Android. Sistem de operare. Multimedia. Social media. Instrumente. Codec-uri. Grafică
Ești aici: » »

Virus de criptare: cum să ștergeți și să decriptați fișierele după efectul acestuia? Cum să decriptați fișierele după un virus.

Acești viruși pot diferi ușor, dar, în general, acțiunile lor sunt întotdeauna aceleași:

  • instalați pe un computer;
  • criptați toate fișierele care pot avea cel puțin o anumită valoare (documente, fotografii);
  • atunci când încercați să deschideți aceste fișiere, solicitați utilizatorului să depună o anumită sumă în portofelul sau contul atacatorului, altfel accesul la conținut nu va fi deschis niciodată.

Fișiere criptate de viruși în xtbl

În prezent, un virus a devenit destul de răspândit, capabil să cripteze fișierele și să le schimbe extensia în .xtbl, precum și să le înlocuiască numele cu caractere complet aleatorii.

În plus, un fișier special cu instrucțiuni este creat într-un loc vizibil. citiți-mă.txt. În ea, atacatorul pune utilizatorul în fața faptului că toate datele sale importante au fost criptate și acum nu pot fi deschise atât de ușor, completând acest lucru cu faptul că pentru a readuce totul la starea anterioară, este necesar pentru a efectua anumite acțiuni legate de transferul de bani către fraudator (de obicei, înainte de aceasta, trebuie să trimiteți un anumit cod la una dintre adresele de e-mail sugerate). Adesea, astfel de mesaje sunt completate și cu o notă că, dacă încercați să vă decriptați singur toate fișierele, riscați să le pierdeți pentru totdeauna.

Spre regretul nostru, în acest moment, oficial nimeni nu a putut decripta .xtbl, dacă apare o metodă de lucru, cu siguranță vom raporta despre aceasta în articol. Printre utilizatori se numără cei care au avut o experiență similară cu acest virus și le-au plătit escrocii suma necesară, primind în schimb decriptarea documentelor lor. Dar acesta este un pas extrem de riscant, pentru că printre atacatori se numără și cei care nu se deranjează în mod deosebit cu decriptarea promisă, până la urmă vor fi bani la scurgere.

Ce să faci atunci, te întrebi? Vă oferim câteva sfaturi care vă vor ajuta să vă recuperați toate datele și, în același timp, să nu vă lăsați conduși de escroci și să le oferiți banii. Și deci ce trebuie făcut:

  1. Dacă știți cum să lucrați în Task Manager, întrerupeți imediat criptarea fișierelor prin oprirea procesului suspect. În același timp, deconectați computerul de la Internet - multe ransomware au nevoie de o conexiune la rețea.
  2. Luați o bucată de hârtie și scrieți pe ea codul propus pentru a fi trimis la poștă atacatorilor (o bucată de hârtie pentru că fișierul în care veți scrie poate deveni și el ilizibil).
  3. Utilizați Malwarebytes Antimalware, încercați Kaspersky IS Anti-Virus sau CureIt pentru a elimina malware-ul. Pentru o mai mare fiabilitate, este mai bine să folosiți în mod constant toate mijloacele propuse. Deși Kaspersky Anti-Virus nu poate fi instalat dacă sistemul are deja un antivirus principal, în caz contrar pot apărea conflicte de software. Toate celelalte utilitati pot fi folosite in orice situatie.
  4. Așteptați până când una dintre companiile antivirus dezvoltă un decriptor funcțional pentru astfel de fișiere. Kaspersky Lab face față cel mai rapid.
  5. În plus, puteți trimite către [email protected] o copie a fișierului care a fost criptat cu codul necesar și, dacă există, același fișier în forma sa originală. Este foarte posibil ca acest lucru să accelereze dezvoltarea unei metode de decriptare a fișierelor.

Nu faceți în nicio circumstanță:

  • redenumirea acestor documente;
  • modificarea extensiei acestora;
  • ștergerea fișierelor.

Acești troieni criptează, de asemenea, fișierele utilizatorilor și apoi le extorcă. În același timp, fișierele criptate pot avea următoarele extensii:

  • .încuiat
  • .cripto
  • .kraken
  • .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
  • [email protected] _com
  • .oshit
  • Si altii.

Din fericire, un utilitar special de decriptare a fost deja creat - RakhniDecryptor. Îl puteți descărca de pe site-ul oficial.

Pe același site, puteți găsi instrucțiuni care arată în detaliu și clar cum să utilizați utilitarul pentru a decripta toate fișierele la care a lucrat troianul. În principiu, pentru o mai mare fiabilitate, merită să excludeți elementul pentru ștergerea fișierelor criptate. Dar, cel mai probabil, dezvoltatorii au făcut o treabă bună în crearea utilitarului și nimic nu amenință integritatea datelor.

Cei care folosesc antivirus Dr.Web licențiat au acces gratuit la decriptare de la dezvoltatori http://support.drweb.com/new/free_unlocker/.

Alte tipuri de viruși ransomware

Uneori, alți viruși pot da, de asemenea, peste care criptează fișierele importante și extorcă plata pentru returnarea totul la forma sa originală. Oferim o mică listă cu utilități pentru a face față consecințelor celor mai obișnuiți viruși. Acolo vă puteți familiariza și cu principalele caracteristici prin care puteți distinge unul sau altul program troian.

In afara de asta, intr-o maniera pozitiva vă va scana computerul cu Kaspersky antivirus, care va detecta un intrus și îi va da un nume. După acest nume, puteți deja să căutați un decodor pentru el.

  • Trojan-Ransom.Win32.Rector- un codificator tipic extortionist care iti cere sa trimiti SMS sau sa faci alte actiuni de acest gen, luam decriptorul de pe acest link.
  • Trojan-Ransom.Win32.Xorist- o variantă a troianului precedent, puteți obține un decriptor cu un ghid de utilizare.
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- pentru acești tipi există și o utilitate specială, uite

Tehnologiile moderne permit hackerilor să îmbunătățească constant modalitățile de fraudă în raport cu utilizatorii obișnuiți. De regulă, software-ul virus care pătrunde într-un computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea constă în faptul că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu poate deschide niciun document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.

Ce trebuie să faceți dacă un virus are fișiere criptate pe computer

Toată lumea poate fi atacată de un ransomware, chiar și utilizatorii care au un software antivirus puternic nu sunt asigurați. Troienii de criptare a fișierelor sunt reprezentați de coduri diferite, care pot depăși puterea antivirusului. Hackerii reușesc chiar să atace în acest fel companii mari de care nu avea grijă protectia necesara Informatia ta. Deci, după ce a „preluat” un program ransomware online, trebuie să luați o serie de măsuri.

Principalele semne de infecție sunt muncă lentă computer și schimbarea denumirilor documentelor (pot fi văzute pe desktop).

  1. Reporniți computerul pentru a opri criptarea. Când este activat, nu confirmați lansarea de programe necunoscute.
  2. Rulați antivirusul dacă nu a fost atacat de ransomware.
  3. În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu datele criptate ale extensiei Vault, care are informații pe portal.
  4. Descărcați utilitarul ultima versiune pentru a combate virușii ransomware. Cele mai eficiente sunt oferite de Kaspersky Lab.

Viruși de criptare în 2016: exemple

Atunci când luptați împotriva oricărui atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de protecție au nevoie de ceva timp până când dezvoltatorul actualizează bazele de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.

Ishtar ransomware

Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere ale utilizatorilor din Rusia și din alte țări. Este distribuit folosind distribuția prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate cu ransomware-ul Ishtar primesc prefixul „ISHTAR” în nume. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.

Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Recomandat pentru reinstalare sistem de operare.

Neitrino

Ransomware-ul Neitrino a apărut pe internet în 2015. Prin principiul atacului, este similar cu alți viruși din această categorie. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de descifrat - departe de toți reprezentanții companiilor antivirus să se angajeze în acest lucru, referindu-se la un cod foarte complex. Restaurarea unei copii umbră poate ajuta unii utilizatori. Pentru a face acest lucru, faceți clic Click dreapta faceți clic pe documentul criptat, accesați „Proprietăți”, fila „Versiuni anterioare”, faceți clic pe „Restaurare”. Nu ar fi de prisos de folosit utilitate gratuită de la Kaspersky Lab.

Portofel sau .portofel.

Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele de e-mail trimise de hackeri. Deoarece amenințarea a apărut destul de recent, programele antivirus nu o observă. După criptare, creează un document în care fraudatorul specifică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează la decriptarea codului virusului ransomware. [email protected] Utilizatorii atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați unitate externă prin golirea sistemului.

Enigmă

Virusul de criptare Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Utilizează modelul de criptare AES-RSA, care se găsește în majoritatea ransomware-urilor de astăzi. Virusul pătrunde în computer folosind un script pe care utilizatorul însuși îl rulează prin deschiderea fișierelor dintr-un e-mail suspect. Inca nu remediu universal pentru a combate ransomware-ul Enigma. Utilizatorii care au licență pentru un antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „lacună” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul infecției cu virusul, acesta poate restaura ulterior informațiile folosind copii umbre.

Granit

Virus nou ransomware Granit a apărut pe web în toamna anului 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează un program de instalare care infectează și criptează toate datele de pe PC și de unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar codul nu a fost încă decriptat. Restaurarea versiunilor anterioare ale datelor poate ajuta. În plus, un specialist cu experiență vastă poate decripta, dar serviciul este costisitor.

Tyson

A fost vazut recent. Este o extensie a binecunoscutului ransomware no_more_ransom, despre care puteți afla pe site-ul nostru. Ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează Document text cu instrucțiuni de deblocare, oferindu-se să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informațiile este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul indicat de atacatori, dar nu există nicio garanție că veți primi o parolă.

Spora

La începutul lui 2017, un număr de utilizatori au căzut victime ale noului ransomware Spora. Prin principiul de funcționare, nu diferă mult de omologii săi, dar se mândrește cu o performanță mai profesională: instrucțiunile pentru obținerea unei parole sunt mai bune, site-ul arată mai frumos. Am creat Spora ransomware în limbajul C, folosește o combinație de RSA și AES pentru a cripta datele victimelor. De regulă, computerele care sunt utilizate în mod activ sunt atacate. program de contabilitate 1C. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu s-a găsit încă un leac.

1C.Scădere.1

Acest virus de criptare pentru 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. Proiectat special pentru computere care utilizează software 1C. Trecând printr-un fișier într-un e-mail către un computer, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apasă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar până acum nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate fi sub mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorilor și arhivarea regulată a documentelor importante.

da_vinci_code

Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Se deosebește de predecesorii săi prin codul îmbunătățit și modul de criptare puternic. da_vinci_code infectează un computer datorită unei aplicații executabile (de obicei atașată la e-mail), pe care utilizatorul o lansează independent. Cifrul da Vinci (codul da Vinci) copiază corpul în directorul de sistem și în registru, furnizând pornire automată când porniți Windows. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea parolei). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.

[email protected] / [email protected]

Două adrese de e-mail care au însoțit adesea ransomware-ul în 2016. Acestea servesc la conectarea victimei cu atacatorul. Adresele au fost atașate la o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Nu este foarte recomandat să contactați, precum și să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.

Breaking Bad

A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul infecției este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Antivirusurile convenționale de obicei nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, astfel încât utilizatorul poate încă să restaureze versiunile anterioare ale documentelor. Decodorul nu a fost încă prezentat de nicio companie care dezvoltă software antivirus.

XTBL

Un ransomware foarte comun care a cauzat probleme pentru mulți utilizatori. Odată ajuns pe un computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul extorcă bani gheata. Unele soiuri Virusul XTBL nu poate distruge fișierele pentru recuperarea sistemului, ceea ce vă permite să returnați documente importante. Virusul în sine poate fi eliminat de multe programe, dar este foarte dificil să decriptați documentele. Dacă dețineți un antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.

Kukaracha

Cifrul Kukaracha a fost depistat în decembrie 2016. Un virus cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Antivirus Kaspersky l-a etichetat Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați sunt aproape imposibil de decriptat astăzi (un algoritm foarte puternic).

Cum funcționează ransomware-ul

Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.

  1. Lovit pe Calculator personal. De regulă, datorită fișierului atașat la e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
  2. Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu intrușii.
  3. Tot. Utilizatorul nu poate accesa niciun document.

Remedii din laboratoarele populare

Utilizarea pe scară largă a ransomware, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un impuls pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor protejate de sistem.

Kaspersky și viruși de criptare

Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente mijloace de combatere a virușilor ransomware. Primul obstacol pentru virusul ransomware va fi Kaspersky Endpoint Security 10 cu ultimele actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computer (cu toate acestea, versiunile noi ar putea să nu fie oprite). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilități gratuite simultan: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Ele ajută la găsirea virusului și la preluarea parolei.

Dr. Web și ransomware

Acest laborator recomandă utilizarea programului lor antivirus, caracteristica principală care era o copie de rezervă a fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Deținătorii produsului licențiat Dr. Web, o funcție de apel pentru ajutor este disponibilă în suport tehnic. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.

ESET Nod 32 și ransomware

Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva pătrunderii virușilor în computer. În plus, laboratorul a lansat recent utilitate gratuită cu baze de date actuale - Eset Crysis Decryptor. Dezvoltatorii susțin că va ajuta în lupta chiar și împotriva celui mai nou ransomware.

Unul dintre motivele care poate face dificilă recuperarea datelor criptate atunci când sunt infectate cu un virus ransomware este identificarea ransomware-ului. Dacă utilizatorul poate identifica ransomware-ul, atunci va putea verifica dacă există Autostradă decriptarea datelor.

Mai multe despre subiect: munca ransomware-ului pe exemplul extortionist

Aflați ce fișiere ransomware au criptat

Există mai multe moduri de a identifica un ransomware. Prin intermediul:

  • virusul ransomware în sine
  • extensia de fișier criptată
  • Serviciu online ID Ransomware
  • Utilitare pentru ransomware Bitdefender

Cu prima cale, totul este clar. Mulți viruși ransomware, cum ar fi The Dark Encryptor, nu se ascund. Și identificarea malware-ului nu este dificilă.

The Dark Encryptor

De asemenea, puteți încerca să identificați ransomware-ul folosind extensia fișierului criptat. Doar introduceți căutarea și vedeți rezultatele.

Dar există situații în care nu este atât de ușor să afli ce criptator a criptat fișierele. În aceste cazuri, următoarele două metode ne vor ajuta.

Identificați ransomware folosind ID-ul ransomware

O modalitate de a detecta ransomware folosind serviciul online Ransomware ID.

Detectați ransomware cu Bitdefender Ransomware

Bitdefender Ransomware Recognition Tool este program nou pentru Windows de la Bitdefender, care ajută la identificarea ransomware-ului în cazul unei infecții cu ransomware.

E mica program gratuit, care nu trebuie instalat. Tot ceea ce este necesar este să rulați programul, să acceptați licența și să o utilizați pentru a identifica ransomware-ul. Puteți descărca Bitdefender Ransomware Recognition Tool de pe site-ul oficial printr-un link direct.

Bitdefender nu scrie despre compatibilitate. În cazul meu, programul rula dispozitiv Windows 10 pro. Rețineți că Bitdefender Ransomware Recognition Tool necesită o conexiune la internet.

Principiul de funcționare este același ca în metoda anterioară. În primul câmp, specificați fișierul cu textul mesajului, iar în al doilea, calea către fișierele criptate.


Din câte am înțeles, Bitdefender Ransomware Recognition Tool nu trimite fișierul în sine către server, ci doar analizează numele și extensiile.

Încă una caracteristică interesantă Bitdefender Ransomware Recognition Tool este că poate fi rulat din linia de comandă.

Nu am testat Bitdefender Ransomware Recognition Tool, așa că orice comentarii de la persoanele care l-au încercat vor fi binevenite.

Asta e tot. Sper că nu ai nevoie această instrucțiune, dar dacă tot întâlnești ransomware, vei ști cum să-l identifici.

Faptul că internetul este plin de viruși nu surprinde pe nimeni astăzi. Mulți utilizatori percep situații legate de impactul lor asupra sistemelor sau a datelor personale, ca să spunem ușor, uitându-se printre degete, dar numai până când un virus de criptare se instalează în mod specific în sistem. Majoritatea utilizatorilor obișnuiți nu știu cum să vindece și să decripteze datele stocate pe un hard disk. Prin urmare, acest contingent este „condus” la revendicările prezentate de intruși. Dar să vedem ce se poate face dacă o astfel de amenințare este detectată sau pentru a preveni pătrunderea acesteia în sistem.

Ce este un virus ransomware?

Acest tip de amenințare utilizează algoritmi de criptare a fișierelor standard și non-standard care le modifică complet conținutul și blochează accesul. De exemplu, deschiderea unui fișier text criptat pentru citire sau editare, precum și redarea conținutului multimedia (grafică, video sau audio), după expunerea la un virus, va fi absolut imposibilă. Nici măcar acțiunile standard pentru copierea sau mutarea obiectelor nu sunt disponibile.

Umplutura software a virusului în sine este instrumentul care criptează datele în așa fel încât să poată fi restaurate starea initiala chiar și după eliminarea amenințării din sistem, nu este întotdeauna posibil. De obicei, astfel de programe rău intenționate creează copii ale lor și se instalează foarte adânc în sistem, astfel încât poate fi complet imposibil să eliminați virusul de criptare a fișierelor. Prin dezinstalarea programului principal sau ștergerea corpului principal al virusului, utilizatorul nu scapă de impactul amenințării, ca să nu mai vorbim de recuperarea informațiilor criptate.

Cum intră amenințarea în sistem?

De regulă, amenințările de acest tip sunt direcționate în mare parte asupra structurilor comerciale mari și pot pătrunde prin computere programe de email, când un angajat deschide un document presupus atașat într-un e-mail, care este, să zicem, o completare la un fel de acord de cooperare sau la un plan de furnizare a unui produs (ofertele comerciale cu atașamente din surse dubioase sunt prima cale pentru un virus) .

Problema este că virusul ransomware de pe o mașină care are acces la retea locala, este capabil să se adapteze acestuia, creându-și propriile copii nu doar în mediul de rețea, ci și pe terminalul administratorului, dacă nu dispune de instrumentele de protecție necesare sub formă de software antivirus, firewall sau firewall.

Uneori, astfel de amenințări pot pătrunde în sisteme informatice utilizatorii obișnuiți, care în general nu prezintă interes pentru atacatori. Acest lucru se întâmplă în momentul instalării unor programe descărcate din resurse de internet dubioase. Mulți utilizatori la începutul descărcării ignoră avertismentele sistemului de protecție antivirus, iar în timpul procesului de instalare nu acordă atenție ofertelor de instalare de software, panouri sau plug-in-uri suplimentare pentru browsere, iar apoi, după cum spun ei , musca-le din coate.

Varietăți de viruși și puțină istorie

Practic, amenințările de acest tip, în special cel mai periculos virus de criptare No_more_ransom, sunt clasificate nu doar ca instrumente pentru criptarea datelor sau blocarea accesului la acestea. De fapt, toată lumea este aplicații rău intenționate aparțin categoriei de ransomware. Cu alte cuvinte, atacatorii cer o anumită sumă de bani pentru decriptarea informațiilor, crezând că va fi imposibil de realizat acest proces fără programul inițial. Parțial așa este și.

Dar, dacă cercetezi istorie, poți vedea că unul dintre primii viruși de acest tip, deși nu a stabilit cereri de bani, a fost infamul applet I Love You, care a criptat complet în sisteme de utilizator fișiere multimedia (în principal melodii). Decriptarea fișierelor după virusul ransomware la acel moment s-a dovedit a fi imposibilă. Acum tocmai cu această amenințare este posibil să lupți elementar.

Dar dezvoltarea virușilor înșiși sau a algoritmilor de criptare utilizați nu stă pe loc. Ce există printre viruși - aici aveți XTBL și CBF și Breaking_Bad și [email protected], și o grămadă de alte prostii.

Metodologie de influențare a fișierelor utilizator

Și dacă, până de curând, cele mai multe atacuri erau efectuate folosind algoritmi RSA-1024 bazați pe criptare AES cu aceeași adâncime de biți, același virus de criptare No_more_ransom este acum prezentat în mai multe interpretări folosind chei de criptare bazate pe RSA-2048 și chiar RSA-3072 tehnologii.

Probleme de decodificare a algoritmilor utilizați

Problema este că sisteme moderne descifrarea în faţa unui asemenea pericol s-a dovedit neputincioasă. Decriptarea fișierelor după un virus de criptare bazat pe AES256 este încă acceptată cumva și, cu o rată de biți mai mare a cheii, aproape toți dezvoltatorii pur și simplu ridică din umeri. Acest lucru, de altfel, a fost confirmat oficial de specialiștii de la Kaspersky Lab și Eset.

În cea mai primitivă versiune, utilizatorul care a contactat serviciul de asistență este invitat să trimită un fișier criptat și originalul acestuia pentru comparare și operațiuni ulterioare pentru a determina algoritmul de criptare și metodele de recuperare. Dar, de regulă, în majoritatea cazurilor acest lucru nu funcționează. Dar virusul de criptare poate decripta fișierele în sine, așa cum se crede, cu condiția ca victima să fie de acord cu termenii atacatorilor și să plătească o anumită sumă în termeni monetari. Cu toate acestea, o astfel de formulare a întrebării ridică îndoieli legitime. Si de aceea.

Virus de criptare: cum să vindeci și să decriptezi fișierele și se poate face?

Se presupune că, după plată, hackerii activează decriptarea prin acces de la distanță la propriul virus, care se află în sistem, sau printr-un applet suplimentar, dacă corpul virusului este șters. Pare mai mult decât îndoielnic.

De asemenea, aș dori să remarc faptul că Internetul este plin de postări false care spun că, se spune, a fost plătită suma necesară, iar datele au fost restaurate cu succes. Toate sunt minciuni! Și adevărul este - unde este garanția că, după plată, virusul de criptare din sistem nu va mai fi activat? Nu este greu de înțeles psihologia spărgătorilor: dacă plătești o dată, vei plăti din nou. Si daca vorbim despre mai ales Informații importante precum anumite dezvoltări comerciale, științifice sau militare, deținătorii unor astfel de informații sunt dispuși să plătească orice doresc, atâta timp cât fișierele rămân în siguranță.

Primul remediu pentru amenințare

Aceasta este natura unui virus ransomware. Cum să vindeci și să decriptezi fișierele după ce ai fost expus la o amenințare? Da, în niciun caz, dacă nu există mijloace improvizate, care, de asemenea, nu ajută întotdeauna. Dar poți încerca.

Să presupunem că un virus ransomware a apărut în sistem. Cum să vindeci fișierele infectate? Pentru început, ar trebui să efectuați o scanare aprofundată a sistemului fără a utiliza tehnologia S.M.A.R.T., care prevede detectarea amenințărilor doar atunci când sunt deteriorate. sectoare de bootși fișierele de sistem.

Este recomandabil să nu folosiți scanerul standard existent, care a ratat deja amenințarea, ci să folosiți utilități portabile. Cea mai bună opțiune va porni de pe Kaspersky Rescue Disk, care poate porni chiar înainte de pornirea sistemului de operare.

Dar aceasta este doar jumătate din bătălie, pentru că în acest fel nu poți scăpa decât de virusul în sine. Dar cu decodor va fi mai dificil. Dar mai multe despre asta mai târziu.

Există o altă categorie în care se încadrează virușii ransomware. Modul de decriptare a informațiilor va fi discutat separat, dar deocamdată să ne concentrăm pe faptul că acestea pot exista destul de deschis în sistem sub formă de oficial programe instalateși aplicații (aroganța atacatorilor nu cunoaște limite, deoarece amenințarea nici măcar nu încearcă să se deghizeze).

În acest caz, ar trebui să utilizați secțiunea Programe și caracteristici, unde ștergere standard. Cu toate acestea, trebuie să acordați atenție faptului că programul de dezinstalare standard al sistemelor Windows nu elimină complet toate fișierele de program. În special, virusul de criptare a răscumpărării este capabil să-și creeze propriile foldere în directoarele rădăcină ale sistemului (de obicei acestea sunt directoare Csrss, unde este prezent fișierul executabil csrss.exe cu același nume). Selectat ca locație principală folderele Windows, System32 sau directoare de utilizatori (Utilizatori de pe unitatea de sistem).

În plus, virusul de criptare No_more_ransom își scrie propriile chei în registru ca o legătură către serviciul oficial Client Server Runtime Subsystem, ceea ce îi încurcă pe mulți, deoarece acest serviciu ar trebui să fie responsabil pentru interacțiunea dintre software-ul client și server. Cheia în sine se află în folderul Run, la care se poate ajunge prin filiala HKLM. Este clar că va trebui să ștergeți manual astfel de chei.

Pentru a fi mai ușor, puteți utiliza utilitare precum iObit Uninstaller, care caută automat fișiere reziduale și chei de registry (dar numai dacă virusul din sistem este vizibil ca aplicație instalată). Dar acesta este cel mai ușor lucru de făcut.

Soluții oferite de dezvoltatorii de software antivirus

Decriptarea virusului de criptare, după cum se crede, se poate face folosind utilitati speciale, deși dacă există tehnologii cu o cheie de 2048 sau 3072 de biți, nu prea ar trebui să contați pe ele (în plus, multe dintre ele șterg fișiere după decriptare, iar apoi fișierele recuperate dispar din cauza prezenței corpului virusului, care nu a fost ștearsă înainte).

Cu toate acestea, puteți încerca. Dintre toate programele, merită evidențiate RectorDecryptor și ShadowExplorer. Se crede că încă nu s-a creat nimic mai bun. Dar problema poate sta și în faptul că atunci când încercați să utilizați un decriptor, nu există nicio garanție că fișierele vindecate nu vor fi șterse. Adică, dacă nu scapi inițial de virus, orice încercare de decriptare va fi sortită eșecului.

Pe lângă ștergerea informațiilor criptate, poate exista un rezultat fatal - întregul sistem va fi inoperabil. În plus, un virus ransomware modern poate afecta nu numai datele stocate pe hard diskul unui computer, ci și fișierele din stocarea în cloud. Și nu există soluții pentru recuperarea datelor. În plus, după cum sa dovedit, în multe servicii sunt luate măsuri de protecție insuficient de eficiente (același OneDrive încorporat în Windows 10, care este afectat direct de sistemul de operare).

O soluție radicală a problemei

După cum este deja clar, majoritatea metodelor moderne nu dau un rezultat pozitiv atunci când sunt infectate cu astfel de viruși. Desigur, dacă există un original fișier deteriorat, poate fi trimis spre examinare la laboratorul antivirus. Adevărat, există îndoieli serioase că un utilizator obișnuit va crea copii de rezervă ale datelor care, atunci când sunt stocate pe un hard disk, pot fi, de asemenea, expuse unui cod rău intenționat. Și faptul că, pentru a evita problemele, utilizatorii copiază informații pe medii amovibile, nu vorbim deloc.

Astfel, pentru o soluție cardinală a problemei, concluzia se sugerează: formatarea completă a hard disk-ului și a tuturor partițiilor logice cu ștergerea informațiilor. Deci ce să fac? Va trebui să vă sacrificați dacă nu doriți ca virusul sau copia sa salvată să fie activată din nou în sistem.

Pentru a face acest lucru, nu ar trebui să utilizați instrumentele sistemelor Windows în sine (adică formatarea partițiilor virtuale, deoarece atunci când încercați să accesați unitate de sistem vor fi interzise). Este mai bine să descărcați de la medii optice cum ar fi LiveCD-uri sau distribuții de instalare, cum ar fi cele create cu Instrumentul de creare media pentru Windows 10.

Înainte de a începe formatarea, cu condiția ca virusul să fie eliminat din sistem, puteți încerca să restaurați integritatea componentelor sistemului prin Linie de comanda(sfc /scannow), dar în ceea ce privește decriptarea și deblocarea datelor, acest lucru nu va funcționa. Prin urmare, formatul c: este singurul corect. Soluție posibilă indiferent dacă vă place sau nu. Acesta este singurul mod de a scăpa complet de aceste tipuri de amenințări. Din păcate, nu există altă cale! Chiar și tratamentul mijloace standard, oferit de majoritatea pachetelor antivirus, se dovedește a fi neputincios.

În loc de o postfață

În ceea ce privește concluziile evidente, putem spune doar că nu există o soluție unică și universală pentru eliminarea consecințelor impactului unor astfel de amenințări astăzi (trist, dar adevărat - acest lucru este confirmat de majoritatea dezvoltatorilor de software antivirus și experților în criptografie) .

Rămâne neclar de ce apariția algoritmilor bazați pe criptarea pe 1024, 2048 și 3072 de biți a trecut de cei care sunt direct implicați în dezvoltarea și implementarea unor astfel de tehnologii? Într-adevăr, astăzi algoritmul AES256 este considerat cel mai promițător și mai sigur. Înștiințare! 256! Acest sistem, după cum se dovedește, nu este potrivit pentru virușii moderni. Ce să spun atunci despre încercările de a-și decripta cheile?

Oricum ar fi, este destul de ușor să evitați introducerea unei amenințări în sistem. În cea mai simplă versiune, ar trebui să verificați toate mesajele primite cu atașamente în Outlook, Thunderbird și alte programe. clienti de mail antivirus imediat după primirea și în nici un caz deschideți atașamente până la sfârșitul scanării. De asemenea, ar trebui să citiți cu atenție sugestiile pentru instalarea de software suplimentar atunci când instalați unele programe (de obicei sunt scrise cu litere foarte mici sau deghizate ca suplimente standard, cum ar fi o actualizare). Flash Player sau altceva). Componentele media sunt actualizate cel mai bine prin intermediul site-urilor oficiale. Acesta este singurul mod de a preveni cel puțin cumva pătrunderea unor astfel de amenințări în propriul sistem. Consecințele pot fi complet imprevizibile, având în vedere că virușii de acest tip se răspândesc instantaneu în rețeaua locală. Iar pentru companie, o astfel de întorsătură a evenimentelor se poate transforma într-un adevărat colaps al tuturor întreprinderilor.

În sfârșit, și Administrator de sistem nu ar trebui să stea inactiv. Software protecția într-o astfel de situație este mai bine să excludem. Același firewall (firewall) nu ar trebui să fie software, ci „hardware” (în mod firesc, cu software aferent la bord). Și, este de la sine înțeles că nici economisirea la achiziționarea pachetelor antivirus nu merită. Este mai bine să cumpărați un pachet licențiat, decât să instalați programe primitive care se presupune că oferă protecție în timp real numai de cuvintele dezvoltatorului.

Și dacă amenințarea a pătruns deja în sistem, succesiunea de acțiuni ar trebui să includă eliminarea însuși a corpului virusului și abia apoi încearcă să decripteze datele deteriorate. În mod ideal, formatarea completă (rețineți, nu una rapidă cu ștergerea cuprinsului, ci una completă, de preferință cu restaurarea sau înlocuirea celui existent Sistemul de fișiere, sectoare de pornire și înregistrări).

Criptografii (cripto-lockers) înseamnă familia malware, care, folosind diverși algoritmi de criptare, blochează accesul utilizatorilor la fișierele de pe un computer (cunoscut, de exemplu, cbf, chipdale, just, foxmail inbox com, watnik91 aol com etc.).

De obicei, virusul criptează tipuri populare de fișiere utilizator: documente, foi de calcul, baze de date 1C, orice matrice de date, fotografii etc. Decriptarea fișierelor este oferită pentru bani - creatorii vă cer să transferați o anumită sumă, de obicei în bitcoin. Și dacă organizația nu a luat măsurile adecvate pentru a asigura siguranța informațiilor importante, transferul sumei necesare către atacatori poate fi singura modalitate de a restabili performanța companiei.

În cele mai multe cazuri, virusul se răspândește e-mail, deghându-se în scrisori destul de obișnuite: notificare de la fisc, acte și contracte, informații despre achiziții etc. Prin descărcarea și deschiderea unui astfel de fișier, utilizatorul, fără să-și dea seama, lansează cod rău intenționat. Virusul criptează secvenţial fișierele necesare, și, de asemenea, șterge instanțele originale folosind metode de distrugere garantate (pentru a împiedica utilizatorul să recupereze fișierele șterse recent folosind instrumente speciale).

Ransomware modern

Ransomware-ul și alți viruși care blochează accesul utilizatorilor la date nu reprezintă o problemă nouă securitatea informatiei. Primele versiuni au apărut în anii 90, dar au folosit în principal fie criptare „slabă” (algoritmi instabili, dimensiune mică a cheii), fie criptare simetrică (fișierele de la un număr mare de victime au fost criptate cu o singură cheie, a fost posibilă și recuperarea cheii). prin examinarea codului virusului) sau chiar să vină cu proprii algoritmi. Instanțele moderne sunt lipsite de astfel de deficiențe, atacatorii folosesc criptarea hibridă: folosind algoritmi simetrici, conținutul fișierelor este criptat cu foarte multe de mare viteză, iar cheia de criptare este criptată cu un algoritm asimetric. Aceasta înseamnă că pentru a decripta fișierele, aveți nevoie de o cheie pe care o deține doar atacatorul cod sursa programul nu poate fi găsit. De exemplu, CryptoLocker folosește algoritmul RSA cu o lungime a cheii de 2048 de biți în combinație cu algoritmul simetric AES cu o lungime a cheii de 256 de biți. Acești algoritmi sunt recunoscuți în prezent ca fiind criptorezistenți.

Computerul este infectat cu un virus. Ce sa fac?

Trebuie avut în vedere faptul că, deși virușii de criptare folosesc algoritmi moderni de criptare, ei nu sunt capabili să cripteze instantaneu toate fișierele de pe computer. Criptarea are loc secvenţial, viteza depinde de dimensiunea fişierelor criptate. Prin urmare, dacă descoperiți în procesul de lucru că fișierele și programele obișnuite nu se mai deschid corect, ar trebui să încetați imediat să lucrați pe computer și să îl opriți. Astfel, puteți proteja unele fișiere de criptare.

Odată ce ați întâmpinat o problemă, primul pas este să scăpați de virusul în sine. Nu ne vom opri în detaliu asupra acestui lucru, este suficient să încercați să vindecați computerul folosind programe antivirus sau să eliminați virusul manual. Este de remarcat doar faptul că un virus se autodistruge adesea după finalizarea algoritmului de criptare, făcând astfel dificilă decriptarea fișierelor fără a apela la infractorii cibernetici pentru ajutor. În acest caz program antivirus s-ar putea să nu găsească nimic.

Întrebarea principală este cum se recuperează datele criptate? Din păcate, recuperarea fișierelor după un virus ransomware este aproape imposibilă. cel putin garantie recuperare totală date în caz de infecție cu succes nimeni nu va fi. Mulți producători de instrumente antivirus își oferă ajutorul în decriptarea fișierelor. Pentru a face acest lucru, trebuie să trimiteți un fișier criptat și Informatii suplimentare(dosar cu contactele răufăcătorilor, cheie publică) prin formulare speciale postate pe site-urile producătorilor. Există o mică șansă ca ei să găsească o modalitate de a trata un anumit virus și fișierele dvs. vor fi decriptate cu succes.

Încercați să utilizați utilitarele de recuperare fișiere șterse. Este posibil ca virusul să nu fi folosit metode de distrugere garantată și unele fișiere pot fi recuperate (aceasta poate funcționa în special cu fișiere mari, de exemplu, cu fișiere de câteva zeci de gigaocteți). Există, de asemenea, șansa de a recupera fișiere din copii umbre. Când utilizați funcțiile de recuperare sisteme Windows creează instantanee („snapshots”), care pot conține date de fișier la momentul în care a fost creat punctul de restaurare.

Dacă datele dvs. au fost criptate în servicii cloud, contactați asistența tehnică sau explorați capacitățile serviciului pe care îl utilizați: în majoritatea cazurilor, serviciile oferă o funcție de „retroducere” la versiunile anterioare ale fișierelor, astfel încât acestea să poată fi restaurate.

Ceea ce vă recomandăm cu tărie să nu faceți este să urmați ransomware-ul și să plătiți pentru decriptare. Au fost cazuri când oamenii au dat bani, dar nu au primit cheile. Nimeni nu garantează că atacatorii, după ce au primit banii, vor trimite efectiv cheia de criptare și vei putea recupera fișierele.

Cum să te protejezi de un virus ransomware. Măsuri preventive

Este mai ușor să preveniți consecințele periculoase decât să le corectați:

  • Utilizați instrumente antivirus de încredere și actualizați în mod regulat bazele de date antivirus. Sună banal, dar acest lucru va reduce foarte mult șansele de a introduce cu succes un virus în computer.
  • Păstrați copii de rezervă ale datelor dvs.

Cel mai bine este să faceți acest lucru cu ajutorul unor instrumente specializate. Rezervă copie. Majoritatea criptolockerelor pot cripta și copiile de siguranță, așa că este logic să stocați copiile de siguranță pe alte computere (de exemplu, pe servere) sau pe medii înstrăinate.

Restricționați permisiunile de modificare a fișierelor din foldere cu copii de rezervă, permițând doar atașarea. Pe lângă consecințele ransomware-ului, sistemele de rezervă neutralizează multe alte amenințări asociate cu pierderea de date. Răspândirea virusului demonstrează încă o dată relevanța și importanța utilizării unor astfel de sisteme. Recuperarea datelor este mult mai ușoară decât decriptarea!

Un alt mod eficient Lupta este limitarea lansării unor tipuri de fișiere potențial periculoase, de exemplu, cu extensiile .js, .cmd, .bat, .vba, .ps1 etc. Acest lucru se poate face folosind instrumentul AppLocker (în edițiile Enterprise) sau politicile SRP este centralizat în domeniu. Sunt destul de multe pe web ghiduri detaliate, cum să o facă. În cele mai multe cazuri, utilizatorul nu trebuie să folosească fișierele script menționate mai sus, iar ransomware-ul va avea mai puține șanse de implementare cu succes.

  • Fii atent.

Mindfulness este una dintre cele mai eficiente metode de prevenire a unei amenințări. Fiți suspicios față de fiecare e-mail pe care îl primiți de la persoane necunoscute. Nu vă grăbiți să deschideți toate atașamentele, dacă aveți îndoieli, este mai bine să contactați administratorul cu o întrebare.

Alexandru Vlasov, Inginer Superior al Departamentului de Implementare Sisteme de Securitate Informatica a SKB Kontur

Titlu: Jocuri
Acțiune