak już nieprzyjemną sytuację.

Ręczne usuwanie zagrożenia: możliwe metody

W niektórych przypadkach skanowanie za pomocą konwencjonalnych programów antywirusowych identyfikuje takie szkodliwe obiekty, a nawet eliminuje te zagrożenia. Ale co zrobić z zaszyfrowanymi informacjami? Niektórzy użytkownicy próbują używać programów deszyfrujących. Należy od razu zauważyć, że te działania nie doprowadzą do niczego dobrego. W przypadku wirusa Breaking_Bad może to być nawet szkodliwe. Faktem jest, że napastnicy, którzy tworzą takie wirusy, starają się chronić siebie i uczyć innych. Podczas korzystania z narzędzi deszyfrujących wirus może reagować w taki sposób, że cały system operacyjny ulega awarii i jednocześnie całkowicie niszczy wszystkie informacje przechowywane na partycjach logicznych i dyskach twardych. Nadzieję tylko na oficjalne laboratoria antywirusowe.

Radykalne sposoby

Jeśli jest naprawdę źle, możesz sformatować dysk twardy, w tym partycje wirtualne, a następnie ponownie zainstaluj system operacyjny. Niestety nie ma innego wyjścia. Przywrócenie systemu do określonego punktu przywracania nie pomoże naprawić sytuacji. W rezultacie wirus może zniknąć, ale pliki nadal pozostaną zaszyfrowane.

Nowoczesne technologie pozwalają hakerom stale ulepszać sposoby oszustw w związku z: zwykli użytkownicy. Z reguły do ​​tych celów wykorzystywane jest oprogramowanie antywirusowe, które przenika do komputera. Wirusy szyfrujące są uważane za szczególnie niebezpieczne. Zagrożenie polega na tym, że wirus rozprzestrzenia się bardzo szybko, szyfrując pliki (użytkownik po prostu nie może otworzyć żadnego dokumentu). A jeśli jest to dość proste, odszyfrowanie danych jest znacznie trudniejsze.

Co zrobić, jeśli wirus zaszyfrował pliki na Twoim komputerze

Każdy może zostać zaatakowany przez oprogramowanie ransomware, nawet użytkownicy posiadający potężne oprogramowanie antywirusowe nie są ubezpieczeni. Trojany szyfrujące pliki są reprezentowane przez inny kod, który może być poza zasięgiem programu antywirusowego. Hakerom udaje się nawet zaatakować w ten sposób duże firmy, które nie zadbały o niezbędną ochronę swoich informacji. Tak więc, po „odebraniu” programu ransomware online, musisz podjąć szereg środków.

Głównymi oznakami infekcji są powolne działanie komputera i zmiana nazw dokumentów (widać to na pulpicie).

1. Uruchom ponownie komputer, aby zatrzymać szyfrowanie. Po włączeniu nie potwierdzaj uruchamiania nieznanych programów.
2. Uruchom program antywirusowy, jeśli nie został zaatakowany przez oprogramowanie ransomware.
3. W niektórych przypadkach kopie w tle pomogą przywrócić informacje. Aby je znaleźć, otwórz „Właściwości” zaszyfrowanego dokumentu. Ta metoda działa z zaszyfrowanymi danymi rozszerzenia Vault, które zawiera informacje w portalu.
4. Pobierz narzędzie Ostatnia wersja do zwalczania wirusów ransomware. Najskuteczniejsze z nich oferuje firma Kaspersky Lab.

Wirusy szyfrujące w 2016 roku: przykłady

Walcząc z każdym atakiem wirusa, ważne jest, aby zrozumieć, że kod zmienia się bardzo często, uzupełniany nowa ochrona z antywirusów. Oczywiście programy zabezpieczające potrzebują trochę czasu, zanim deweloper zaktualizuje bazy danych. Wybraliśmy najniebezpieczniejsze wirusy szyfrujące ostatnich czasów.

Oprogramowanie ransomware Ishtar

Ishtar to oprogramowanie ransomware, które wymusza pieniądze od użytkownika. Wirus został zauważony jesienią 2016 roku, infekując ogromną liczbę komputerów użytkowników z Rosji i szeregu innych krajów. Jest dystrybuowany za pomocą dystrybucji e-mail, która zawiera załączone dokumenty (instalatory, dokumenty itp.). Dane zainfekowane ransomware Ishtar otrzymują w nazwie przedrostek „ISHTAR”. Proces tworzy dokument testowy, który wskazuje, gdzie się udać, aby uzyskać hasło. Napastnicy żądają za to od 3000 do 15 000 rubli.

Niebezpieczeństwo wirusa Ishtar polega na tym, że obecnie nie ma deszyfratora, który pomógłby użytkownikom. Firmy produkujące oprogramowanie antywirusowe potrzebują czasu na rozszyfrowanie całego kodu. Teraz możemy tylko izolować ważna informacja(jeśli mają szczególne znaczenie) na osobny nośnik, czekając na wydanie narzędzia zdolnego do odszyfrowywania dokumentów. Zaleca się ponowną instalację systemu operacyjnego.

Neitrino

Oprogramowanie ransomware Neitrino pojawiło się w Internecie w 2015 roku. Na zasadzie ataku jest podobny do innych wirusów z tej kategorii. Zmienia nazwy folderów i plików, dodając „Neitrino” lub „Neutrino”. Wirus jest trudny do rozszyfrowania - nie podejmują się tego wszyscy przedstawiciele firm antywirusowych, powołując się na bardzo złożony kod. Przywrócenie kopii w tle może pomóc niektórym użytkownikom. Aby to zrobić, kliknij kliknij prawym przyciskiem myszy kliknij zaszyfrowany dokument, przejdź do "Właściwości", zakładka "Poprzednie wersje", kliknij "Przywróć". Nie byłoby zbyteczne w użyciu darmowe narzędzie z Kaspersky Lab.

Portfel lub .wallet.

Wirus szyfrujący Wallet pojawił się pod koniec 2016 roku. Podczas procesu infekcji zmienia nazwę danych na "Nazwa..wallet" lub podobną. Jak większość wirusów ransomware, dostaje się do systemu za pośrednictwem załączników do wiadomości e-mail wysyłanych przez hakerów. Ponieważ zagrożenie pojawiło się całkiem niedawno, programy antywirusowe go nie zauważają. Po zaszyfrowaniu tworzy dokument, w którym oszust określa pocztę do komunikacji. Obecnie twórcy oprogramowania antywirusowego pracują nad odszyfrowaniem kodu wirusa ransomware. [e-mail chroniony] Zaatakowani użytkownicy mogą tylko czekać. Jeśli dane są ważne, zaleca się ich zapisanie na dysk zewnętrzny poprzez wyczyszczenie systemu.

Enigma

Wirus ransomware Enigma zaczął infekować komputery rosyjskich użytkowników pod koniec kwietnia 2016 r. Wykorzystuje model szyfrowania AES-RSA, który można znaleźć w większości współczesnych programów ransomware. Wirus przenika do komputera za pomocą skryptu uruchamianego przez użytkownika, otwierającego pliki z podejrzanej wiadomości e-mail. Nadal nie ma uniwersalnego lekarstwa na radzenie sobie z szyfrem Enigmy. Użytkownicy posiadający licencję na program antywirusowy mogą poprosić o pomoc na oficjalnej stronie dewelopera. Znaleziono także małą „lukę” - Windows UAC. Jeśli użytkownik kliknie „Nie” w oknie, które pojawi się podczas infekcji wirusem, może później przywrócić informacje za pomocą kopii w tle.

Granit

Nowy wirus ransomware Granit pojawił się w sieci jesienią 2016 roku. Infekcja przebiega zgodnie z następującym scenariuszem: użytkownik uruchamia instalator, który infekuje i szyfruje wszystkie dane na komputerze i podłączonych dyskach. Walka z wirusem jest trudna. Aby usunąć, możesz użyć specjalne narzędzia od Kaspersky, ale kod nie został jeszcze odszyfrowany. Pomocne może być przywrócenie poprzednich wersji danych. Ponadto specjalista, który ma duże doświadczenie, może odszyfrować, ale usługa jest droga.

Tyson

Widziano niedawno. Jest to rozszerzenie znanego już ransomware no_more_ransom, o którym możesz się dowiedzieć na naszej stronie internetowej. Dostaje się do komputerów osobistych z poczty e-mail. Wiele komputerów firmowych zostało zaatakowanych. Wirus tworzy Dokument tekstowy z instrukcjami odblokowania, proponując zapłatę „okupu”. Niedawno pojawiło się oprogramowanie ransomware Tyson, więc nie ma jeszcze klucza odblokowującego. Jedynym sposobem na odzyskanie informacji jest powrót poprzednie wersje chyba że zostały usunięte przez wirusa. Możesz oczywiście zaryzykować przelewając pieniądze na konto wskazane przez atakujących, ale nie ma gwarancji, że otrzymasz hasło.

Spora

Na początku 2017 r. wielu użytkowników padło ofiarą nowego oprogramowania ransomware Spora. Z zasady działania nie różni się zbytnio od swoich odpowiedników, ale może pochwalić się bardziej profesjonalnym działaniem: instrukcje uzyskania hasła są lepsze, strona wygląda ładniej. Stworzony ransomware Spora w języku C, wykorzystuje kombinację RSA i AES do szyfrowania danych ofiar. Z reguły komputery, które są aktywnie używane, są atakowane. program księgowy 1C. Wirus, ukrywający się pod przykrywką prostej faktury w formacie .pdf, zmusza pracowników firmy do jej uruchomienia. Nie znaleziono jeszcze lekarstwa.

1C.Drop.1

Ten wirus szyfrujący dla 1C pojawił się latem 2016 roku, zakłócając pracę wielu działów księgowych. Zaprojektowany specjalnie dla komputerów, które używają oprogramowanie 1C. Przechodząc przez plik w wiadomości e-mail do komputera PC, monituje właściciela o aktualizację programu. Niezależnie od tego, który przycisk naciśnie użytkownik, wirus rozpocznie szyfrowanie plików. Specjaliści Dr.Web pracują nad narzędziami deszyfrującymi, ale jak dotąd nie znaleziono rozwiązania. Wynika to ze złożonego kodu, który może podlegać kilku modyfikacjom. Jedyną ochroną przed 1C.Drop.1 jest czujność użytkowników i regularne archiwizowanie ważnych dokumentów.

Kod da vinci

Nowe oprogramowanie ransomware o nietypowej nazwie. Wirus pojawił się wiosną 2016 roku. Różni się od swoich poprzedników ulepszonym kodem i silnym trybem szyfrowania. da_vinci_code infekuje komputer dzięki aplikacji wykonywalnej (zazwyczaj dołączonej do wiadomości e-mail), którą użytkownik samodzielnie uruchamia. Koder da Vinci (kod da Vinci) kopiuje treść do katalogu systemowego i rejestru, zapewniając, że uruchamia się automatycznie po włączeniu systemu Windows. Komputer każdej ofiary ma przypisany unikalny identyfikator (pomaga w uzyskaniu hasła). Odszyfrowanie danych jest prawie niemożliwe. Możesz zapłacić napastnikom, ale nikt nie gwarantuje, że otrzymasz hasło.

[e-mail chroniony] / [e-mail chroniony]

Dwa adresy e-mail, które często towarzyszyły oprogramowaniu ransomware w 2016 r. Służą do łączenia ofiary z napastnikiem. Adresy były dołączone do różnych typów wirusów: da_vinci_code, no_more_ransom i tak dalej. Zdecydowanie nie zaleca się kontaktowania, a także przesyłania pieniędzy oszustom. Użytkownicy w większości przypadków pozostają bez haseł. W ten sposób pokazuje, że oprogramowanie ransomware atakującego działa, generując dochód.

Breaking Bad

Pojawił się na początku 2015 roku, ale aktywnie rozprzestrzenił się dopiero rok później. Zasada infekcji jest identyczna jak w przypadku innych ransomware: instalacja pliku z wiadomości e-mail, szyfrowanie danych. Konwencjonalne antywirusy zwykle nie zauważają wirusa Breaking Bad. Niektóre kody nie mogą ominąć UAC systemu Windows, więc użytkownik nadal może przywrócić poprzednie wersje dokumentów. Dekoder nie został jeszcze zaprezentowany przez żadną firmę tworzącą oprogramowanie antywirusowe.

XTBL

Bardzo powszechne oprogramowanie ransomware, które powodowało problemy dla wielu użytkowników. Na komputerze wirus zmienia rozszerzenie pliku na .xtbl w ciągu kilku minut. Tworzony jest dokument, w którym atakujący wyłudza pieniądze. Niektóre odmiany Wirus XTBL nie może niszczyć plików w celu odzyskania systemu, co umożliwia zwrócenie ważnych dokumentów. Sam wirus może zostać usunięty przez wiele programów, ale bardzo trudno jest odszyfrować dokumenty. Jeśli posiadasz licencjonowany program antywirusowy, skorzystaj z pomocy technicznej, dołączając próbki zainfekowanych danych.

Kukaracza

Szyfr Kukaracha został zauważony w grudniu 2016 roku. Wirus o ciekawej nazwie ukrywa pliki użytkownika za pomocą algorytmu RSA-2048, który jest bardzo odporny. Kaspersky Anti-Virus zidentyfikował go jako Trojan-Ransom.Win32.Scatter.lb. Kukaracha można usunąć z komputera, aby inne dokumenty nie zostały zainfekowane. Jednak zainfekowane są dziś prawie niemożliwe do odszyfrowania (bardzo potężny algorytm).

Jak działa oprogramowanie ransomware

Istnieje ogromna liczba programów ransomware, ale wszystkie działają na podobnej zasadzie.

1. Hit na Komputer osobisty. Z reguły dzięki załączonemu plikowi do maila. Instalacja jest inicjowana przez samego użytkownika poprzez otwarcie dokumentu.
2. Infekcja pliku. Prawie wszystkie typy plików są szyfrowane (w zależności od wirusa). Tworzony jest dokument tekstowy zawierający kontakty do komunikacji z intruzami.
3. Wszystko. Użytkownik nie ma dostępu do żadnego dokumentu.

Środki z popularnych laboratoriów

Powszechne wykorzystywanie oprogramowania ransomware, uznawanego za najgroźniejsze zagrożenie dla danych użytkowników, stało się impulsem dla wielu laboratoriów antywirusowych. Każda popularna firma dostarcza swoim użytkownikom programy, które pomagają im w walce z ransomware. Ponadto wiele z nich pomaga w odszyfrowaniu dokumentów chronionych przez system.

Kaspersky i wirusy szyfrujące

Jedno z najbardziej znanych laboratoriów antywirusowych w Rosji i na świecie oferuje obecnie najskuteczniejsze sposoby zwalczania wirusów ransomware. Pierwszą przeszkodą dla wirusa ransomware będzie Kaspersky Endpoint Bezpieczeństwo 10s najnowsze aktualizacje. Antywirus po prostu nie pozwoli zagrożeniu dostać się do komputera (jednak nowe wersje mogą nie zostać zatrzymane). Aby odszyfrować informacje, deweloper udostępnia jednocześnie kilka bezpłatnych narzędzi: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Pomagają znaleźć wirusa i odebrać hasło.

Dr. Internet i oprogramowanie ransomware

To laboratorium zaleca ich używanie program antywirusowy, główna cecha którym była kopia zapasowa plików. Magazyn z kopiami dokumentów jest również chroniony przed nieuprawnionym dostępem ze strony intruzów. Właściciele licencjonowanego produktu Dr. Web, funkcja wezwania pomocy jest dostępna w pomoc techniczna. To prawda, że ​​nawet doświadczeni specjaliści nie zawsze potrafią oprzeć się tego typu zagrożeniom.

ESET Nod 32 i oprogramowanie ransomware

Ta firma również nie ustępowała, zapewniając swoim użytkownikom dobrą ochronę przed wirusami dostającymi się do komputera. Ponadto laboratorium zostało niedawno wydane darmowe narzędzie z aktualnymi bazami danych - Eset Crysis Decryptor. Twórcy twierdzą, że pomoże w walce nawet z najnowszym ransomware.