CRYPTED000007 vírus – fájlok visszafejtése és ransomware eltávolítása. WannaCry ransomware vírus: mit tegyünk? Hogyan lehet felépülni a Wana Decrypt0r ransomware vírusból

A modern technológiák lehetővé teszik a hackerek számára, hogy folyamatosan javítsák a csalási módszereket a hétköznapi felhasználókkal szemben. Általában erre a célra vírusszoftvert használnak, amely behatol a számítógépbe. A ransomware vírusok különösen veszélyesek. A veszély abban rejlik, hogy a vírus nagyon gyorsan terjed, titkosítja a fájlokat (a felhasználó egyszerűen nem tud megnyitni egyetlen dokumentumot sem). És ha ez nagyon egyszerű, akkor sokkal nehezebb megfejteni az adatokat.

Mi a teendő, ha egy vírus titkosított fájlokat tartalmaz a számítógépén

Bárkit megtámadhat egy zsarolóvírus, még a hatékony víruskereső szoftverrel rendelkező felhasználók sem biztosítottak. Fájltitkosítás A trójaiakat különféle kódok képviselik, amelyek meghaladhatják a víruskereső erejét. A hackereknek még olyan nagy cégeket is sikerül ilyen módon megtámadniuk, amelyek nem törődtek velük szükséges védelmet az Ön adatait. Tehát, miután „felvette” a ransomware programot az interneten, számos intézkedést kell tennie.

A fertőzés fő jelei a számítógép lassú teljesítménye és a változó dokumentumnevek (ez az asztalon látható).

1. Indítsa újra a számítógépet a titkosítás megszakításához. Ha engedélyezve van, ne erősítse meg az ismeretlen programok elindítását.
2. Futtassa a víruskeresőt, ha nem támadta meg zsarolóprogram.
3. Egyes esetekben az árnyékmásolatok segítenek az információk helyreállításában. Megtalálásukhoz nyissa meg a titkosított dokumentum "Tulajdonságok" részét. Ez a módszer titkosított adatokkal működik Vault kiterjesztések, amelyről a portálon van információ.
4. Töltse le a legújabb segédprogramot a zsarolóvírusok elleni küzdelemhez. A leghatékonyabbakat a Kaspersky Lab kínálja.

Ransomware vírusok 2016-ban: példák

Bármilyen vírustámadás elleni küzdelem során fontos megérteni, hogy a kód nagyon gyakran változik, új vírusvédelemmel kiegészítve. Természetesen a védelmi programoknak időre van szükségük, amíg a fejlesztő frissíti az adatbázisokat. Kiválogattuk az utóbbi idők legveszélyesebb ransomware vírusait.

Ishtar Ransomware

Az Ishtar egy zsarolóprogram, amely pénzt csal ki a felhasználótól. A vírust 2016 őszén vették észre, és rengeteg oroszországi és több más országbeli felhasználó számítógépét fertőzte meg. Terjesztése e-mailben történik, csatolt dokumentumokkal (telepítők, dokumentumok stb.). Az Ishtar ransomware által megfertőzött adatok nevében az „ISHTAR” előtag szerepel. A folyamat során elkészül egy tesztdokumentum, amely jelzi, hova kell menni a jelszó beszerzéséhez. A támadók 3000-15000 rubelt követelnek érte.

Az Ishtar vírus veszélye, hogy ma nincs olyan dekódoló, amely segítené a felhasználókat. A víruskereső szoftverekkel foglalkozó cégeknek időbe telik az összes kód megfejtése. Most már csak a fontos információkat (ha azok különösen fontosak) elkülönítheti egy külön adathordozón, várva egy olyan segédprogram kiadására, amely képes a dokumentumok visszafejtésére. Javasoljuk, hogy telepítse újra az operációs rendszert.

Neitrino

A Neitrino ransomware 2015-ben jelent meg az interneten. A támadás elve alapján hasonló a hasonló kategóriájú vírusokhoz. Megváltoztatja a mappák és fájlok nevét a „Neitrino” vagy a „Neutrino” hozzáadásával. A vírust nehéz megfejteni - a víruskereső cégek nem minden képviselője vállalja ezt, nagyon összetett kódra hivatkozva. Egyes felhasználók hasznosnak találhatják az árnyékmásolat visszaállítását. Ehhez kattintson a jobb gombbal a titkosított dokumentumra, lépjen a Tulajdonságok menüpontra, az Előző verziók fülre, majd kattintson a Visszaállítás gombra. Nem lesz felesleges a Kaspersky Lab ingyenes segédprogramját használni.

Pénztárca vagy .pénztárca.

A Wallet ransomware vírus 2016 végén jelent meg. A fertőzés során az adatok nevét "Név..pénztárca"-ra vagy valami hasonlóra változtatja. A legtöbb zsarolóvírushoz hasonlóan a számítógépes bûnözõk által küldött e-mail mellékleteken keresztül jut be a rendszerbe. Mivel a fenyegetés nagyon nemrég jelent meg, a vírusirtó programok nem veszik észre. A titkosítás után létrehoz egy dokumentumot, amelyben a csaló megadja a kommunikációhoz szükséges levelet. Jelenleg a víruskereső szoftverfejlesztők dolgoznak a zsarolóprogram kódjának visszafejtésén [e-mail védett] A megtámadott felhasználók csak várhatnak. Ha az adatok fontosak, akkor ajánlott elmenteni ide külső tárhely a rendszer törlésével.

Talány

Az Enigma ransomware vírus 2016 áprilisának végén kezdte megfertőzni az orosz felhasználók számítógépeit. A használt titkosítási modell az AES-RSA, amely manapság a legtöbb ransomware vírusban megtalálható. A vírus egy szkript segítségével jut be a számítógépbe, amelyet a felhasználó maga indít el a gyanús e-mailekből származó fájlok megnyitásával. Még mindig nincs univerzális eszköz az Enigma ransomware leküzdésére. A víruskereső licenccel rendelkező felhasználók a fejlesztő hivatalos webhelyén kérhetnek segítséget. Egy kis "kiskapukat" is találtak - Windows UAC. Ha a felhasználó a „Nem” gombra kattint a vírusfertőzés során megjelenő ablakban, a későbbiekben vissza tudja állítani az információkat a árnyékmásolatok.

Granit

Az új Granit ransomware vírus 2016 őszén jelent meg a weben. A fertőzés a következő forgatókönyv szerint történik: a felhasználó elindítja a telepítőt, amely megfertőzi és titkosítja a számítógépen, valamint a csatlakoztatott meghajtókon található összes adatot. A vírus elleni küzdelem nehéz. Az eltávolításhoz használhatja a Kaspersky speciális segédprogramjait, de a kódot még nem sikerült visszafejteni. Talán az adatok korábbi verzióinak visszaállítása segít. Ráadásul egy nagy tapasztalattal rendelkező szakember meg tudja fejteni, de a szolgáltatás drága.

Tyson

Nemrég észlelték. Ez a jól ismert no_more_ransom ransomware kiterjesztése, amelyről honlapunkon tájékozódhat. Személyi számítógépekbe lép be innen Email... Sok vállalati PC-t megtámadtak. A vírus szöveges dokumentumot hoz létre a feloldási utasításokkal, és felajánlja, hogy váltságdíjat fizet. A Tyson ransomware nemrég jelent meg, így még nincs kulcs a feloldásához. Az információ visszaszerzésének egyetlen módja a visszaküldés előző verziók ha nem távolította el őket vírus. A kockázatot természetesen vállalhatja, ha pénzt utal át a kiberbűnözők által megjelölt számlára, de nincs garancia arra, hogy jelszót kap.

Spora

2017 elején számos felhasználó esett áldozatul az új Spora ransomware-nek. A munka elve szerint nem sokban különbözik társaitól, de professzionálisabb teljesítménnyel büszkélkedhet: jobban össze vannak állítva a jelszó beszerzési utasítások, szebb a weboldal. Létrehozott egy Spora ransomware vírust C nyelven, az RSA és az AES kombinációját használja az áldozat adatainak titkosításához. Általában azokat a számítógépeket támadták meg, amelyeken aktívan használják az 1C könyvelési szoftvert. Az egyszerű .pdf számla leple alatt megbúvó vírus a cég alkalmazottait készteti annak elindítására. Még nem találtak gyógymódot.

1C.Drop.1

Ez az 1C zsarolóvírus 2016 nyarán jelent meg, sok könyvelési osztály munkáját megzavarva. Kifejezetten használó számítógépekhez tervezték szoftver 1C. A számítógépen e-mailben küldött fájlon keresztül jutva felkéri a tulajdonost a program frissítésére. Bármelyik gombot is megnyomja a felhasználó, a vírus elkezdi titkosítani a fájlokat. A Dr.Web szakemberei dolgoznak a visszafejtő eszközökön, de megoldást még nem találtak. Ez a bonyolult kódnak köszönhető, amely többféle módosításban is lehet. Az 1C.Drop.1 elleni védelem csak a felhasználók ébersége és a fontos dokumentumok rendszeres archiválása.

da_vinci_code

Új ransomware szokatlan névvel. A vírus 2016 tavaszán jelent meg. A továbbfejlesztett kóddal és az erős titkosítási móddal különbözik elődeitől. A da_vinci_code megfertőzi a számítógépet a végrehajtó alkalmazásnak köszönhetően (amely általában a email), amelyet a felhasználó önállóan indít el. A da Vinci kód bemásolja a törzset a rendszerkönyvtárba és a rendszerleíró adatbázisba, biztosítva az automatikus indítást, amikor ablakok bekapcsolása... Minden áldozat számítógépéhez egyedi azonosító tartozik (segít a jelszó beszerzésében). Az adatok megfejtése szinte lehetetlen. Fizethet pénzt a kiberbűnözőknek, de senki nem garantálja, hogy megkapja a jelszót.

[e-mail védett] / [e-mail védett]

Két e-mail cím, amelyeket gyakran ransomware vírusokkal társítottak 2016-ban. Ők azok, akik összekötik az áldozatot a támadóval. Csatoltuk a legtöbb címét különböző típusok vírusok: da_vinci_code, no_more_ransom és így tovább. Erősen nem ajánlott csalókkal kapcsolatba lépni és pénzt utalni nekik. A felhasználók a legtöbb esetben jelszavak nélkül maradnak. Ez azt mutatja, hogy a kiberbűnözők zsarolóprogramjai bevételt termelnek.

Breaking Bad

2015 elején jelent meg, de csak egy évvel később terjedt el aktívan. A fertőzés elve megegyezik a többi zsarolóvíruséval: fájl telepítése e-mailből, adatok titkosítása. A rendszeres víruskeresők általában nem veszik észre a Breaking Bad vírust. Egyes kódok nem tudják megkerülni a Windows UAC-t, így a felhasználónak lehetősége van a dokumentumok korábbi verzióinak visszaállítására. Egyelőre egyetlen vírusirtó szoftvercég sem biztosított dekódert.

XTBL

Nagyon gyakori zsarolóprogram, amely sok felhasználónak okozott gondot. A számítógépre kerülve a vírus percek alatt megváltoztatja a fájl kiterjesztését .xtbl-re. Létrejön egy dokumentum, amelyben a támadó zsarol készpénz... Az XTBL vírus bizonyos fajtái nem képesek megsemmisíteni a rendszer-visszaállítási fájlokat, így fontos dokumentumok visszaküldhetők. Maga a vírus számos programmal eltávolítható, de a dokumentumok visszafejtése nagyon nehéz. Ha Ön egy licencelt vírusirtó tulajdonosa, vegye igénybe a technikai támogatást a fertőzött adatok mintáinak csatolásával.

Kukaracha

A "Cucaracha" zsarolóvírust 2016 decemberében észlelték. Egy érdekes nevű vírus az RSA-2048 algoritmus segítségével rejti el a felhasználói fájlokat, amely rendkívül ellenálló. Kaspersky Anti-Virus Trojan-Ransom.Win32.Scatter.lb néven jelölte meg. A Kukaracha eltávolítható a számítógépről, hogy más dokumentumokat ne fertőzzenek meg. A ma fertőzötteket azonban szinte lehetetlen visszafejteni (nagyon erős algoritmus).

Hogyan működik a ransomware vírus

Nagyon sok ransomware létezik, de mindegyik hasonló elven működik.

1. Kapcsolatfelvétel személyi számítógéppel. Általában egy e-mail mellékletnek köszönhetően. A telepítést maga a felhasználó kezdeményezi a dokumentum megnyitásával.
2. Fájlfertőzés. Szinte minden fájltípus titkosított (a vírustól függően). Létrejön egy szöveges dokumentum, amely kapcsolatokat tartalmaz a támadókkal való kommunikációhoz.
3. Minden. A felhasználó semmilyen dokumentumhoz nem fér hozzá.

Ellenőrző szerek népszerű laboratóriumokból

A ransomware széles körben elterjedt használata, amelyek a felhasználói adatok legveszélyesebb fenyegetései, számos vírusirtó laboratórium lendületévé vált. Minden népszerű cég programokat biztosít felhasználóinak a ransomware elleni küzdelemhez. Emellett sokuk a rendszer védelmével segíti a dokumentumok visszafejtését.

Kaspersky és ransomware vírusok

Oroszország és a világ egyik leghíresebb víruskereső laboratóriuma kínálja a leghatékonyabb eszközt a ransomware vírusok elleni küzdelemhez. A ransomware vírus első akadálya a Kaspersky lesz Endpoint Security 10 mp legújabb frissítések... A víruskereső egyszerűen nem engedi át a fenyegetést a számítógépre (bár lehet, hogy nem állítja meg az új verziókat). Az információk visszafejtéséhez a fejlesztő egyszerre több ingyenes segédprogramot is bemutat: XoristDecryptor, RakhniDecryptor és Ransomware Decryptor. Segítenek megtalálni a vírust és kitalálni a jelszót.

Dr. Web és ransomware

Ez a labor a víruskereső program használatát javasolja, amelynek fő funkciója a fájlok biztonsági mentése. A dokumentumok másolatait tartalmazó tárolás is védett a behatolók illetéktelen hozzáférésétől. A licencelt termék tulajdonosai Dr. Web, elérhető a technikai támogatással való kapcsolatfelvétel funkciója. Igaz, még a tapasztalt szakemberek sem mindig képesek ellenállni az ilyen típusú fenyegetéseknek.

ESET Nod 32 és ransomware

Ez a cég sem állt félre, jó védelmet nyújtott felhasználóinak a számítógépbe kerülő vírusok ellen. Ezenkívül a laboratórium nemrégiben kiadott egy ingyenes segédprogramot naprakész adatbázisokkal - az Eset Crysis Decryptort. A fejlesztők azt állítják, hogy még a legújabb zsarolóvírusok elleni küzdelemben is segít.

Önmagukban a vírusok mint számítógépes veszély ma már senkit sem lepnek meg. De ha korábban befolyásolták a rendszer egészét, működési zavarokat okozva, ma, egy olyan változat megjelenésével, mint a ransomware vírus, a behatoló fenyegetés több felhasználói adatot érint. Talán még nagyobb fenyegetést is jelent, mint pusztítót Windows futtatható alkalmazások vagy kémkisalkalmazások.

Mi az a ransomware vírus?

Önmagában az önmásoló vírusba írt kód szinte minden felhasználói adat titkosítását feltételezi speciális kriptográfiai algoritmusokkal anélkül, hogy ez befolyásolná. rendszerfájlokat operációs rendszer.

Eleinte sokak számára nem volt teljesen világos a vírus hatásának logikája. Minden csak akkor vált világossá, amikor az ilyen kisalkalmazásokat létrehozó hackerek pénzt követeltek a kezdeti fájlstruktúra helyreállításáért. Ugyanakkor maga a behatolt titkosító vírus sajátosságai miatt nem teszi lehetővé a fájlok visszafejtését. Ehhez szükség van egy speciális dekódolóra, ha úgy tetszik, egy kódra, egy jelszóra vagy a kívánt tartalom visszaállításához szükséges algoritmusra.

A rendszerbe való behatolás elve és a víruskód működése

Általános szabály, hogy meglehetősen nehéz "felszedni" az ilyen szennyeződéseket az interneten. A „fertőzés” terjedésének fő forrása az adott számítógépes terminálra telepített programok szintjén az e-mail, mint az Outlook, a Thunderbird, a The Bat stb. Azonnali megjegyzés: ez nem vonatkozik az internetes levelezőszerverekre, mivel kellően magas szintű védelemmel rendelkeznek, a felhasználói adatokhoz való hozzáférés csak szinten lehetséges

Egy másik dolog egy alkalmazás a számítógépes terminálon. Itt olyan széles a vírusok működési területe, hogy elképzelhetetlen. Igaz, itt is érdemes foglalni: a legtöbb esetben a nagy cégeket célozzák meg a vírusok, ahonnan a visszafejtő kód biztosításáért pénzt lehet „kilopni”. Ez érthető, elvégre nem csak a helyi számítógépes terminálokon, hanem az ilyen cégek szerverein is nem csak teljes egészében, hanem fájlok is, úgymond egyetlen, semmi esetre sem kitéve megsemmisítésnek kitett példányban. tárolva. Aztán a fájlok visszafejtése a ransomware vírus után meglehetősen problémássá válik.

Természetesen egy átlagos felhasználót is érhet egy ilyen támadás, de ez a legtöbb esetben nem valószínű, ha követi az ismeretlen típusú kiterjesztésű mellékletek megnyitására vonatkozó legegyszerűbb ajánlásokat. Még levelező kliens.jpg kiterjesztésű mellékletet szabványos grafikus fájlként definiál, először a rendszerbe telepített szabványos fájllal kell ellenőrizni.

Ha nem, dupla kattintással megnyitva ( szabványos módszer), elindul a kód aktiválása, és megkezdődik a titkosítási folyamat, amely után ugyanaz a Breaking_Bad (titkosító vírus) nemhogy nem törölhető, de a fájlok sem állíthatók vissza a fenyegetés után. eltávolították.

Az összes ilyen típusú vírus behatolásának általános következményei

Mint már említettük, a legtöbb ilyen típusú vírus e-mailen keresztül jut be a rendszerbe. Nos, tegyük fel, hogy egy nagy szervezetben egy adott ajánlott levélben olyan tartalmú levelet kapunk, hogy „Módosítottuk a szerződést, szkenneljük be a mellékletben” vagy „Számlát küldtek Önnek az áruszállításról (másolat ott)". Természetesen egy gyanútlan alkalmazott megnyitja a fájlt, és...

Az összes felhasználói fájl az irodai dokumentumok, multimédia, speciális AutoCAD projektek vagy bármely más archív adat szintjén azonnal titkosításra kerül, és ha a számítógépes terminál helyi hálózat, a vírus továbbvihető, titkosítva az adatokat más gépeken (ez azonnal észrevehetővé válik, ha a rendszer lelassul és lefagy a programok ill. Ebben a pillanatban alkalmazások).

A titkosítási folyamat végén látszólag maga a vírus küld egyfajta jelentést, ami után a cég üzenetet kaphat, hogy ilyen-olyan fenyegetés került a rendszerbe, és csak ilyen és ilyen szervezet tudja visszafejteni. . Általában ez a vírusra vonatkozik [e-mail védett] Ezt követi a dekódolási szolgáltatások fizetésének kötelezettsége azzal a javaslattal, hogy több fájlt kell küldeni az ügyfél e-mailjére, ami legtöbbször fiktív.

A kódexpozícióból származó kár

Ha valaki még nem értette: a fájlok visszafejtése egy ransomware vírus után meglehetősen munkaigényes folyamat. Még ha nem is „vezetik” a számítógépes bûnözõk követeléseihez, és megpróbálja a hivatalos kormányzati struktúrákat felhasználni a számítógépes bûnözés elleni küzdelemre és azok megelõzésére, általában semmi jó nem lesz.

Ha törli az összes fájlt, előállítja, sőt másolja az eredeti adatokat cserélhető adathordozóról (persze, ha van ilyen másolat), akkor a vírus aktiválásakor minden újra titkosítva lesz. Nem szabad tehát magadnak hízelegni, főleg, hogy ha ugyanazt a pendrive-ot bedugják az USB portba, akkor a felhasználó észre sem veszi, hogyan titkosítja majd a vírus a rajta lévő adatokat. Akkor biztosan nem kerülöd meg a problémákat.

Elsőszülött a családban

Most pedig fordítsuk figyelmünket az első ransomware vírusra. Hogyan lehet gyógyítani és visszafejteni a fájlokat egy randevúzási ajánlathoz csatolt e-mail mellékletben található végrehajtható kódnak való kitettség után, annak megjelenésekor még senki sem gondolta. A katasztrófa mértékére csak idővel derült fény.

Ennek a vírusnak a romantikus neve „Szeretlek” volt. Egy gyanútlan felhasználó megnyitott egy elektronikus üzenet mellékletét, és teljesen lejátszhatatlan multimédiás fájlokat kapott (grafika, videó és hang). Akkor azonban az ilyen akciók pusztítóbbnak tűntek (károkat okozva a felhasználói médiakönyvtáraknak), ezért senki sem követelt pénzt.

Legújabb módosítások

Amint láthatja, a technológia fejlődése meglehetősen jövedelmező üzletté vált, különösen, ha figyelembe vesszük, hogy a nagy szervezetek sok vezetője azonnal fizetni kell a visszafejtési műveletekért, és egyáltalán nem gondol arra, hogy pénzt és információt is veszíthet.

Egyébként ne nézze meg ezeket a "baloldali" bejegyzéseket az interneten, azt mondják: "Kifizettem / kifizettem a szükséges összeget, küldtek egy kódot, minden helyreállt." Ostobaság! Mindezt azért írják a vírus fejlesztői, hogy potenciális, bocsánat, "balekokat" vonzzanak magukhoz. De egy átlagos felhasználó mércéje szerint a fizetendő összegek meglehetősen komolyak: több száztól több ezer vagy tízezer euróig vagy dollárig.

Most pedig vessünk egy pillantást az ilyen típusú vírusok legújabb típusaira, amelyeket viszonylag nemrégiben rögzítettek. Mindegyik gyakorlatilag hasonló, és nem csak a ransomware kategóriába tartozik, hanem az úgynevezett ransomware csoportba is. Egyes esetekben helyesebben járnak el (például paycrypt), például hivatalos üzleti ajánlatokat vagy üzeneteket küldenek arról, hogy valaki törődik a felhasználó vagy szervezet biztonságával. Egy ilyen ransomware vírus egyszerűen félrevezeti a felhasználót az üzenetével. Ha a legkisebb lépést is megteszi, hogy fizessen, minden - a „válás” teljes mértékben megtörténik.

XTBL vírus

A viszonylag friss a ransomware klasszikus verziójának tudható be. Általános szabály, hogy a rendszerbe olyan e-mail üzeneteken keresztül hatol be, amelyek mellékleteket tartalmaznak olyan fájlok formájában, amelyekből szabványos a Windows képernyővédő. A rendszer és a felhasználó úgy gondolja, hogy minden rendben van, és aktiválja a melléklet megtekintését vagy mentését.

Sajnos ez szomorú következményekkel jár: a fájlneveket karakterkészletekké alakítják, és az .xtbl-t hozzáadják a fő kiterjesztéshez, majd üzenetet küldenek a kívánt e-mail címre a visszafejtés lehetőségéről a megadott összeg kifizetése után. összeg (általában 5 ezer rubel).

CBF vírus

Ez a vírustípus is a műfaj klasszikusai közé tartozik. Az e-mail mellékletek megnyitása után jelenik meg a rendszerben, majd átnevezi a felhasználói fájlokat, és a végére ad hozzá egy kiterjesztést, például .nochance vagy .perfect.

Sajnos az ilyen típusú ransomware vírusok visszafejtése a kód tartalmának elemzéséhez még a rendszerben való megjelenésének szakaszában sem lehetséges, mivel a műveletek befejezése után önmagát megsemmisíti. Még sokak szerint egy olyan univerzális eszköz sem segít, mint a RectorDecryptor. A felhasználó ismét fizetést követelő levelet kap, amely két napot kap.

Breaking_Bad virus

Ez a fajta fenyegetés ugyanúgy működik, de átnevezi a fájlokat erre szabványos változat a .breaking_bad kiterjesztéssel.

A helyzet nem korlátozódik erre. A korábbi vírusokkal ellentétben ez egy másik kiterjesztést is létrehozhat - .Heisenberg, így nem mindig sikerül minden fertőzött fájlt megtalálni. Tehát a Breaking_Bad (ransomware vírus) meglehetősen komoly fenyegetést jelent. Egyébként vannak esetek, amikor még a licencelt Kaspersky Endpoint Security 10 csomag is átengedi az ilyen típusú fenyegetést.

Vírus [e-mail védett]

Itt van egy másik, talán a legsúlyosabb fenyegetés, amely leginkább a nagy kereskedelmi szervezetekre irányul. Általában levél érkezik valamelyik osztályhoz, amely úgy tűnik, a szállítási szerződés módosítását tartalmazza, vagy akár csak egy számlát. A melléklet tartalmazhat normál .jpg fájlt (például képet), de gyakrabban futtatható script.js-t (Java kisalkalmazás).

Hogyan lehet visszafejteni az ilyen típusú ransomware vírusokat? Abból a tényből ítélve, hogy valami ismeretlen RSA-1024 algoritmust használnak ott, semmiképpen. Ahogy a neve is sugallja, ez egy 1024 bites titkosítási rendszer. De ha valaki emlékszik, ma a 256 bites AES a legfejlettebb.

Titkosító vírus: a fájlok vírusirtó szoftverrel történő fertőtlenítése és visszafejtése

A mai napig nem találtak ilyen típusú megoldásokat az ilyen típusú fenyegetések visszafejtésére. Még olyan mesterek is a vírusvédelem területén, mint a Kaspersky, Dr. A Web és az Eset nem találja a probléma megoldásának kulcsát, ha egy ransomware vírus örökölte azt a rendszerben. Hogyan kell fertőtleníteni a fájlokat? A legtöbb esetben ajánlatos kérést küldeni a vírusirtó fejlesztő hivatalos webhelyére (egyébként csak akkor, ha a rendszer rendelkezik ennek a fejlesztőnek a licencelt szoftverével).

Ebben az esetben csatolnia kell több titkosított fájlt, valamint azok "egészséges" eredetijét, ha vannak ilyenek. Általánosságban elmondható, hogy kevesen mentik el az adatok másolatait, így hiányuk problémája csak súlyosbítja az amúgy is kellemetlen helyzetet.

A fenyegetés manuális azonosításának és orvoslásának lehetséges módjai

Igen, a hagyományos vírusirtókkal végzett vizsgálat észleli a fenyegetéseket, sőt eltávolítja azokat a rendszerből. De mi a helyzet az információkkal?

Vannak, akik megpróbálnak olyan dekódoló programokat használni, mint a már említett RectorDecryptor (RakhniDecryptor) segédprogram. Azonnal jegyezzük meg: ez nem segít. A Breaking_Bad vírus esetében pedig csak sokat árthat. És ezért.

Az a tény, hogy az ilyen vírusokat létrehozó emberek megpróbálják megvédeni magukat és útmutatást adni másoknak. Amikor a dekódoláshoz segédprogramokat használ, a vírus úgy reagálhat, hogy az egész rendszer "elrepül", és a rajta tárolt összes adatot teljesen megsemmisíti. merevlemezek vagy logikai partíciókban. Ez, úgymond, jelzésértékű lecke mindazok építkezésére, akik nem akarnak fizetni. Csak a hivatalos vírusirtó laboratóriumokban bízhatunk.

Kardinális módszerek

Ha azonban a dolgok nagyon rosszak, akkor fel kell áldoznia az információkat. A fenyegetés teljes megszabadulásához formázni kell a teljes merevlemezt, beleértve a virtuális partíciókat is, majd újra kell telepítenie az "operációs rendszert".

Sajnos nincs más kiút. Még egy bizonyos mentett visszaállítási pontig sem segít. A vírus eltűnhet, de a fájlok titkosítva maradnak.

Utószó helyett

Összegzésképpen meg kell jegyezni, hogy a helyzet a következő: egy ransomware vírus behatol a rendszerbe, elvégzi a piszkos tetteit, és nem gyógyítja meg semmilyen ismert módszerrel. A vírusvédelmi rendszerek nem voltak felkészülve az ilyen típusú fenyegetésekre. Magától értetődik, hogy a vírust expozíció után észlelheti vagy eltávolíthatja. De a titkosított információ csúnya marad. Szeretnénk tehát remélni, hogy a vírusirtó szoftvergyártók legjobb elméi ennek ellenére találnak megoldást, bár a titkosítási algoritmusok alapján nagyon nehéz lesz. Emlékezzünk például az Enigma titkosítógépre, amellyel a német haditengerészet rendelkezett a második világháború idején. A legjobb kriptográfusok addig nem tudták megoldani az üzenetek visszafejtésére szolgáló algoritmus problémáját, amíg a kezükbe nem került az eszköz. Itt is ez a helyzet.

Egy rosszindulatú program, amely aktiválásakor titkosít minden személyes fájlt, például dokumentumokat, fényképeket stb. Az ilyen programok száma igen nagy, és napról napra növekszik. Nemrég találkoztunk több tucat titkosítási lehetőséggel: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, stb. Az ilyen ransomware vírusok célja, hogy rákényszerítsék a felhasználókat, hogy gyakran nagy összegért vásároljanak egy programot és egy kulcsot, amelyek a saját fájljaik visszafejtéséhez szükségesek.

Természetesen a titkosított fájlokat egyszerűen visszaállíthatja, ha követi azokat az utasításokat, amelyeket a vírus létrehozói hagynak a fertőzött számítógépen. De leggyakrabban a visszafejtés költsége nagyon jelentős, tudnia kell azt is, hogy egyes ransomware vírusok úgy titkosítják a fájlokat, hogy azokat később egyszerűen lehetetlen visszafejteni. És persze csak frusztráló, ha fizetni kell a saját fájlok helyreállításáért.

Az alábbiakban részletesebben bemutatjuk a ransomware vírusokat, hogyan hatolnak be az áldozat számítógépébe, valamint hogyan távolítsuk el a ransomware vírust és állítsuk vissza az általa titkosított fájlokat.

Hogyan hatol be a ransomware vírus a számítógépbe

A ransomware vírus általában e-mailben terjed. A levél fertőzött dokumentumokat tartalmaz. Ezeket az e-maileket az e-mail címek hatalmas adatbázisába küldik. A vírus szerzői félrevezető fejlécekkel és levelek tartalmával próbálják rávenni a felhasználót a levélhez csatolt dokumentum megnyitására. A levelek egy része a számla befizetésének szükségességéről tájékoztat, mások a legfrissebb árlista megtekintését, mások egy vicces fotó megnyitását, stb. Mindenesetre a csatolt fájl megnyitásának eredménye a számítógép titkosító vírussal való megfertőzése lesz.

Mi az a ransomware vírus

A ransomware vírus egy olyan rosszindulatú program, amely megfertőzi a Windows operációs rendszerek modern verzióit, például a Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 rendszereket. Ezek a vírusok a lehető legerősebb titkosítási módokat próbálják használni, például az RSA-2048-at. 2048 bites kulcshosszúsággal, ami gyakorlatilag kizárja annak lehetőségét, hogy önállóan válasszon kulcsot a fájlok visszafejtéséhez.

A számítógép megfertőzése közben a ransomware vírus a% APPDATA% rendszerkönyvtárat használja saját fájljai tárolására. Mert automatikus indítás a számítógép bekapcsolásakor a zsarolóprogram bejegyzést hoz létre Windows rendszerleíró adatbázis: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Az indítás után a vírus azonnal megvizsgálja az összes elérhető meghajtót, beleértve a hálózati és a felhőalapú tárolás a titkosítandó fájlok meghatározásához. A ransomware vírus a fájlnév-kiterjesztést használja a titkosítandó fájlok csoportjának meghatározására. Szinte minden típusú fájl titkosított, beleértve az olyan gyakoriakat is, mint:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, pénztárca, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

A fájl titkosítása után azonnal új kiterjesztést kap, amely gyakran használható a ransomware nevének vagy típusának azonosítására. Ezen rosszindulatú programok bizonyos típusai a titkosított fájlok nevét is módosíthatják. A vírus ezután létrehoz egy szöveges dokumentumot, amelynek neve: HELP_YOUR_FILES, README, amely utasításokat tartalmaz a titkosított fájlok visszafejtésére.

Működése során a ransomware vírus megpróbálja bezárni a fájlok visszaállításának lehetőségét az SVC rendszer segítségével (árnyékfájlmásolatok). Ehhez a vírus parancs módban meghívja a fájlok árnyékmásolatainak adminisztrálására szolgáló segédprogramot egy kulccsal, amely elindítja a teljes eltávolítási eljárást. Így szinte mindig lehetetlen visszaállítani a fájlokat árnyékmásolataik használatával.

A ransomware vírus aktívan alkalmaz megfélemlítési taktikát, hivatkozást ad az áldozatnak a titkosítási algoritmus leírásához, és fenyegető üzenetet jelenít meg az asztalon. Ily módon megpróbálja habozás nélkül rákényszeríteni a fertőzött számítógép felhasználóját, hogy küldje el a számítógép azonosítóját a vírus szerzőjének e-mail címére, hogy megpróbálja visszaszerezni fájljait. Az ilyen üzenetekre a válasz leggyakrabban a váltságdíj összege és az e-pénztárca címe.

Megfertőződött a számítógépem egy zsarolóvírussal?

Nagyon könnyű megállapítani, hogy egy számítógép fertőzött-e ransomware vírussal vagy sem. Ügyeljen személyes fájljainak kiterjesztésére, például dokumentumokra, fényképekre, zenékre stb. Ha a kiterjesztés megváltozott, vagy a személyes fájljai eltűntek, sok ismeretlen nevű fájlt hagyva maguk után, akkor a számítógép megfertőződött. Ezenkívül a fertőzés jele egy HELP_YOUR_FILES vagy README nevű fájl jelenléte a könyvtáraiban. Ez a fájl utasításokat tartalmaz a fájlok visszafejtéséhez.

Ha azt gyanítja, hogy egy zsarolóprogram által vírussal fertőzött üzenetet nyitott meg, de még nincsenek fertőzés tünetei, akkor ne kapcsolja ki vagy indítsa újra a számítógépet. Kövesse az utasítás szakaszának lépéseit. Még egyszer megismétlem, nagyon fontos, hogy ne kapcsolja ki a számítógépet, bizonyos típusú titkosítási ransomware-eknél a fájltitkosítási folyamat a számítógép fertőzés utáni első bekapcsolásakor aktiválódik!

Hogyan lehet visszafejteni a ransomware vírus által titkosított fájlokat?

Ha ez a szerencsétlenség megtörtént, akkor nem kell pánikba esni! De tudnod kell, hogy a legtöbb esetben nincs ingyenes visszafejtő. Ez az ilyenek által használt erős titkosítási algoritmusoknak köszönhető rosszindulatú... Ez azt jelenti, hogy szinte lehetetlen visszafejteni a fájlokat privát kulcs nélkül. A kulcskiválasztás módszere szintén nem választható a nagy kulcshossz miatt. Ezért sajnos csak a vírus szerzőinek a teljes kért összeg kifizetése az egyetlen módja annak, hogy megpróbálják megszerezni a visszafejtő kulcsot.

Természetesen semmi sem garantálja, hogy fizetés után a vírus szerzői felveszik a kapcsolatot és megadják a fájlok visszafejtéséhez szükséges kulcsot. Ezenkívül meg kell értenie, hogy azzal, hogy pénzt fizet a vírusfejlesztőknek, saját maga készteti őket új vírusok létrehozására.

Hogyan lehet eltávolítani a ransomware vírust?

Mielőtt ezt folytatná, tudnia kell, hogy a vírus eltávolításának megkezdésével és a fájlok önálló visszaállításával blokkolja a fájlok visszafejtésének lehetőségét azáltal, hogy kifizeti a vírus szerzőinek az általuk kért összeget.

Kaspersky Vírus eltávolítása A Tool és a Malwarebytes Anti-malware különféle típusú aktív ransomware vírusokat képes észlelni, és könnyen eltávolíthatja azokat a számítógépéről, DE nem tudják visszaállítani a titkosított fájlokat.

5.1. Távolítsa el a zsarolóvírust a Kaspersky Virus Removal Tool segítségével

Alapértelmezés szerint a program úgy van beállítva, hogy minden típusú fájlt visszaállítson, de a munka felgyorsítása érdekében ajánlatos csak azokat a fájltípusokat hagyni, amelyeket vissza kell állítani. A kijelölés befejezése után kattintson az OK gombra.

A QPhotoRec ablak alján keresse meg a Tallózás gombot, és kattintson rá. Ki kell választania azt a könyvtárat, ahová a helyreállított fájlok mentésre kerülnek. Olyan meghajtót célszerű használni, amely nem tartalmaz titkosított, helyreállítást igénylő fájlokat (használhat USB flash meghajtót vagy külső meghajtót).

A titkosított fájlok eredeti példányainak megkeresésére és visszaállítására irányuló eljárás elindításához kattintson a Keresés gombra. Ez a folyamat sokáig tart, ezért légy türelmes.

Ha a keresés véget ért, kattintson a Kilépés gombra. Most nyissa meg azt a mappát, amelyet a helyreállított fájlok mentéséhez választott.

A mappa a recup_dir.1, recup_dir.2, recup_dir.3 stb. nevű könyvtárakat tartalmazza. Hogyan több fájl a program megtalálja, annál több könyvtár lesz. A szükséges fájlok megtalálásához egymás után ellenőrizze az összes könyvtárat. A kívánt fájl könnyebb megtalálása érdekében, többek között egy nagy szám visszaállítva használja a beépített Windows keresőrendszert (fájltartalom szerint), és ne felejtse el a fájlok könyvtárakba rendezésének funkcióját. Rendezési lehetőségként kiválaszthatja a fájl módosításának dátumát, mert a QPhotoRec megpróbálja visszaállítani ezt a tulajdonságot a fájl visszaállításakor.

Hogyan lehet megakadályozni, hogy egy számítógépes zsarolóvírus megfertőződjön?

A legtöbb modern víruskereső program már rendelkezik beépített rendszerrel a ransomware vírusok behatolása és aktiválása ellen. Ezért, ha a számítógép nem rendelkezik víruskereső szoftver, akkor mindenképpen telepítse. Ezt elolvasva megtudhatja, hogyan kell kiválasztani.

Ezenkívül speciális biztonsági programok is vannak. Például ez a CryptoPrevent, további részletek.

Néhány utolsó szó

Ha követi ezt az utasítást, számítógépét megtisztítja a ransomware vírus. Ha bármilyen kérdése van, vagy segítségre van szüksége, forduljon hozzánk.

Egy új zsarolóvírus, a WannaCry (más néven Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) hulláma söpört végig a világon, amely számítógépen titkosítja a dokumentumokat, és ezek dekódolásáért 300-600 USD-t kicsikar. Honnan tudhatom, hogy a számítógépem fertőzött? Mit kell tenni, hogy ne váljunk áldozattá? És mit kell tenni a gyógyulás érdekében?

A frissítések telepítése után a számítógépet újra kell indítani.

Hogyan lehet felépülni a Wana Decrypt0r ransomware vírusból?

Amikor a víruskereső segédprogram vírust észlel, vagy azonnal eltávolítja azt, vagy megkéri, hogy kezelje, vagy sem? A válasz a gyógyulás.

Hogyan lehet visszaállítani a Wana Decryptor által titkosított fájlokat?

Jelenleg semmi megnyugtatóról nem tudunk beszámolni. Eddig még nem jött létre fájl visszafejtő eszköz. Egyelőre csak várni kell a visszafejtő fejlesztésére.

Brian Krebs, a téma szakértője szerint számítógép biztonság, jelenleg csak 26 000 USD-t kaptak a bûnözõk, vagyis csak körülbelül 58 ember vállalta, hogy kifizesse a váltságdíjat a zsarolóknak. Hogy egy időben helyreállították-e az irataikat, azt senki sem tudja.

Hogyan lehet megállítani a vírus terjedését a hálózaton?

A WannaCry esetében a probléma megoldása a tűzfal (tűzfal) 445-ös portjának blokkolása lehet, amelyen keresztül a fertőzés továbbhalad.