Általában a legtöbb pentesztet meglehetősen egyszerű séma szerint hajtják végre. Először social engineering segítségével hozzáférést biztosítanak a célkörnyezethez vagy annak egyéni linkjéhez, majd technikai eszközökkel megfertőzik. A támadás változatai különbözőek lehetnek, de általában a klasszikus pentest a technikai részek és a social engineering különböző arányú fúziója. A klasszikus pentest hátránya, hogy ugyanazt az alkalmazottat kell „tapogatni”, majd továbblépni a következő szakaszba. Ha automatizálható lenne a gyenge láncszem megtalálásának és további kiaknázásának folyamata, az felgyorsíthatná a pentesztelési folyamatot, és jelentősen megnőhetne a siker végső esélye.

FIGYELEM!

Minden információ csak tájékoztató jellegű. Sem a szerző, sem a szerkesztők nem vállalnak felelősséget a cikk anyagai által okozott esetleges károkért.

A vírusirtó cégek által közölt jól ismert statisztikák szerint a felhasználók mintegy 30%-a nem használ vírusirtót, egyszerűen letiltja azokat, vagy nem frissíti az adatbázist. Ez alapján elmondható, hogy minden átlagos cégben van egy bizonyos csoport, akik nagyon elutasítóak az információbiztonsággal kapcsolatban, és ezeket az embereket célszerű támadások végrehajtására felhasználni. Ezenkívül bármely működő rendszert számos véletlenszerű tényező befolyásolhat, amelyek átmenetileg megbéníthatják a biztonsági rendszert:

• a proxyszerver beállításai elvesztek, ezért a víruskereső adatbázisok nem frissültek;
• A vírusirtó licenc lejárt, megújításáról a vezetőség nem gondoskodott időben;
• Egy hálózati hiba lehetetlenné tette a fájlok távoli nyomtatását, aminek következtében minden alkalmazott arra kényszerült, hogy a dokumentumokat flash meghajtóra másolja, és egy másik osztályon nyomtassa ki.

Csak be kell kapcsolnia a képzeletét, és további tucatnyi lehetőséget adhat hozzá az események fejlesztéséhez. Összegezve az elmondottakat, elmondható, hogy minden átlagos szervezetben vannak potenciálisan megbízhatatlan alkalmazottak, és olykor olyan körülmények adódhatnak, amelyek megzavarhatják a megszokott munkát, megbéníthatják a védelmet. Ezért, ha a megfelelő helyen, a megfelelő időben találsz, a támadás sikeres lesz.

Valójában a feladat a következőre csapódik le: megállapítani, hogy az adott pillanatban bekövetkezett az egyik véletlenszerű esemény, amely a biztonság csökkenéséhez vezetett, majd ezt a helyzetet álcázásként használva észrevétlenül végrehajtani a támadást.

Valójában az a feladat, hogy találjunk egy személyt, aki elhanyagolja a biztonságot, és miért ne használna ehhez flash meghajtókat?

Sok vírusíró nagyon szereti a flash médiát, mivel ezek segítségével könnyen és gyorsan megfertőzhető a számítógép, és a legalapvetőbb USB-vírusnak is jó esélye van a sikerre. Az autorun vírusok 2008-ban bekövetkezett fellendülése öt év múlva sem lassult, sőt, az USB-vírusok még merészebbek lettek, és olykor nem is titkolják jelenlétüket. Ugyanakkor a fertőzött flash meghajtó univerzális mutatója tulajdonosának az alapvető információbiztonság területén. Például, ha tíz pendrive-ot gyűjt össze különböző emberektől, akkor valószínűleg három vagy négy pendrive-on lesz vírus. Ha egy hét múlva újra elveszünk ezektől az emberektől a pendrive-okat, akkor kettőben-hármasban még mindig lesz vírus. Ez alapján vitatható, hogy az erről a pendrive-ról használt számítógépeken a legalapvetőbb védelem sincs, vagy valamiért le van tiltva, vagy egyáltalán nem működik. Így még akkor is, ha a leghétköznapibb vírust, amelyet minden vírusirtó sikeresen észlel, csak ezen embercsoport között terjeszti, nagyszámú számítógépet képes megfertőzni, mielőtt észlelné. És mivel ezek a számítógépek nem rendelkeznek védelemmel, hosszú ideig képesek lesznek működőképesek maradni.

Végrehajtás

Egy adott számítógépen, amelyhez a flash meghajtókat rendszeresen csatlakoztatják, egy speciális programot telepítünk, amely a következő algoritmus szerint működik. Amikor másik flash meghajtót csatlakoztat, a program megpróbálja megállapítani, hogy az nem fertőzött-e. Mivel lehetetlen figyelembe venni az USB-vírusok teljes választékát, célszerű heurisztikus megközelítést alkalmazni a fertőzés meghatározásához a következő kritériumok alapján:

• az autorun.inf fájl jelenléte;
• RHS fájl attribútumok;
• a gyanús fájl kis mérete;
• a fájlrendszer nem NTFS;
• az autorun.inf nevű mappa hiánya;
• parancsikon fájlok jelenléte.

Ha ez a pendrive fertőzött, a program beírja az adatbázisba, jelezve a gyanús fájl sorozatszámát és kivonatát. Ha néhány nap múlva a pendrive újracsatlakozik ehhez a számítógéphez (és ez szinte mindig megtörténik), és még mindig vannak gyanús fájlok rajta, akkor a „vírusunk” megfertőzte; ha nem maradt gyanús fájl, a program törli ennek a pendrive-nak a sorozatszámát az adatbázisból. Amikor egy új számítógépet megfertőznek, a vírus megjegyzi az anya pendrive-jának sorozatszámát, és soha nem fertőzi meg és nem elemzi azt, hogy ne adja fel magát egy idő után, ha a pendrive tulajdonosa „bölcsebb lesz”.

A sorozatszám megszerzéséhez írjuk fel a következő függvényt a GetVolumeInformation API alapján:

String GetFlashSerial(AnsiString DriveLetter) (DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof, &(VolumeIn,NoumeS) NULL , 0); return S.sprintf("%X", VolumeSerialNumber);

Megjegyzendő, hogy a GetFlashSerial funkció nem kap statikus egyedi eszközazonosítót, hanem csak a kötet sorozatszámát. Ez a szám véletlenszerű számként van beállítva, és általában az eszköz minden formázásakor változik. Célunkhoz csak a pendrive sorozatszáma elegendő, mivel a kemény kötés nem szükséges, a formázás pedig az információk teljes megsemmisítését jelenti, valójában a formázott pendrive-ot egy újjal egyenlővé teszi.

Most térjünk át magának a heurisztika megvalósítására.

Bool IsItABadFlash(AnsiString DriveLetter) (DWORD NotUsed; char meghajtó_zsír; DWORD kötetjelzők; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , N, & NULL,foszetszám &VolumeFlags, drive_fat, sizeof(drive_fat)); ha = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE) = rossz) () (!badflash) ( TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) (DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) ( badflash = igaz;

) ) ) return badflash; )

A heurisztikus függvény algoritmusa meglehetősen egyszerű. Először kiszűrjük az összes NTFS fájlrendszerű eszközt és azokat, amelyek nem tartalmaznak autorun.inf fájlt. Általános szabály, hogy minden flash meghajtó alapértelmezés szerint FAT32 fájlrendszerrel érkezik (ritkábban FAT és még ritkábban exFAT), de néha a rendszergazdák vagy más informatikai részleg alkalmazottai az igényeik szerint NTFS-rendszerbe formázzák őket. Nincs szükségünk „okos emberekre”, azonnal kizárjuk őket. A következő lépés az autorun.inf fájl „rejtett” és „rendszer” attribútumainak ellenőrzése. Lehet, hogy az autorun.inf fájl egy teljesen legitim programhoz tartozik, de ha ezek az attribútumok jelen vannak benne, akkor nagyon valószínű, hogy a pendrive vírussal fertőzött.

Természetesen a heurisztikáknak megvannak a maga hibái és árnyalatai, ezért érdemes ezeket gondosan kidolgozni egy adott feladathoz, de esetünkben 100%-os valószínűséggel megerősíthetjük, hogy helyesek.

Ha a flash meghajtó heurisztikus elemzésével általában minden világos, akkor a „fertőzéssel” árnyalatok lehetségesek. Például egyszerűen felülírhatja a régi vírust a miénkkel anélkül, hogy módosítaná az autorun.inf fájlt, fájlokat, parancsikonokat stb. Így a mi „vírusunk” átveszi az irányítást az új számítógépen, de előbb érdemes a vírusról egy régi másolatot is készíteni, és ugyanabba a könyvtárba menteni egy kicsit más néven. Ha valamilyen oknál fogva egy vírusirtó fut egy másik számítógépen, akkor észleli a régi vírust, eltávolítja, figyelmezteti a felhasználót, hogy a fenyegetést sikeresen megsemmisítették – és ezzel hamis biztonságérzetet nyújt a felhasználónak, és a mi “ vírus” észrevétlen marad.

Emellett a Hacker decemberi számában írtunk a különböző szoftverek DLL-eltérítő sérülékenységeiről és azok hatékony használatáról is. Ezért, ha feltételezzük, hogy a flash meghajtók tartalmazhatnak programokat, például jelszókezelőket vagy különféle szoftverek hordozható verzióit, akkor érdemes kihasználni ezt a sérülékenységet, és ezáltal kibővíteni az érintett gépek körét és a kapott adatok pentesztelési értékét.

Mellesleg, nem mindig van értelme a flash meghajtók megfertőzéséhez folyamodni. Például, ha az információbiztonsági osztály feladata, hogy egyszerűen rendszeresen ellenőrizze az alkalmazottakat „megbízhatatlan emberek” jelenlétére, akkor célszerűbb ezt a programot több gépre telepíteni, és egyszerűen rögzíteni a flash meghajtók sorozatszámát és a létrehozás idejét. a rosszindulatú fájlból statisztikák gyűjtésére. Így nem kell szó szerint átkutatni az összes alkalmazottat, ugyanakkor a pendrive-on tárolt adatok bizalmassága megmarad, és a kapott adatok alapján megítélhető a felhasználók otthoni számítógépének és az állam esetleges fertőzése. az információbiztonságról általában. Hiszen, ahogy korábban írtuk, minden rendszer ki van téve véletlenszerű tényezőknek, és nem zárható ki a fenyegetések kockázata.

Tesztelés

Viszonylag közepes hálózatban telepítve a programot, egy héten belül elég beszédes adatokat kaptunk. A csatlakoztatott flash meghajtók több mint 20%-a fertőzött volt valamilyen vírussal vagy trójaival, és több mint 15%-a még mindig fertőzött volt, amikor néhány nappal később újracsatlakoztatták. Azt is meg kell jegyezni, hogy sok számítógép rendelkezik vírusvédelemmel, amely időszakonként ellátta feladatait. A felbukkanó vírusvédelmi figyelmeztetés iránti szokásos közömbösség azonban, amelyet a felhasználók már régóta megszoktak a pendrive csatlakoztatásakor, nem engedte azt feltételezni, hogy egészen más fenyegetéssel van dolguk. A hamis biztonságérzet lehetővé tette a felhasználók számára, hogy szégyenkezés nélkül csatlakoztassák a flash meghajtót különböző számítógépekhez, és programunk sikeresen elvégezte a feladatát.

Röviden az algoritmusról

• Programunkat a cég számítógépeire telepítjük.
• Ellenőrizzük a csatlakoztatott flash meghajtókat fertőzés jelei miatt.
• „Megfertőzzük” a felhasználók pendrive-it a teszt „vírusunkkal”, vagy átírjuk a számukat a statisztikához.
• Feljelentjük a hatóságokat, megbüntetjük a szélhámos felhasználókat, megtartjuk, nem engedjük be, és kitiltjuk őket.

Következtetés

Összefoglalva azt mondhatjuk, hogy ennek a módszernek a fő hátránya a bizonytalanság. Senki sem tudja pontosan, hogy a „megfelelő” flash meghajtó mikor csatlakozik a számítógéphez, mivel ez nagymértékben függ a program telepítési környezetétől. Ez a hátrány azonban nem von le a módszer fő előnyéből. Nagyon sokáig észrevétlen maradhat, és az egyéb fenyegetések mellett feloldódva teljesen automatikusan újabb és újabb járműbe ütközhet. Könnyen belátható, hogy ennek a technikának van egy bizonyos léptékhatása. Minél több alkalmazott dolgozik egy szervezetben, és minél változatosabb a belső kommunikáció, annál nagyobb az eredmény. Bár ez a megközelítés tökéletesen működik egy teljesen bármilyen léptékű struktúrában, mert a fő feladata nem a rendszer masszív legyőzése, hanem a leggyengébb láncszem - az ember - elleni célzott csapás. ][

Ha számítógépét vírus fertőzte meg (vagy gyanítja), fontos betartani 4 szabályt:

Először is, nem kell kapkodni és elhamarkodott döntéseket hozni. Ahogy mondani szokták, „kétszer mérj, egyszer vágj” – a meggondolatlan cselekvések nemcsak néhány helyreállítható fájlok elvesztéséhez, hanem a számítógép újbóli megfertőzéséhez is vezethetnek.

Az egyik lépést azonban azonnal meg kell tenni, a számítógép kikapcsolása, hogy a vírus ne működjön tovább. A fertőzés típusának észlelésére és a számítógép kezelésére irányuló összes műveletet csak az operációs rendszert tartalmazó írásvédett „vészhelyzeti” hajlékonylemezről történő újraindítás után szabad végrehajtani. Ebben az esetben csak írásvédett „vészhelyzeti” hajlékonylemezeken található futtatható fájlokat kell használnia. Ennek a szabálynak a be nem tartása nagyon súlyos következményekkel járhat, hiszen az operációs rendszer betöltésekor vagy egy program fertőzött lemezről történő futtatásakor vírus aktiválódhat a számítógépben, és ha a vírus fut, a számítógép kezelése értelmetlen lesz, mivel a lemezek és programok további fertőzése kíséri majd.

Ha nem rendelkezik elegendő tapasztalattal és tudással számítógépe kezeléséhez, kérje tapasztaltabb kollégák vagy akár szakemberek segítségét.

Vírusfertőzés megelőzése

1). Információk másolása és hozzáférés-szabályozás:

Célszerű lenne rendelkeznie és szükség esetén frissítenie az Ön által használt szoftvercsomagok és adatok archív és referenciapéldányait. Az adatok archiválása előtt célszerű ellenőrizni, hogy nem tartalmaz-e vírusokat. Szintén tanácsos a lemez szervizinformációit, például a számítógép nem felejtő memóriáját, hajlékonylemezekre másolni.

Az ilyen információkat a Norton Utilities Rescue programjával másolhatja és állíthatja vissza.

2). Írásvédelmet kell telepíteni az archív hajlékonylemezekre. Ne vegyen részt szoftverek engedély nélküli vagy illegális másolásában más számítógépekről. Lehet, hogy vírusosak.

3). Minden kívülről érkező adatot ellenőrizni kell vírusok szempontjából, különösen az internetről „letöltött” fájlokat.

4). Előzetesen el kell készíteni egy helyreállítási csomagot az írásvédett hajlékonylemezeken.

5). A számítógép visszaállításával nem összefüggő normál munkákhoz tiltsa le a hajlékonylemezről történő indítást. Ez megakadályozza a boot vírus fertőzését.

6). Használjon szűrőprogramokat a vírusok korai felismerésére.

7). Rendszeresen ellenőrizze a lemezt olyan programokkal, mint az AVP vagy a Dr. Web a lehetséges védelmi hibák észlelésére.

8). Frissítse a víruskereső program adatbázisát (az AVP ezt 8-10 perc alatt megteszi).

És ami a legfontosabb, ne engedje, hogy kétes felhasználók hozzáférjenek a számítógépéhez.

5. Felhasznált irodalom jegyzéke

1. Petrov M. S., „Számítógépes vírusok”, M.: 2002.

2. Figurnov V.E. „IBM PC a felhasználónak. Rövid tanfolyam", Infra-M.: 2001.

3. Starkov V.A. „A személyi számítógép ABC-je”, M.: 2000.

4. Bezrukov N. N. „Számítógépes virológia”: kézikönyv. 1991-es kézikönyv

A rendszer felkéri, hogy töltse le a „Vírust” az Intézet bármelyik terminálján. Ez viszont egy új küldetést indít el, az Underground és az Undercovert.

Útmutató lépésről lépésre a vírus letöltéséhez:

1. Keresse meg bármelyik terminált az Intézetben
2. Helyezzen be egy holotape-ot ([R] gomb)
3. Válassza ki a „Vírus” elemet a listából
4. „Kattintson” a menü összes elemére – Hálózati keresés / Üzenet Tomtól / Titkosított üzenet másolása.
5. Térjen vissza a főmenübe. Legyen benne egy új sor a sürgős válaszról - nyitott - kész.

A válaszban megjelenik a találkozó helye. Követjük az iránytű jelzőjét, és találkozunk Liammel:

A beszélgetés után felajánlja, hogy találkozik a „szintijával”, kommunikálunk, megtudjuk, hogy van még 13 szinkronjuk, akik el akarnak szökni az Intézetből. És Liamnek van egy ötlete, hogyan küldjön mindenkit egyszerre a felszínre, de ehhez szükségünk lesz a segítségünkre - hogy hozzáférhessünk a Műszaki Intézet régi biztonsági rendszeréhez - „Code Protector” -, amelyek valahol a Nemzetközösség.

Elmegyünk a metróhoz és beszélgetünk Desdemonával.

Meg fogja kérni, hogy hagyjon jelentést a PAM terminálon, menjünk hozzá.

Válassza a „Jelentés megnyitása az intézetről” lehetőséget. Aztán beszélünk a PAM robottal, az ott áll a közelben (megjegyzés: a PAM terminál és a PAM robot különböző dolgok).

Megmondják nekünk a következő látogatás helyszínét - „Cambridge Polymer Laboratory”, oda megyünk.

Az épületben Molly robot vár ránk (egy meglehetősen vicces robot, aki a Cambridge Polymer Laboratory kiegészítő feladatot adja majd). Miután beszéltünk a robottal, ezt a szobát keressük:

Ahhoz, hogy odaérjen, vagy fel kell törnie a terminált a „Hard” szinten, vagy még egy kicsit körbe kell futnia az épületben, és a legfelső emeleten keresztül kell bejutnia a szobába (egy lyuk lesz a padlón).

Megérkezünk a kívánt terminálhoz - ott sok pont lesz, szükségünk van egy „Jelszó kiadására vonatkozó kérelem (archívum)” feliratra.

A helyiség elhagyásához nyissa ki az ajtót a szoba másik termináljával.

Visszatérünk Desdemonába és beszélgetünk. Aztán visszatérünk az Intézetbe, és kommunikálunk Liammel és Z1-14-gyel.

Utóbbi azt fogja mondani, hogy időre van szüksége a barátokkal való beszélgetéshez. Leülünk egy közeli padra, és végigpörgetjük a 24 órát. Ismét beszélünk a Z1-14-gyel.

Azt fogja mondani, hogy a szintetizátorok készen állnak a szabadságharcra, de szükségük van fegyverekre, amelyeket általában maguknak tudnak készíteni, de szükségük van anyagokra.

Bemegyünk az alagútba és megöljük az őröket.

Visszatérünk a Z1-14-hez, azt fogja mondani, hogy elkezdik összeszerelni a fegyvereket, de ez időbe telik.

Ezután a feladat „szünetelve” lesz, amíg a Start feladat be nem fejeződik. A feladat elvégzése után, közvetlenül az igazgatói értekezlet után, egy szintetizátor közeledik Önhöz, és azt mondja, hogy a szobájában akkor sürgősen oda kell mennie. Egyértelmű, hogy nincs árvíz, csak a Z1-14-nek kell találkoznia velünk.

Azt fogja mondani, hogy az Intézet titokban átadta a földalatti bázis helyét a Brotherhood of Steelnek, és sürgősen figyelmeztetni kell őket. Elmegyünk a metróhoz és beszélünk Desdemonával.

Ezzel befejeződik a feladat.

Jutalom

• 400 (?) tapasztalat
• Szögfegyver
• Railroad Nail (56)

Ha egy szöveges üzenet jelenik meg a számítógépén, amely szerint a fájlok titkosítva vannak, ne essen pánikba. Milyen tünetei vannak a fájltitkosításnak? A szokásos kiterjesztés *.vault, *.xtbl, * [e-mail védett] _XO101 stb. A fájlok nem nyithatók meg - kulcs szükséges, amelyet az üzenetben megadott címre küldött levéllel vásárolhat meg.

Honnan szerezted a titkosított fájlokat?

A számítógép elkapott egy vírust, amely blokkolta az információhoz való hozzáférést. A víruskereső programok gyakran hiányoznak ezekről, mert a program általában valamilyen ártalmatlan, ingyenes titkosítási segédprogramon alapul. Magát a vírust elég gyorsan eltávolítja, de komoly problémák adódhatnak az információ visszafejtésével.

A Kaspersky Lab, a Dr.Web és más ismert, vírusirtó szoftvereket fejlesztő cégek technikai támogatása, válaszul a felhasználóknak az adatok visszafejtésére irányuló kérésére, arról számolt be, hogy ezt nem lehet elfogadható időn belül megtenni. Több program is képes felvenni a kódot, de ezek csak korábban tanulmányozott vírusokkal működnek. Ha új módosítással találkozik, akkor az információhoz való hozzáférés visszaállításának esélye rendkívül alacsony.

Hogyan kerül egy ransomware vírus a számítógépre?

Az esetek 90%-ában a felhasználók maguk aktiválják a vírust a számítógépükön, ismeretlen betűket nyit. Ezután üzenetet küldenek az e-mailre provokatív témával - „Idézés”, „Kölcsöntartozás”, „Adóhivatal értesítése” stb. A hamis levél belsejében van egy melléklet, amelynek letöltése után a zsarolóprogram a számítógépre kerül, és fokozatosan blokkolja a hozzáférést a fájlokhoz.

A titkosítás nem történik meg azonnal, így a felhasználóknak van idejük eltávolítani a vírust az összes információ titkosítása előtt. Egy rosszindulatú szkriptet megsemmisíthet a Dr.Web CureIt, a Kaspersky Internet Security és a Malwarebytes Antimalware tisztító segédprogramokkal.

Fájl-helyreállítási módszerek

Ha a rendszervédelem be van kapcsolva a számítógépen, akkor még egy zsarolóvírus hatása után is megvan a lehetőség, hogy a fájlok árnyékmásolatai segítségével visszaállítsák a fájlokat normál állapotukba. A Ransomware rendszerint megpróbálja eltávolítani őket, de néha nem sikerül a rendszergazdai jogok hiánya miatt.

Egy korábbi verzió visszaállítása:

A korábbi verziók mentéséhez engedélyeznie kell a rendszervédelmet.

Fontos: a rendszervédelmet engedélyezni kell a ransomware megjelenése előtt, ezután már nem segít.

1. Nyissa meg a Számítógép tulajdonságai.
2. A bal oldali menüben válassza a Rendszervédelem lehetőséget.
   
3. Válassza ki a C meghajtót, és kattintson a "Konfigurálás" gombra.
4. Válassza a beállítások és a fájlok korábbi verzióinak visszaállítását. Alkalmazza a módosításokat az „OK” gombra kattintva.

Ha ezeket a lépéseket a fájltitkosító vírus megjelenése előtt tette meg, akkor miután megtisztította számítógépét a rosszindulatú kódoktól, jó eséllyel vissza tudja állítani adatait.

Speciális segédprogramok használata

A Kaspersky Lab számos segédprogramot készített a titkosított fájlok megnyitásához a vírus eltávolítása után. Az első dekódoló, amelyet érdemes kipróbálni, a Kaspersky RectorDecryptor.

1. Töltse le a programot a Kaspersky Lab hivatalos webhelyéről.
2. Ezután futtassa a segédprogramot, és kattintson a „Vizsgálat indítása” gombra. Adja meg bármely titkosított fájl elérési útját.

Ha a rosszindulatú program nem változtatta meg a fájlok kiterjesztését, akkor a visszafejtéshez külön mappába kell gyűjtenie őket. Ha a segédprogram a RectorDecryptor, töltsön le további két programot a Kaspersky hivatalos webhelyéről: a XoristDecryptor és a RakhniDecryptor.

A Kaspersky Lab legújabb segédprogramja a Ransomware Decryptor. Segít a fájlok visszafejtésében a CoinVault vírus után, amely még nem túl elterjedt a RuNeten, de hamarosan más trójaiakat válthat fel.

Nézzük meg a leghatékonyabb módszereket arra vonatkozóan, hogyan lehet teljesen eltávolítani a vírust a flash meghajtóról, és nem veszíteni.

Az USB-meghajtók használata egyszerű és kényelmes módja a fájlok gyors mozgatásának az eszközök között.

Az összes előny mellett van egy negatív oldala is - a vírussal való gyors fertőzés.

Elég a meghajtót egy már fertőzött számítógéphez csatlakoztatni, hogy a vírus látható jelek nélkül kerüljön a pendrive-ra.

Malware feladat– a fertőzött kód terjesztése más számítógépekre. Ennek a kódnak számos célja lehet – az adatok ellopásától a használatig.

Milyen vírussal fertőződhet meg a pendrive?

A flash meghajtó vírusainak négy fő típusa van manapság:

• Parancsikonokat létrehozó kártevő . Ennek a vírusnak az a lényege, hogy miután flash meghajtóra került, minden fájl (mappák, dokumentumok, képek, videók, futtatható programok) parancsikonokká alakul;
• A második típus parancsikont hoz létre a „Sajátgép” rendszermappában egy külső meghajtó elindításához, amely felváltja a szabványos segédprogramot. Ennek eredményeként a felhasználó a parancsikonra kattintva elindítja a vírusprogram háttérben történő telepítését, és csak ezután nyitja meg a fájlokat tartalmazó mappát;
• . Amikor más számítógépeken fájlokat nyit meg, gyakran láthatja, hogy a meghajtó mappája ismeretlen dokumentumokat tartalmaz, amelyek kiterjesztése info, exe, dll, tte, féreg és egyéb kiterjesztések. Ezek mind trójaiak. Ez a vírustípus a leggyakoribb, és nem minden számítógépen látja a felhasználó a fájl helyét. Gyakran egyszerűen el van rejtve;
• Ransomware vírus - a legveszélyesebb típus. Titkosítja a meghajtón található összes fájlt, és csak a vírus létrehozójának a program által megadott számlára történő átutalásával lehet visszafejteni. Ezt követően állítólag kap egy feloldó kulcsot. Ha ilyen típusú kártevővel szembesül, határozottan nem javasoljuk a pénz küldését. A legtöbb esetben a probléma megoldható speciális dekódoló segédprogramokkal, amelyek meghatározzák a titkosítás típusát és a .

A rosszindulatú programok egyéb módosításai is lehetnek. Például azok, amelyek egyszerre két típust kombinálnak – a fájlok lecserélése parancsikonokra, valamint a számítógépre való terjesztés rejtett fájlon vagy a háttérben futó segédprogramokon keresztül, valamint a külső meghajtó és más változatok indítására szolgáló parancsikon cseréje.

1. lépés – Olvassa be az USB flash meghajtót

Az első és legfontosabb lépés, amelyet el kell végeznie a vírusok flash meghajtóról való eltávolításához meghajtó vizsgálat indítása víruskeresővel vagy beépített Defenderrel.

Ha bármilyen probléma merül fel a meghajtó fájljaival (például nem nyitható meg, a mappák tartalmának megsértése), javasoljuk, hogy használja a beépített fájlt, valamint bármely más hatékony vírusirtó (, Norton) eredeti másolatát.

Ez növeli az esélyét a vírusszoftver legújabb verzióinak észlelésére és a fájlok érintetlenségének megőrzésére.

Kövesse az utasításokat a flash meghajtó átvizsgálásához a szabványos Windows Defender segédprogrammal:

• Csatlakoztassa a flash meghajtót a számítógéphez, de ne nyissa ki a tartalmát;
• Ezután nyissa ki az ablakot "A számítógépem";
• Keresse meg a csatlakoztatott flash meghajtó parancsikonját, és kattintson rá jobb gombbal. A műveletek listájából válassza ki a lehetőséget "Szkennelés a Windows Defenderrel";

• Várja meg a vizsgálat eredményét, és hagyja, hogy a Windows Defender megszabaduljon az összes veszélyes fájltól.

Ha egy másik vírusirtó telepítve van a számítógépére, pontosan ugyanúgy ellenőrizheti a flash meghajtót.

Miután a jobb gombbal kattintott a flash meghajtó ikonjára, a műveletek listája nemcsak a szabványos Defendert jeleníti meg, hanem a kívánt program segítségével történő szkennelés lehetőségét is.

Ha már kinyitott egy flash meghajtót vírussal, akkor nagy valószínűséggel behatolt a számítógépébe.

A kártevő átvizsgálásához és eltávolításához kövesse az alábbi lépéseket:

• Nyissa meg a keresősávot a tálcán, és írja be a Defender kifejezést. A találatok között kattintson az ikonra "Biztonsági Központ";

• Ezután lépjen a lapra "Vírusok és fenyegetések elleni védelem". Az ablak jobb oldalán kattintson a mezőre "Extended Scan". Ez akár fél óráig is eltarthat. Használhatja a gyorsellenőrzést is. Így a víruskereső csak azokat a rendszerfájlokat vizsgálja meg, amelyek a legnagyobb valószínűséggel fertőzöttek.

• A gyanús fájlok és fertőzött objektumok észlelése után javasolt törölni őket. Ezt azonnal megteheti a Windows Defender ablakában.

Ha a fertőzött elemről kiderül, hogy az Ön számára fontos fájl, amelyről nincs másolat, helyezze karanténba az objektumot, és várja meg, amíg a kód összes fertőzött része törlődik.

Ezt követően nyugodtan dolgozhat ezzel a fájllal, de fennáll a vírus ismételt terjedésének lehetősége, ha a Defender nem látja az összes rosszindulatú adatot.

Értesítés! Bármilyen típusú vírus hatékony észleléséhez a legújabb frissítéseket kell telepíteni a számítógépére. Ha letiltotta az automatikus frissítés opciót, nyissa meg a beállítások ablakot a gombokkalGyőzelem-> én. Ezután lépjen a „Frissítési és biztonsági központba”, és manuálisan telepítse a fejlesztő összes legújabb frissítési csomagját. Csak ezt követően kezdje meg a rendszer és a csatlakoztatott flash meghajtók vizsgálatát.

Annak ellenére, hogy a Defender egy szabványos program, nagyon jó munkát végez a vírusok azonosításában és eltávolításában, de ahhoz, hogy hatékonyan működjön, kizárólag csak használni kell.

A fejlesztők csak az operációs rendszer eredeti példányain keresztül terjeszthetnek biztonsági frissítéseket és adatbázisokat a legújabb vírusépítésekkel kapcsolatos információkkal, amelyekkel a Defender később együttműködik.

2. lépés – Formázza az USB-t

A flash meghajtó vírusoktól való megtisztításának következő lépése a meghajtó teljes tartalmának törlése.

A formázást nem lehet visszavonni, ezért ügyeljen arra, hogy ne veszítse el a fontos fájlokat.

Ez a módszer hatékony, mert ennek eredményeként abszolút minden rosszindulatú szkript és rejtett fájl törlődik.

Kövesse az utasításokat:

• Csatlakoztassa az USB-meghajtót a számítógéphez, és nyissa meg a Sajátgép ablakot;
• Ezután kattintson jobb gombbal az eszköz ikonjára, és válassza ki "Formátum";

• Az új ablakban kattintson a „Kezdés” gombra.

Ennek eredményeként a „Sajátgép” ablak automatikusan frissíti az adatokat, és teljesen biztonságos és tiszta flash meghajtót használhat.

3. lépés – Indítás szerkesztése

Az esetek 90% -ában a vírus egy flash meghajtóról terjed a számítógépre.

Ha korábban megnyitotta a meghajtó tartalmát a számítógépén, akkor még egy már formázott flash meghajtó újracsatlakoztatása is újra megfertőzi vírussal.

Nem csak a flash meghajtó vizsgálatát és tisztítását javasoljuk, hanem a vírus automatikus indítási folyamatának szerkesztését is a rendszerablak segítségével. Sok kártevő a háttérben működik, és a számítógép bekapcsolásakor elindul, így nem tudja nyomon követni őket.

Kövesse az utasításokat:

• Nyissa meg a Feladatkezelőt a jobb gombbal a Windows tálcára kattintva. A megjelenő listában válassza ki a kívánt segédprogramot;

• Az új ablakban lépjen az „Indítás” fülre. Tekintse meg az operációs rendszerrel futó alkalmazások teljes listáját. Ha olyan folyamatot lát, amelyet nem ismer, kapcsolja ki.