CRYPTED000007 vírus - ako dešifrovať súbory a odstrániť ransomware. WannaCry ransomware virus: čo robiť? Ako sa zotaviť zo šifrovacieho vírusu Wana Decrypt0r

Moderné technológie umožňujú hackerom neustále zlepšovať spôsoby podvodov vo vzťahu k bežným používateľom. Na tieto účely sa spravidla používa vírusový softvér, ktorý preniká do počítača. Šifrovacie vírusy sa považujú za obzvlášť nebezpečné. Hrozba spočíva v tom, že vírus sa šíri veľmi rýchlo a šifruje súbory (používateľ jednoducho nemôže otvoriť žiadny dokument). A ak je to celkom jednoduché, potom je oveľa ťažšie dešifrovať údaje.

Čo robiť, ak vírus zašifroval súbory vo vašom počítači

Každý môže byť napadnutý ransomvérom, dokonca aj používatelia, ktorí majú výkonný antivírusový softvér, nie sú poistení. Trójske kone na šifrovanie súborov sú reprezentované odlišným kódom, ktorý môže byť nad sily antivírusu. Hackerom sa dokonca takto darí napádať veľké spoločnosti, o ktoré sa nestarali potrebná ochrana tvoja informácia. Takže po „vyzdvihnutí“ ransomvérového programu online musíte urobiť niekoľko opatrení.

Hlavnými príznakmi infekcie je pomalý chod počítača a zmena názvov dokumentov (môžete to vidieť na ploche).

1. Ak chcete zastaviť šifrovanie, reštartujte počítač. Keď je povolená, nepotvrdzujte spustenie neznámych programov.
2. Spustite antivírus, ak nebol napadnutý ransomvérom.
3. V niektorých prípadoch tieňové kópie pomôžu obnoviť informácie. Ak ich chcete nájsť, otvorte "Vlastnosti" zašifrovaného dokumentu. Táto metóda pracuje so šifrovanými údajmi Rozšírenia trezoru, o ktorej sú na portáli informácie.
4. Stiahnite si najnovšiu pomôcku na ochranu proti kryptovírusom. Tie najúčinnejšie ponúka spoločnosť Kaspersky Lab.

Šifrovacie vírusy v roku 2016: príklady

Pri boji s akýmkoľvek vírusovým útokom je dôležité pochopiť, že kód sa veľmi často mení, doplnený o novú antivírusovú ochranu. Samozrejme, ochranné programy potrebujú nejaký čas, kým vývojár aktualizuje databázy. Vybrali sme najnebezpečnejšie šifrovacie vírusy poslednej doby.

Ishtar ransomvér

Ishtar je ransomvér, ktorý od používateľa vymáha peniaze. Vírus bol zaznamenaný na jeseň roku 2016 a infikoval obrovské množstvo počítačov používateľov z Ruska a mnohých ďalších krajín. Je distribuovaný pomocou e-mailovej distribúcie, ktorá obsahuje priložené dokumenty (inštalátory, dokumenty atď.). Dáta infikované ransomvérom Ishtar majú v názve predponu „ISHTAR“. Tento proces vytvorí testovací dokument, ktorý naznačuje, kam ísť získať heslo. Útočníci za to požadujú od 3 000 do 15 000 rubľov.

Nebezpečenstvo vírusu Ishtar je v tom, že dnes neexistuje žiadny dešifrovač, ktorý by používateľom pomohol. Spoločnosti s antivírusovým softvérom potrebujú čas na rozlúštenie celého kódu. Teraz môžete dôležité informácie (ak sú mimoriadne dôležité) izolovať iba na samostatnom médiu a čakať na uvoľnenie nástroja schopného dešifrovať dokumenty. Odporúča sa preinštalovať operačný systém.

Neitrino

Ransomvér Neitrino sa objavil na internete v roku 2015. Princípom útoku je podobný iným vírusom tejto kategórie. Zmení názvy priečinkov a súborov pridaním „Neitrino“ alebo „Neutrino“. Vírus je ťažké dešifrovať - ​​zďaleka nie všetci zástupcovia antivírusových spoločností to robia s odkazom na veľmi zložitý kód. Niektorým používateľom môže pomôcť obnovenie tieňovej kópie. Ak to chcete urobiť, kliknite pravým tlačidlom myši na zašifrovaný dokument, prejdite na položku „Vlastnosti“, kartu „Predchádzajúce verzie“ a kliknite na položku „Obnoviť“. Nebude zbytočné používať bezplatný nástroj od spoločnosti Kaspersky Lab.

Peňaženka alebo .peňaženka.

Šifrovací vírus Wallet sa objavil na konci roka 2016. Počas procesu infekcie zmení názov údajov na "Name..peňaženka" alebo podobne. Ako väčšina ransomvérových vírusov sa do systému dostáva prostredníctvom e-mailových príloh, ktoré posielajú hackeri. Keďže sa hrozba objavila pomerne nedávno, antivírusové programy si ju nevšimnú. Po zašifrovaní vytvorí dokument, v ktorom podvodník špecifikuje poštu na komunikáciu. V súčasnosti vývojári antivírusového softvéru pracujú na dešifrovaní kódu vírusu ransomware. [chránený e-mailom] Napadnutí užívatelia môžu len čakať. Ak sú údaje dôležité, odporúča sa ich uložiť externý disk vyčistením systému.

Enigma

Šifrovací vírus Enigma začal koncom apríla 2016 infikovať počítače ruských používateľov. Používa model šifrovania AES-RSA, ktorý sa dnes nachádza vo väčšine ransomvéru. Vírus preniká do počítača pomocou skriptu, ktorý si používateľ sám spúšťa otváraním súborov z podozrivého emailu. Univerzálny liek, ako sa vysporiadať so šifrou Enigma, stále neexistuje. Používatelia, ktorí majú licenciu na antivírus, môžu požiadať o pomoc na oficiálnej webovej stránke vývojára. Našla sa aj malá „medzera“ – Windows UAC. Ak používateľ klikne na „Nie“ v okne, ktoré sa objaví počas procesu infekcie vírusom, bude môcť následne obnoviť informácie pomocou tieňové kópie.

Žula

Na jeseň 2016 sa na webe objavil nový ransomvérový vírus Granit. K infekcii dochádza podľa nasledujúceho scenára: používateľ spustí inštalačný program, ktorý infikuje a zašifruje všetky údaje na počítači a pripojených jednotkách. Boj s vírusom je ťažký. Na jeho odstránenie môžete použiť špeciálne nástroje od spoločnosti Kaspersky, ale kód ešte nebol dešifrovaný. Pomôcť môže obnovenie predchádzajúcich verzií údajov. Okrem toho môže dešifrovať špecialista, ktorý má bohaté skúsenosti, ale služba je drahá.

Tyson

Nedávno bolo videné. Ide o rozšírenie už známeho ransomvéru no_more_ransom, o ktorom sa môžete dozvedieť na našej stránke. Preniká do osobných počítačov Email. Mnoho firemných počítačov bolo napadnutých. Vírus vytvorí textový dokument s pokynmi na odomknutie a ponúkne zaplatenie „výkupného“. Nedávno sa objavil ransomvér Tyson, takže zatiaľ neexistuje kľúč na odomknutie. Jediný spôsob, ako obnoviť informácie, je vrátiť sa predchádzajúce verzie pokiaľ neboli odstránené vírusom. Môžete samozrejme riskovať prevodom peňazí na účet, ktorý útočníci označili, ale nie je zaručené, že heslo dostanete.

Spora

Začiatkom roka 2017 sa množstvo používateľov stalo obeťou nového ransomvéru Spora. Podľa princípu fungovania sa príliš nelíši od svojich náprotivkov, ale môže sa pochváliť profesionálnejším výkonom: pokyny na získanie hesla sú lepšie napísané, web vyzerá krajšie. Vytvorený ransomvér Spora v jazyku C využíva kombináciu RSA a AES na šifrovanie údajov obetí. Spravidla boli napadnuté počítače, na ktorých sa aktívne používa účtovný program 1C. Vírus skrývajúci sa pod rúškom jednoduchej faktúry vo formáte .pdf núti zamestnancov firmy, aby ho spustili. Zatiaľ sa nenašiel žiadny liek.

1C.Drop.1

Tento šifrovací vírus pre 1C sa objavil v lete 2016 a narušil prácu mnohých účtovných oddelení. Navrhnuté špeciálne pre počítače, ktoré používajú softvér 1C. Prechod cez súbor v e-maile do počítača vyzve vlastníka, aby aktualizoval program. Bez ohľadu na to, ktoré tlačidlo používateľ stlačí, vírus začne šifrovať súbory. Špecialisti Dr.Web pracujú na dešifrovacích nástrojoch, no zatiaľ sa nenašlo žiadne riešenie. Môže za to zložitý kód, ktorý môže byť vo viacerých modifikáciách. Jedinou ochranou pred 1C.Drop.1 je ostražitosť používateľov a pravidelná archivácia dôležitých dokumentov.

da_vinci_code

Nový ransomvér s nezvyčajným názvom. Vírus sa objavil na jar 2016. Od svojich predchodcov sa líši vylepšeným kódom a silným režimom šifrovania. da_vinci_code infikuje počítač vďaka spustiteľnej aplikácii (zvyčajne pripojenej k email), ktorý používateľ spustí nezávisle. Da Vinciho kódovač (da Vinciho kód) skopíruje telo do systémového adresára a registra, čím zaistí automatické spustenie pri zapnutie systému Windows. Počítač každej obete má pridelené jedinečné ID (pomáha získať heslo). Dešifrovanie údajov je takmer nemožné. Útočníkom môžete zaplatiť peniaze, ale nikto vám nezaručí, že dostanete heslo.

[chránený e-mailom] / [chránený e-mailom]

Dve e-mailové adresy, ktoré často sprevádzali ransomvér v roku 2016. Slúžia na spojenie obete s útočníkom. V prílohe boli adresy na najviac odlišné typy vírusy: da_vinci_code, no_more_ransom a tak ďalej. Dôrazne sa neodporúča kontaktovať a prevádzať peniaze podvodníkom. Používatelia vo väčšine prípadov zostávajú bez hesla. To znamená, že útočníci ransomware funguje a generujú príjem.

Breaking Bad

Objavil sa začiatkom roka 2015, ale aktívne sa rozšíril až o rok neskôr. Princíp infekcie je identický s iným ransomware: inštalácia súboru z emailu, šifrovanie dát. Bežné antivírusy si vírus Breaking Bad zvyčajne nevšimnú. Niektoré kódy nemôžu obísť Windows UAC, takže používateľ môže stále obnoviť predchádzajúce verzie dokumentov. Dekodér zatiaľ nepredstavila žiadna spoločnosť vyvíjajúca antivírusový softvér.

XTBL

Veľmi bežný ransomvér, ktorý spôsobil problémy mnohým používateľom. Akonáhle sa vírus dostane do počítača, zmení príponu súboru na .xtbl v priebehu niekoľkých minút. Vytvorí sa dokument, v ktorom útočník vydiera hotovosť. Niektoré kmene vírusu XTBL nedokážu zničiť súbory obnovenia systému, čo umožňuje obnovenie dôležitých dokumentov. Samotný vírus je možné odstrániť mnohými programami, ale dešifrovanie dokumentov je veľmi ťažké. Ak vlastníte licencovaný antivírus, využite technickú podporu priložením vzoriek infikovaných údajov.

Kukaracha

Šifra Kukaracha bola objavená v decembri 2016. Vírus so zaujímavým názvom skrýva používateľské súbory pomocou algoritmu RSA-2048, ktorý je vysoko odolný. Antivírus Kaspersky označil ho ako Trojan-Ransom.Win32.Scatter.lb. Kukaracha je možné odstrániť z počítača, aby neboli infikované ďalšie dokumenty. Infikované je však dnes takmer nemožné dešifrovať (veľmi výkonný algoritmus).

Ako funguje ransomvér

Existuje obrovské množstvo ransomvéru, no všetky fungujú na podobnom princípe.

1. Prístup k osobnému počítaču. Spravidla vďaka priloženému súboru k e-mailu. Inštaláciu spúšťa samotný používateľ otvorením dokumentu.
2. Infekcia súboru. Takmer všetky typy súborov sú šifrované (v závislosti od vírusu). Vytvorí sa textový dokument, ktorý obsahuje kontakty pre komunikáciu s narušiteľmi.
3. Všetko. Používateľ nemá prístup k žiadnemu dokumentu.

Prostriedky z populárnych laboratórií

Široké používanie ransomvéru, ktorý sa považuje za najnebezpečnejšiu hrozbu pre používateľské dáta, sa stalo impulzom pre mnohé antivírusové laboratóriá. Každá populárna spoločnosť poskytuje svojim používateľom programy, ktoré im pomáhajú bojovať proti ransomvéru. Mnohé z nich navyše pomáhajú s dešifrovaním dokumentov chránených systémom.

Kaspersky a šifrovacie vírusy

Jedno z najznámejších antivírusových laboratórií v Rusku a vo svete dnes ponúka najefektívnejšie prostriedky na boj proti vírusom ransomware. Kaspersky sa stane prvou prekážkou pre vírus ransomware Zabezpečenie koncového bodu 10 s najnovšie aktualizácie. Antivírus jednoducho nedovolí hrozbe preniknúť do počítača (nové verzie sa však nemusia zastaviť). Na dešifrovanie informácií vývojár predstavuje niekoľko bezplatných nástrojov naraz: XoristDecryptor, RakhniDecryptor a Ransomware Decryptor. Pomáhajú nájsť vírus a získať heslo.

DR. Web a ransomvér

Toto laboratórium odporúča používať ich antivírusový program, ktorého hlavnou funkciou je zálohovanie súborov. Úložisko s kópiami dokumentov je tiež chránené pred neoprávneným prístupom narušiteľov. Majitelia licencovaného produktu Dr. Web, je k dispozícii funkcia kontaktovania technickej podpory so žiadosťou o pomoc. Je pravda, že ani skúsení špecialisti nemôžu vždy odolať tomuto typu hrozby.

ESET Nod 32 a ransomvér

Bokom nezostala ani táto spoločnosť, ktorá svojim používateľom poskytuje dobrú ochranu pred vírusmi prenikajúcimi do počítača. Laboratórium navyše nedávno vydalo bezplatnú utilitu s aktuálnymi databázami – Eset Crysis Decryptor. Vývojári tvrdia, že pomôže v boji aj proti najnovšiemu ransomvéru.

Samotné vírusy ako počítačová hrozba už dnes nikoho neprekvapujú. Ak však skôr ovplyvnili systém ako celok a spôsobili zlyhania v jeho výkone, dnes, s príchodom takej odrody, ako je ransomvérový vírus, sa akcie prenikajúcej hrozby týkajú väčšieho množstva používateľských údajov. Predstavuje možno ešte väčšiu hrozbu ako tie deštruktívne Spustiteľné súbory systému Windows aplikácie alebo špionážne applety.

Čo je to ransomware vírus?

Samotný kód, napísaný v samokopírovacom víruse, zahŕňa šifrovanie takmer všetkých používateľských údajov pomocou špeciálnych kryptografických algoritmov bez ovplyvnenia systémové súbory operačný systém.

Mnohým spočiatku logika dopadu vírusu nebola celkom jasná. Všetko sa vyjasnilo, až keď hackeri, ktorí takéto applety vytvorili, začali žiadať peniaze za obnovenie pôvodnej štruktúry súborov. Zároveň infiltrovaný ransomvérový vírus sám o sebe vďaka svojim vlastnostiam neumožňuje dešifrovanie súborov. Na to potrebujete špeciálny dešifrovač, ak chcete, kód, heslo alebo algoritmus potrebný na obnovenie obsahu, ktorý hľadáte.

Princíp prieniku do systému a fungovanie vírusového kódu

Spravidla je dosť ťažké „vyzdvihnúť“ takéto bahno na internete. Hlavným zdrojom šírenia „infekcie“ je elektronická pošta na úrovni programov nainštalovaných na konkrétnom počítačovom termináli, ako je Outlook, Thunderbird, The Bat atď., k užívateľským dátam je možné len na úrovni

Ďalšia vec je aplikácia na počítačovom termináli. Tu je pole pre pôsobenie vírusov také široké, že si to nemožno predstaviť. Je pravda, že sa tu oplatí urobiť rezerváciu: vo väčšine prípadov sú vírusy zamerané na veľké spoločnosti, z ktorých môžete „vytrhnúť“ peniaze za poskytnutie dešifrovacieho kódu. Je to pochopiteľné, pretože nielen na lokálnych počítačových termináloch, ale aj na serveroch takýchto firiem je možné ukladať nielen kompletné súbory, ale aj súbory takpovediac v jedinej kópii, ktoré v žiadnom prípade nepodliehajú zničeniu. A potom sa dešifrovanie súborov po šifrovacom víruse stáva dosť problematické.

Samozrejme, takémuto útoku môže byť vystavený aj bežný používateľ, ale vo väčšine prípadov je to nepravdepodobné, ak budete postupovať podľa najjednoduchších odporúčaní na otváranie príloh s rozšíreniami neznámeho typu. Dokonca poštového klienta definuje prílohu s príponou .jpg ako štandardný grafický súbor, najskôr ju treba skontrolovať so štandardným nainštalovaným v systéme.

Ak sa tak nestane, pri otvorení dvojitým kliknutím ( štandardná metóda) spustí sa aktivácia kódu a spustí sa proces šifrovania, po ktorom nebude možné ten istý Breaking_Bad (šifrovací vírus) nielen odstrániť, ale po odstránení hrozby nebude možné súbory obnoviť.

Všeobecné dôsledky prenikania všetkých vírusov tohto typu

Ako už bolo spomenuté, väčšina vírusov tohto typu sa do systému dostáva cez e-mail. Povedzme, že vo veľkej organizácii príde na konkrétny doporučený e-mail list s obsahom ako „Zmenili sme zmluvu, sken je v prílohe“ alebo „Bola vám zaslaná faktúra za odoslanie tovaru (a skopírujte tam)“. Prirodzene, nič netušiaci zamestnanec otvorí súbor a...

Všetky užívateľské súbory na úrovni kancelárskych dokumentov, multimédií, špecializovaných projektov AutoCADu alebo akýchkoľvek iných archívnych dát sú okamžite zašifrované, navyše ak je počítačový terminál v lokálna sieť, vírus sa môže prenášať ďalej, šifrovaním údajov na iných strojoch (toto sa prejaví okamžite „zabrzdením“ systému a zmrazením programov alebo programov spustených v tento moment aplikácie).

Na konci šifrovacieho procesu samotný vírus zjavne odošle akúsi správu, po ktorej môže spoločnosť dostať správu, že do systému vstúpila taká a taká hrozba a že iba taká a taká hrozba ju dokáže dešifrovať. . Zvyčajne ide o vírus. [chránený e-mailom]Ďalej prichádza požiadavka zaplatiť za dešifrovacie služby s ponukou zaslania viacerých súborov na klientov e-mail, ktorý je najčastejšie fiktívny.

Poškodenie vplyvom kódu

Ak niekto ešte nepochopil: dešifrovanie súborov po víruse ransomware je dosť namáhavý proces. Aj keď sa „nenecháte viesť“ požiadavkami narušiteľov a snažíte sa využívať oficiálne štátne štruktúry na boj proti počítačovým zločinom a predchádzanie im, zvyčajne z toho nič dobré neplynie.

Ak vymažete všetky súbory, vytvoríte a dokonca skopírujete pôvodné dáta z vymeniteľného média (samozrejme, ak taká kópia existuje), pri aktivácii vírusu bude všetko opäť zašifrované. Nemali by ste sa teda príliš klamať, najmä preto, že keď vložíte rovnaký flash disk do portu USB, používateľ si ani nevšimne, ako vírus na ňom šifruje údaje. Vtedy sa nedostanete do problémov.

Prvorodený v rodine

Teraz upriamme svoju pozornosť na prvý ransomware vírus. Ako liečiť a dešifrovať súbory po vystavení spustiteľnému kódu obsiahnutému v prílohe e-mailu s ponukou zoznámenia, v čase jeho objavenia ešte nikto nepomyslel. Uvedomenie si rozsahu katastrofy prišlo až časom.

Ten vírus mal romantický názov „Milujem ťa“. Nič netušiaci používateľ otvoril prílohu v e-mailovej správe a dostal úplne neprehrateľné multimediálne súbory (grafiku, video a zvuk). Potom však takéto akcie vyzerali deštruktívnejšie (poškodzovanie užívateľských mediálnych knižníc) a nikto za to nežiadal peniaze.

Najnovšie úpravy

Ako môžete vidieť, vývoj technológie sa stal celkom výnosným biznisom, najmä ak si uvedomíte, že mnohí lídri veľkých organizácií okamžite bežia zaplatiť za dešifrovacie aktivity, pričom si vôbec neuvedomujú, že môžu prísť o peniaze aj informácie.

Mimochodom, nepozerajte sa na všetky tieto "ľavé" príspevky na internete, hovoria: "Zaplatil som / zaplatil som požadovanú sumu, poslali mi kód, všetko bolo obnovené." Nezmysel! Toto všetko píšu samotní vývojári vírusu, aby prilákali potenciálnych, prepáčte, „prísavníkov“. Ale podľa štandardov bežného používateľa sú sumy za platbu dosť vážne: od stoviek po niekoľko tisíc alebo desaťtisíc eur alebo dolárov.

Teraz sa pozrime na najnovšie typy vírusov tohto typu, ktoré boli zaznamenané relatívne nedávno. Všetky sú si takmer podobné a patria nielen do kategórie ransomvéru, ale aj do skupiny takzvaných vydieračov. V niektorých prípadoch sa správajú korektnejšie (ako paycrypt), pričom zdanlivo posielajú formálne obchodné návrhy alebo správy, že niekomu záleží na bezpečnosti používateľa alebo organizácie. Takýto šifrovací vírus jednoducho zavádza používateľa svojou správou. Ak urobí čo i len ten najmenší úkon na zaplatenie, je to – „rozvod“ bude úplný.

vírus XTBL

Relatívne nedávno sa objavila možno pripísať klasickej verzii ransomvéru. Do systému sa spravidla dostáva prostredníctvom e-mailových správ obsahujúcich prílohy vo forme súborov, s ktorými je štandardný šetrič obrazovky Windows. Systém a používateľ si myslia, že je všetko v poriadku a aktivujú prezeranie alebo ukladanie prílohy.

Bohužiaľ, to vedie k smutným dôsledkom: názvy súborov sa skonvertujú na množinu znakov a do hlavnej prípony sa pridá ďalšia prípona .xtbl, po ktorej sa po zaplatení určenej adresy odošle správa o možnosti dešifrovania na požadovanú e-mailovú adresu. suma (zvyčajne 5 tisíc rubľov).

CBF vírus

Aj tento typ vírusu patrí ku klasike žánru. Zobrazí sa v systéme po otvorení príloh e-mailov a potom premenuje používateľské súbory a na koniec pridá príponu ako .nochance alebo .perfect.

Bohužiaľ, dešifrovanie tohto typu šifrovacieho vírusu na analýzu obsahu kódu, dokonca aj vo fáze jeho objavenia sa v systéme, nie je možné, pretože po dokončení svojich akcií sa sám zničí. Ani taký, ako si mnohí myslia, univerzálny nástroj ako RectorDecryptor nepomáha. Používateľ opäť dostane list s výzvou na zaplatenie, ktorý dostane dva dni.

Breaking_Bad virus

Tento typ hrozby funguje rovnakým spôsobom, ale premenúva súbory na štandardná verzia, pričom k rozšíreniu pridáte .breaking_bad.

Situácia sa neobmedzuje len na toto. Na rozdiel od predchádzajúcich vírusov dokáže tento vytvoriť aj ďalšiu príponu - .Heisenberg, takže nie vždy je možné nájsť všetky infikované súbory. Breaking_Bad (šifrovací vírus) je teda dosť vážna hrozba. Mimochodom, existujú prípady, keď aj licencovaný balík Kaspersky Endpoint Security 10 postráda tento typ hrozby.

Vírus [chránený e-mailom]

Tu je ďalšia, možno najzávažnejšia hrozba, ktorá je namierená najmä proti veľkým komerčným organizáciám. Spravidla do niektorého oddelenia príde list, ktorý obsahuje údajne zmeny v zmluve o dodávke alebo dokonca len faktúru. Príloha môže obsahovať obyčajný súbor .jpg (napríklad obrázok), ale častejšie spustiteľný súbor script.js (java applet).

Ako dešifrovať tento typ vírusu ransomware? Súdiac podľa toho, že je tam použitý nejaký neznámy algoritmus RSA-1024, v žiadnom prípade. Podľa názvu môžeme predpokladať, že ide o 1024-bitový šifrovací systém. Ale ak si niekto pamätá, dnes sa 256-bitový AES považuje za najpokročilejší.

Šifrovací vírus: ako liečiť a dešifrovať súbory pomocou antivírusového softvéru

Dodnes neboli nájdené žiadne riešenia na dešifrovanie hrozieb tohto typu. Aj takí majstri v oblasti antivírusovej ochrany ako Kaspersky, Dr. Web a Eset nevedia nájsť kľúč k riešeniu problému, keď systém zdedil ransomvérový vírus. Ako liečiť súbory? Vo väčšine prípadov sa odporúča poslať žiadosť na oficiálnu webovú stránku vývojára antivírusu (mimochodom, iba ak má systém licencovaný softvér od tohto vývojára).

V takom prípade musíte pripojiť niekoľko zašifrovaných súborov, ako aj ich „zdravé“ originály, ak nejaké existujú. Vo všeobecnosti len málo ľudí uchováva kópie údajov, takže problém ich absencie len zhoršuje už aj tak nepríjemnú situáciu.

Možné spôsoby ručnej identifikácie a eliminácie hrozby

Áno, pravidelná antivírusová kontrola zisťuje hrozby a dokonca ich odstraňuje zo systému. Ale čo robiť s informáciami?

Niektorí sa pokúšajú použiť dešifrovacie programy, ako je už spomínaný nástroj RectorDecryptor (RakhniDecryptor). Okamžite si všimnite: to nepomôže. A v prípade vírusu Breaking_Bad môže len uškodiť. A preto.

Faktom je, že ľudia, ktorí vytvárajú takéto vírusy, sa snažia chrániť samých seba a dávať rady ostatným. Pri použití dešifrovacích pomôcok môže vírus zareagovať tak, že sa zrúti celý systém a dôjde k úplnému zničeniu všetkých údajov uložených na pevné disky alebo v logických oddieloch. To je takpovediac názorná lekcia pre všetkých, ktorí nechcú platiť. Môžeme len dúfať v oficiálne antivírusové laboratóriá.

Kardinálne metódy

Ak sú však veci naozaj zlé, budete musieť obetovať informácie. Aby ste sa úplne zbavili hrozby, musíte naformátovať celý pevný disk vrátane virtuálnych oddielov a potom znova nainštalovať „OS“.

Žiaľ, iné východisko nie je. Ani do určitého uloženého bodu obnovenia nepomôže. Vírus môže zmiznúť, ale súbory zostanú zašifrované.

Namiesto doslovu

Na záver je potrebné poznamenať, že situácia je nasledovná: vírus ransomware preniká do systému, vykonáva svoju špinavú prácu a nie je vyliečený žiadnymi známymi metódami. Nástroje antivírusovej ochrany neboli na tento typ hrozby pripravené. Je samozrejmé, že vírus môže byť detekovaný po expozícii alebo odstránený. Zašifrované informácie však zostanú v nevzhľadnej podobe. Chcel by som teda dúfať, že najlepšie mysle spoločností zaoberajúcich sa antivírusovým softvérom stále nájdu riešenie, hoci súdiac podľa šifrovacích algoritmov to bude veľmi ťažké. Pripomeňme si aspoň šifrovací stroj Enigma, ktorým disponovala nemecká flotila počas druhej svetovej vojny. Najlepší kryptografi nedokázali vyriešiť problém s algoritmom na dešifrovanie správ, kým sa im zariadenie nedostalo do rúk. Takto sa veci majú.

je škodlivý program, ktorý po aktivácii zašifruje všetky osobné súbory, ako sú dokumenty, fotografie atď. Počet takýchto programov je veľmi veľký a každým dňom sa zvyšuje. Len nedávno sme narazili na desiatky možností ransomvéru: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff atď. Účelom takéhoto ransomvéru je prinútiť používateľov, aby si kúpili, často za veľkú sumu peňazí, program a kľúč potrebný na dešifrovanie ich vlastných súborov.

Samozrejme, zašifrované súbory môžete obnoviť jednoducho podľa pokynov, ktoré tvorcovia vírusu nechajú na infikovanom počítači. Ale najčastejšie sú náklady na dešifrovanie veľmi významné, musíte tiež vedieť, že niektoré šifrovacie vírusy šifrujú súbory takým spôsobom, že je jednoducho nemožné ich dešifrovať neskôr. A samozrejme je len nepríjemné platiť za obnovu vlastných súborov.

Nižšie si povieme podrobnejšie o vírusoch ransomware, o tom, ako prenikajú do počítača obete, ako aj o tom, ako odstrániť vírus ransomware a obnoviť ním zašifrované súbory.

Ako sa ransomvérový vírus dostane do počítača

Vírus ransomware sa zvyčajne distribuuje prostredníctvom e-mailu. List obsahuje infikované dokumenty. Tieto e-maily sa odosielajú do obrovskej databázy e-mailových adries. Autori tohto vírusu používajú zavádzajúce hlavičky a obsah e-mailov, čím sa snažia oklamať používateľa, aby otvoril dokument priložený k e-mailu. Niektoré listy informujú o nutnosti zaplatiť účet, iné ponúkajú nahliadnutie do najnovšieho cenníka, iné otvoria vtipnú fotku atď. V každom prípade výsledkom otvorenia priloženého súboru bude infikovanie počítača vírusom ransomware.

Čo je to ransomware vírus

Vírus ransomware je škodlivý program, ktorý infikuje moderné verzie operačných systémov rodiny Windows, ako sú Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Tieto vírusy sa snažia použiť najsilnejšie možné režimy šifrovania, ako napríklad RSA -2048 s dĺžkou kľúča 2048 bitov, čo prakticky vylučuje možnosť výberu kľúča pre vlastné dešifrovanie súborov.

Počas infikovania počítača ransomvérový vírus používa systémový adresár %APPDATA% na ukladanie vlastných súborov. Pre automatický štart sám, keď zapnete počítač, ransomvér vytvorí záznam Registry systému Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Ihneď po spustení vírus skontroluje všetky dostupné disky vrátane sieťových a cloud-ové úložisko, aby ste určili súbory, ktoré sa majú šifrovať. Vírus ransomware používa príponu názvu súboru ako spôsob, ako určiť skupinu súborov, ktoré budú šifrované. Šifrované sú takmer všetky typy súborov vrátane takých bežných, ako sú:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wp, .wpt, .. .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Ihneď po zašifrovaní súbor dostane novú príponu, pomocou ktorej možno často identifikovať názov alebo typ šifrovača. Niektoré typy tohto malvéru môžu zmeniť aj názvy šifrovaných súborov. Vírus potom vytvorí textový dokument s názvami ako HELP_YOUR_FILES, README, ktorý obsahuje pokyny na dešifrovanie zašifrovaných súborov.

Ransomvér sa počas svojej činnosti snaží zablokovať možnosť obnovy súborov pomocou systému SVC (tieňové kópie súborov). Na tento účel vírus v príkazovom režime zavolá obslužný program na správu tieňových kópií súborov pomocou kľúča, ktorý spustí procedúru ich úplného odstránenia. Preto je takmer vždy nemožné obnoviť súbory pomocou ich tieňových kópií.

Vírus ransomware aktívne používa taktiku zastrašovania tým, že obeti poskytne odkaz na popis šifrovacieho algoritmu a zobrazí na ploche výhražnú správu. Snaží sa tak prinútiť používateľa infikovaného počítača, aby bez váhania poslal ID počítača na e-mailovú adresu autora vírusu, aby sa pokúsil vrátiť svoje súbory. Odpoveďou na takúto správu je najčastejšie výška výkupného a adresa elektronickej peňaženky.

Je môj počítač napadnutý vírusom ransomware?

Je celkom jednoduché určiť, či je počítač infikovaný vírusom ransomware alebo nie. Venujte pozornosť príponám vašich osobných súborov, ako sú dokumenty, fotografie, hudba atď. Ak sa prípona zmenila alebo vaše osobné súbory zmizli a zanechali za sebou veľa súborov s neznámymi názvami, počítač je infikovaný. Okrem toho je znakom infekcie prítomnosť súboru s názvom HELP_YOUR_FILES alebo README vo vašich adresároch. Tento súbor bude obsahovať pokyny na dešifrovanie súborov.

Ak máte podozrenie, že ste otvorili list infikovaný vírusom ransomware, ale zatiaľ sa neprejavili žiadne príznaky infekcie, nevypínajte ani nereštartujte počítač. Postupujte podľa krokov popísaných v časti tohto návodu. Opäť je veľmi dôležité nevypínať počítač, pri niektorých typoch ransomvéru sa proces šifrovania súborov aktivuje už pri prvom zapnutí počítača po infekcii!

Ako dešifrovať súbory zašifrované vírusom ransomware?

Ak sa toto nešťastie stalo, potom nie je dôvod na paniku! Musíte však vedieť, že vo väčšine prípadov neexistuje bezplatný dešifrovač. Je to kvôli silným šifrovacím algoritmom, ktoré používajú malvér. To znamená, že je takmer nemožné dešifrovať súbory bez súkromného kľúča. Použitie metódy výberu kľúča tiež nie je možné z dôvodu veľkej dĺžky kľúča. Preto je, žiaľ, jediným spôsobom, ako sa pokúsiť získať dešifrovací kľúč, zaplatiť autorom vírusu celú požadovanú sumu.

Samozrejme, neexistuje absolútne žiadna záruka, že po zaplatení sa autori vírusu spoja a poskytnú kľúč potrebný na dešifrovanie vašich súborov. Okrem toho musíte pochopiť, že vyplácaním peňazí vývojárom vírusov ich vy sami tlačíte, aby vytvorili nové vírusy.

Ako odstrániť ransomware vírus?

Predtým, ako budete pokračovať, musíte vedieť, že keď začnete odstraňovať vírus a pokúšate sa obnoviť súbory sami, zablokujete možnosť dešifrovať súbory tým, že zaplatíte autorom vírusu sumu, ktorú požadovali.

Kaspersky Odstránenie vírusov Nástroj Tool a Malwarebytes Anti-malware dokážu zistiť rôzne typy aktívneho ransomvéru a ľahko ich odstráni z vášho počítača, ALE nedokážu obnoviť zašifrované súbory.

5.1. Odstráňte ransomvér pomocou nástroja Kaspersky Virus Removal Tool

Štandardne je program nastavený na obnovu všetkých typov súborov, no na urýchlenie práce sa odporúča ponechať len tie typy súborov, ktoré potrebujete obnoviť. Po dokončení výberu stlačte tlačidlo OK.

V spodnej časti okna QPhotoRec nájdite tlačidlo Prehľadávať a kliknite naň. Musíte vybrať adresár, do ktorého sa budú ukladať obnovené súbory. Je vhodné použiť disk, ktorý neobsahuje šifrované súbory vyžadujúce obnovu (môžete použiť USB flash disk alebo externý disk).

Ak chcete spustiť postup vyhľadávania a obnovy pôvodných kópií zašifrovaných súborov, kliknite na tlačidlo Hľadať. Tento proces trvá pomerne dlho, takže buďte trpezliví.

Po dokončení vyhľadávania kliknite na tlačidlo Ukončiť. Teraz otvorte priečinok, ktorý ste vybrali na uloženie obnovených súborov.

Priečinok bude obsahovať adresáre s názvom recup_dir.1, recup_dir.2, recup_dir.3 atď. Ako viac súborov nájde program, tým viac adresárov bude. Ak chcete nájsť potrebné súbory, skontrolujte postupne všetky adresáre. Aby ste uľahčili nájdenie potrebného súboru, medzi Vysoké číslo obnoviť, použite vstavaný vyhľadávací systém Windows (podľa obsahu súboru) a tiež nezabudnite na funkciu triedenia súborov v adresároch. Ako parameter triedenia môžete vybrať dátum, kedy bol súbor upravený, pretože QPhotoRec sa pri obnove súboru pokúša obnoviť túto vlastnosť.

Ako zabrániť infikovaniu počítača vírusom ransomware?

Väčšina moderných antivírusových programov už má zabudovaný ochranný systém proti prenikaniu a aktivácii ransomvérových vírusov. Preto, ak váš počítač nemá antivírusový program potom ho určite nainštalujte. Ako si ho vybrať, zistíte prečítaním tohto článku.

Okrem toho existujú špeciálne ochranné programy. Toto je napríklad CryptoPrevent, ďalšie podrobnosti.

Pár slov na záver

Podľa týchto pokynov bude váš počítač vyčistený od vírusu ransomware. Ak máte otázky alebo potrebujete pomoc, kontaktujte nás.

Svetom sa prevalila vlna nového šifrovacieho vírusu WannaCry (iné názvy Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ktorý šifruje dokumenty v počítači a za ich dekódovanie vymáha 300-600 USD. Ako zistiť, či je počítač infikovaný? Čo treba urobiť, aby ste sa nestali obeťou? A čo sa dá urobiť pre uzdravenie?

Po nainštalovaní aktualizácií bude potrebné reštartovať počítač.

Ako sa zotaviť zo šifrovacieho vírusu Wana Decrypt0r?

Keď antivírusová utilita zistí vírus, buď ho okamžite odstráni, alebo vás požiada, aby ste ho ošetrili alebo nie? Odpoveď je uzdraviť sa.

Ako obnoviť súbory zašifrované pomocou Wana Decryptor?

V tejto chvíli nemáme čo utešovať. Doteraz nebol vytvorený žiadny nástroj na dešifrovanie súborov. Zatiaľ zostáva len čakať na vývoj decryptoru.

Podľa Briana Krebsa, odborníka na počítačová bezpečnosť, v súčasnosti zločinci dostali len 26 000 USD, teda len asi 58 ľudí súhlasilo so zaplatením výkupného vydieračom. Či zároveň obnovili svoje dokumenty, nikto nevie.

Ako zastaviť šírenie vírusu v sieti?

V prípade WannaCry môže byť riešením problému zablokovanie portu 445 na Firewalle (firewall), cez ktorý dochádza k infekcii.