Din nou, cazurile de infectare cu un virus care criptează datele de pe un computer folosind algoritmul Microsoft Enhanced Cryptographic Provider au devenit mai frecvente.

Infectarea cu un virus ransomware are loc cel mai adesea printr-un atașament de e-mail. Am întâlnit faptul că dezvoltatorii algoritmului folosesc tehnologii sociale pentru a crește eficiența propriilor „activități”: specificul ocupației și gama de interese ale unui anumit utilizator sunt luate în considerare în titlul scrisorii. .

Acestea. folosind internetul, puteți afla ce interesează un anume destinatar și, pentru ca scrisoarea să fie deschisă cu siguranță, folosiți cuvinte cheie în linia de subiect. De exemplu, într-un e-mail infectat către [email protected], care, de exemplu, este angajat în construcție, la subiectul mesajului poate fi adăugată expresia cheie „propunere curentă de dezvoltare”. O astfel de scrisoare va fi deschisă și virusul își va începe activitatea.

Semne ale prezenței unui virus pe computer. De ce este foarte important să citiți acest articol până la sfârșit și să vă amintiți câteva dintre caracteristicile virusului.

Deci, când virusul ransomware ajunge la oficiul poștal împreună cu scrisoarea arata cam asa:

1. O scrisoare cu un subiect relevant pentru utilizator.
2. La scrisoare trebuie atașat un atașament sub forma unui fișier cu extensia: .rar. Acestea. este în esență o arhivă „Atașament.rar”.
3. La descărcarea și deschiderea unei astfel de arhive se lansează aplicația asociată cu extensia de fișier din arhivă. In cazul nostru a fost lansat MS Word, cu programul antivirus complet silentios, cu urmatorul continut. Poza de mai jos.

În același timp, vă rugăm să rețineți că lansarea virusului a avut la fel de succes în prezența versiunilor plătite și gratuite ale programelor antivirus instalate pe computer. Antivirusul nu a salvat de infecția cu virus și pierderea de date importante!

4. În același moment, a fost lansat și ransomware-ul, a cărui activitate se vede din accesul destul de intens la hard disk-ul computerului. În acest moment, programul scanează hard disk-ul pentru fișiere de formate interesante și le criptează în așa fel încât, după un timp, aceste fișiere nu mai rulează. Utilizatorul rămâne fără propriile date stocate pe discul local. Aparent, fișierele cu următoarele extensii sunt criptate: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Acestea. baze de date, copii de siguranță, Word, fișiere de cărți, referințe, fotografii, imagini, arhive.

Fișierele criptate arată astfel:

5. În același timp, pe desktop apare un fișier text în care se propune rezolvarea problemei prin transferul de bani în punga specificată a escrocilor.

Conținutul aproximativ al fișierului PAYCRYPT_GMAIL_COM

Toate fișierele au fost BLOCATE TEMPORAR folosind algoritmul RSA-1024

1. Aceasta este o instrucțiune care vă va ajuta să vă rezolvați problema. Este foarte posibil să o rezolvi, nu vă faceți griji.

2. Pentru a rezolva această problemă, trebuie să ne combinăm resursele comune.
Resursele tale:
- e-mail și încredere
- monedă electronică „pe lecție”
Resursele noastre:
- Posibilitatea de a vă debloca cheia (aveți deja un decriptor - DECODE.exe)
- Oferim garantii - dupa plata, cheia va fi transferata, conform acordului
- Consultatii dupa plata

3. Nu suntem genul care să cripteze datele, să primească fonduri și apoi să dispară.
În acest caz, aveți într-adevăr posibilitatea de a debloca fișiere.
Numai că există o limită de timp mică (data de expirare a cheii nu este eternă)
Nici amânarea întrebării „pentru mai târziu” nu este o opțiune, plus că nu ar trebui să crezi în miracole.

4. Aveți două opțiuni:
a) Formatați discurile și returnați 0% din fișiere - neînțelept
b) Plătiți pentru neatenție, returnați toate fișierele și obțineți sfaturi - chiar corect

5. Deci, încercați să rulați decodorul din arhivă. Vi se va spune că cheia nu a fost găsită. De asta ai nevoie.
Dacă credeți că decodorul este doar un alt virus, cereți oricărui administrator de sistem să-i analizeze structura simplă

6. Referință tehnică:
Carcasa dvs. este criptare asimetrică RSA-1024 (utilizată în armată. Nu poate fi piratată)
În timpul criptării, un fișier ID special „KEY.PRIVATE” a fost copiat în diferite locuri de pe computer. Nu-l pierde (!!!)
Se creează un nou fișier ID pentru fiecare computer. Este unic și conține un cod de decriptare. El este ceea ce avem nevoie.

7. Deci, pașii noștri cu tine:
7.1. Ne puteți contacta doar prin e-mail. [email protected]
7.2. La început, trebuie să obțineți o garanție că putem decripta fișierele (există cazuri rare când nu mai putem)
7.2. Structura scrisorii dvs.:
- atașarea fișierului dvs. ID „KEY.PRIVATE” (!!!) - căutați-l pe computer, fără el recuperarea este imposibilă
- 1-2 fișiere criptate pentru a verifica dacă decriptarea este posibilă
- numărul aproximativ de fișiere/calculatoare criptate

7.3. În termen de 1 oră veți primi o garanție și un cost pentru cheia dvs
7.4. Se face plata in continuare, costul minim este de la 120 euro.
7.5. Vă trimitem cheia, o puneți în același folder cu decriptorul (DECODE.exe) și rulați decriptorul
7.6. La lansarea decodorului, se realizează decriptarea ascunsă a datelor. Procesul nu poate fi pornit de mai multe ori.
7.7. Procesul de decriptare poate dura până la 6 ore în modul ascuns. La sfârșitul procesului, computerul va reporni.

9. Sfaturi:
9.1. După achiziționarea cheii, faceți o copie a tuturor fișierelor criptate importante pe un suport extern.
9.2. În timpul procesului de decriptare, este recomandabil să nu atingeți computerul, (!) Nu este necesar să rulați decriptorul de DOUA ori cu cheia.
9.3. Dacă crezi că în loc de un decodor vei primi un alt virus, atunci instalează un sistem virtual și decriptează-l acolo.
9.2. Dacă unele fișiere nu sunt în cele din urmă decriptate, le vom decripta manual (transfer fișiere prin poștă)
9.3. Cum să te protejezi de asta? - Backup săptămânal. Nu deschideți fișiere suspecte. Utilizați MacOS

DATA CRIPTĂRII: 2_.0_.2014 / 11:50.

Aceștia sunt acum criminali cibernetici politicoși.

Pentru a evita infectarea și, dacă aceasta a avut loc, pentru a preveni pierderea accesului la informații, trebuie să faceți următoarele:

1. În primul rând, nu trebuie să rulați tot ceea ce vine de la destinatari obscuri către e-mailul dvs.

2. În al doilea rând, dacă după deschiderea unui atașament pe un computer (laptop) se lansează un fișier de program de neînțeles care nu corespunde numelui atașamentului, opriți imediat mașina și contactați specialiști calificați. Viteza de acțiune este cheia succesului în salvarea datelor pe un computer.

3. și fișiere după virusul ransomware posibil in 2 cazuri. 1. Dacă datele nu au fost criptate cu o închidere rapidă. 2 Dacă copiile șterse ale surselor au rămas intacte pe disc.

În general, multe depind de cât de bine înțelege utilizatorul cum funcționează mecanismul de criptare. Trebuie remarcat faptul că puteți încerca să salvați singur informațiile. Va fi deosebit de ușor să faceți acest lucru dacă a trecut puțin timp de la momentul în care codificatorul a început să funcționeze până la oprirea de urgență a computerului. În acest caz, aproape toate informațiile de pe computer pot fi salvate. Pentru a face acest lucru, după o oprire de urgență a computerului, scoateți hard disk-ul, conectați-l la un alt computer și copiați pur și simplu fișierele și datele necesare.

Ransomware (cryptolockers) este o familie de programe rău intenționate care blochează accesul utilizatorilor la fișierele de pe un computer folosind diverși algoritmi de criptare (de exemplu, сbf, chipdale, just, foxmail inbox com, watnik91 aol com etc.).

De obicei, virusul criptează tipuri populare de fișiere de utilizator: documente, foi de calcul, baze de date 1C, orice matrice de date, fotografii etc. Decriptarea fișierelor este oferită pentru bani - creatorii vă cer să transferați o anumită sumă, de obicei în bitcoini. Și dacă organizația nu a luat măsurile adecvate pentru a asigura siguranța informațiilor importante, transferul sumei necesare către atacatori poate fi singura modalitate de a restabili performanța companiei.

În majoritatea cazurilor, virusul se răspândește prin e-mail, deghizat în scrisori destul de obișnuite: notificare de la fisc, acte și contracte, informații despre achiziții etc. Prin descărcarea și deschiderea unui astfel de fișier, utilizatorul, fără să-și dea seama, lansează cod rău intenționat. Virusul criptează secvențial fișierele necesare și, de asemenea, șterge instanțele originale folosind metode de distrugere garantată (astfel încât utilizatorul să nu poată recupera fișierele șterse recent folosind instrumente speciale).

Ransomware modern

Ransomware-ul și alți viruși care blochează accesul utilizatorilor la date nu reprezintă o problemă nouă în securitatea informațiilor. Primele versiuni au apărut în anii 90, dar au folosit în principal fie criptare „slabă” (algoritmi instabili, dimensiune mică a cheii), fie criptare simetrică (fișierele de la un număr mare de victime au fost criptate cu o singură cheie, a fost posibilă și recuperarea cheii). prin examinarea codului virusului) sau chiar să vină cu proprii algoritmi. Instanțele moderne nu au astfel de deficiențe, atacatorii folosesc criptarea hibridă: folosind algoritmi simetrici, conținutul fișierelor este criptat la o viteză foarte mare, iar cheia de criptare este criptată cu un algoritm asimetric. Aceasta înseamnă că pentru a decripta fișierele, aveți nevoie de o cheie pe care o deține doar atacatorul; aceasta nu poate fi găsită în codul sursă al programului. De exemplu, CryptoLocker folosește algoritmul RSA cu o lungime a cheii de 2048 de biți în combinație cu algoritmul simetric AES cu o lungime a cheii de 256 de biți. Acești algoritmi sunt recunoscuți în prezent ca fiind criptorezistenți.

Computerul este infectat cu un virus. Ce sa fac?

Trebuie avut în vedere faptul că, deși virușii de criptare folosesc algoritmi de criptare moderni, ei nu sunt capabili să cripteze instantaneu toate fișierele de pe computer. Criptarea are loc secvenţial, viteza depinde de dimensiunea fişierelor criptate. Prin urmare, dacă descoperiți în timpul muncii că fișierele și programele obișnuite au încetat să se deschidă corect, atunci ar trebui să încetați imediat să lucrați pe computer și să îl opriți. Astfel, puteți proteja unele fișiere de criptare.

Odată ce ați întâmpinat o problemă, primul pas este să scăpați de virusul în sine. Nu ne vom opri în detaliu asupra acestui lucru; este suficient să încercați să vindecați computerul folosind programe antivirus sau să eliminați virusul manual. Este de remarcat doar faptul că un virus se autodistruge adesea după finalizarea algoritmului de criptare, făcând astfel dificilă decriptarea fișierelor fără a apela la intruși pentru ajutor. În acest caz, este posibil ca programul antivirus să nu detecteze nimic.

Întrebarea principală este cum se recuperează datele criptate? Din păcate, recuperarea fișierelor după un virus ransomware este aproape imposibilă. Cel puțin, nimeni nu va garanta recuperarea completă a datelor în cazul unei infecții cu succes. Mulți producători de instrumente antivirus își oferă ajutorul în decriptarea fișierelor. Pentru a face acest lucru, trebuie să trimiteți un fișier criptat și informații suplimentare (un fișier cu contactele atacatorilor, o cheie publică) prin formulare speciale postate pe site-urile producătorilor. Există o mică șansă ca ei să găsească o modalitate de a trata un anumit virus și fișierele dvs. vor fi decriptate cu succes.

Încercați să utilizați un utilitar de recuperare a fișierelor. Este posibil ca virusul să nu fi folosit metode de distrugere garantată și unele fișiere pot fi recuperate (aceasta poate funcționa în special cu fișiere mari, de exemplu, cu fișiere de câteva zeci de gigaocteți). Există, de asemenea, șansa de a recupera fișiere din copii umbre. Când utilizați System Restore, Windows creează instantanee („snapshots”) care pot conține date de fișier în momentul în care a fost creat punctul de restaurare.

Dacă datele dvs. au fost criptate în servicii cloud, contactați asistența tehnică sau explorați capacitățile serviciului pe care îl utilizați: în majoritatea cazurilor, serviciile oferă o funcție de „retroducere” la versiunile anterioare ale fișierelor, astfel încât acestea să poată fi restaurate.

Ceea ce vă recomandăm cu tărie să nu faceți este să urmați ransomware-ul și să plătiți pentru decriptare. Au fost cazuri când oamenii au dat bani, dar nu au primit cheile. Nimeni nu garantează că atacatorii, după ce au primit banii, vor trimite efectiv cheia de criptare și vei putea recupera fișierele.

Cum să te protejezi de un virus ransomware. Măsuri preventive

Este mai ușor să preveniți consecințele periculoase decât să le corectați:

• Utilizați instrumente antivirus de încredere și actualizați în mod regulat bazele de date antivirus. Sună banal, dar acest lucru va reduce foarte mult șansele de a introduce cu succes un virus în computer.
• Păstrați copii de rezervă ale datelor dvs.

Cel mai bun mod de a face acest lucru este cu instrumente de backup specializate. Majoritatea criptolockerelor pot cripta și copiile de siguranță, așa că este logic să stocați copiile de siguranță pe alte computere (de exemplu, pe servere) sau pe medii înstrăinate.

Restricționați drepturile de modificare a fișierelor din foldere cu copii de siguranță, permițând doar atașarea. Pe lângă consecințele ransomware-ului, sistemele de rezervă neutralizează multe alte amenințări asociate cu pierderea de date. Răspândirea virusului demonstrează încă o dată relevanța și importanța utilizării unor astfel de sisteme. Recuperarea datelor este mult mai ușoară decât decriptarea!

• Restricționați mediul software din domeniu.

O altă modalitate eficientă de a combate acest lucru este limitarea lansării unor tipuri de fișiere potențial periculoase, de exemplu, cu extensiile .js, .cmd, .bat, .vba, .ps1 etc. Acest lucru se poate face folosind instrumentul AppLocker ( în Revizuirile Enterprise) sau politicile SRP la nivel central în domeniu. Există ghiduri destul de detaliate pe web despre cum să faceți acest lucru. În cele mai multe cazuri, utilizatorul nu trebuie să folosească fișierele de script menționate mai sus, iar ransomware-ul va avea mai puține șanse de implementare cu succes.

• Fii atent.

Mindfulness este una dintre cele mai eficiente metode de prevenire a unei amenințări. Fiți suspicios față de fiecare e-mail pe care îl primiți de la persoane necunoscute. Nu vă grăbiți să deschideți toate atașamentele, dacă aveți îndoieli, este mai bine să contactați administratorul cu o întrebare.

Alexandru Vlasov, inginer senior al departamentului de implementare a sistemelor de securitate informatică a companiei „SKB Kontur”

Recent, cel mai de temut virus este un troian de criptare a fișierelor, recunoscut ca Trojan-Ransom.Win32.Rector, care criptează toate fișierele dvs. (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar etc.). Problema este că este extrem de dificil să decriptezi astfel de fișiere și, fără anumite cunoștințe și abilități, este pur și simplu imposibil.

Procesul de infecție are loc într-un mod dificil. Sosește un e-mail cu un fișier atașat de tipul „document. pdf .executabil ". Când acest fișier este deschis și, de fapt, când este lansat, virusul începe să funcționeze și să cripteze fișierele. Dacă ați detectat acțiunea acestui fișier, dar continuați să lucrați pe acest computer, atunci acesta criptează din ce în ce mai multe fișiere. O extensie precum „Această adresă de e-mail este protejată de roboții de spam, aveți nevoie de JavaScript activat pentru a o vizualiza” este adăugată fișierelor criptate (numele poate fi diferit) și un fișier de Internet sau text precum„Decrypt_Files.html” în care atacatorii descriu cum să obțină bani de la tine pentru munca lor murdară. Iată textul fișierului real, de pe computerul infectat al clienților mei:

Anterior, singura salvare de la acest virus era ștergerea tuturor fișierelor infectate și restaurarea lor dintr-o copie de rezervă stocată pe o unitate externă sau pe o unitate flash. Cu toate acestea, deoarece puțini oameni fac copii de rezervă, cu atât mai puțin le actualizează în mod regulat, informațiile s-au pierdut pur și simplu. Opțiunile de a plăti ransomware pentru a decripta fișierele dvs. sfârșesc în mare parte într-o pierdere de bani și sunt doar o înșelătorie de bani.

Acum laboratoarele antivirus dezvoltă modalități și programe pentru a scăpa de acest virus. Kaspersky Lab a dezvoltat un utilitar numit RectorDecryptor care vă permite să decriptați fișierele infectate. Puteți descărca programul RectorDecryptor de pe acest link. Apoi trebuie să îl rulați, faceți clic pe butonul „Începe scanarea”, selectați fișierul criptat, după care programul va decripta automat toate fișierele criptate de acest tip. Fișierele sunt restaurate în aceleași foldere în care au fost fișierele criptate. După aceea, trebuie să ștergeți fișierele criptate. Cel mai simplu mod de a face acest lucru este cu următoarea comandă introdusă pe linia de comandă: del "d:\*.AES256" /f /s (unde ar trebui să fie extensia de virus în loc de AES256). De asemenea, este necesar să ștergeți fișierele de e-mail rău intenționate care sunt împrăștiate pe tot computerul. Puteți face acest lucru cu următoarea comandă: del"d:\ decrypt_files.html " /f /s tastat pe linia de comandă.

Mai întâi trebuie să vă protejați computerul de posibilitatea răspândirii unui virus. Pentru a face acest lucru, trebuie să curățați fișierele executabile suspecte la pornire, să dezinstalați programe suspecte, să ștergeți folderele temporare și cache-urile browserului (puteți folosi utilitarul CCleaner pentru aceasta). ).

Totuși, trebuie menționat că această metodă de decriptare îi poate ajuta doar pe cei al căror virus a fost deja procesat de Kaspersky Lab și este inclus în listă în utilitarul RectorDecryptor. Dacă acesta este un virus nou care nu este încă inclus în lista de viruși neutralizați, atunci va trebui să trimiteți fișierele infectate la Kaspersky Labs pentru decriptare, Dr .web , sau da din cap 32 sau restaurați-le dintr-o copie de rezervă (ceea ce este mult mai ușor).

Dacă pașii de neutralizare a virușilor și de tratare a computerului sunt de o anumită complexitate, atunci pentru a nu dăuna și mai mult sau distruge sistemul de operare (ceea ce poate duce la o reinstalare completă). Windows ), este mai bine să contactați un specialist care o va face profesional. Instrumentele moderne permit ca toate aceste acțiuni să fie efectuate de la distanță oriunde în lume unde există o conexiune la Internet.

„Îmi pare rău că vă deranjez, dar... fișierele dvs. sunt criptate. Pentru a obține o cheie de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a expirat. Și nu este o glumă. Virusul ransomware este o amenințare mai mult decât reală.

Astăzi vom vorbi despre ce este ransomware-ul care s-a răspândit în ultimii ani, ce trebuie făcut în caz de infecție, cum să vindeci un computer și dacă este posibil și cum să te protejezi de ele.

Criptăm totul!

Un virus de criptare (encoder, criptor) este un tip special de ransomware rău intenționat a cărui activitate este de a cripta fișierele utilizatorului și apoi de a solicita cumpărarea instrumentului de decriptare. Sumele de răscumpărare încep de la 200 USD și ajung la zeci și sute de mii de bani verzi.

În urmă cu câțiva ani, doar computerele bazate pe Windows au fost atacate de această clasă de malware. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, diversitatea speciilor de codificatori este în continuă creștere - articole noi apar unul după altul, care au cu ce să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

După WannaCry, au apărut Petya și Bad Rabbit, nu mai puțin sofisticați. Și din moment ce „afacerea de criptare” aduce un venit bun proprietarilor, poți fi sigur că nu sunt ultimii.

Din ce în ce mai mulți criptografi, în special cei care au văzut lumina în ultimii 3-5 ani, folosesc algoritmi criptografici puternici, care nu pot fi sparți nici prin forță brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să ținem promisiunile dacă au deja banii?

Modalități de distribuție a virușilor codificatori

Principala cale prin care malware-ul pătrunde în computerele utilizatorilor privați și ale organizațiilor este prin e-mail sau, mai degrabă, prin fișiere și link-uri atașate la e-mailuri.

Un exemplu de astfel de scrisoare, destinată „clienților corporativi”:

• „Plătiți imediat împrumutul”.
• „Procesul a fost intentat la instanță”.
• „Plătește amenda/taxa/taxa”.
• „Taxa suplimentară pentru facturile de utilități”.
• „Oh, tu ești în fotografie?”
• „Lena mi-a cerut să-ți transfer urgent asta” etc.

De acord, doar un utilizator informat va trata o astfel de scrisoare cu prudență. Majoritatea nu vor ezita să deschidă atașamentul și să ruleze ei înșiși malware-ul. Apropo, în ciuda strigătelor antivirusului.

De asemenea, pentru distribuirea de ransomware, sunt utilizate în mod activ următoarele:

• Rețelele de socializare (mailing din conturile cunoscuților și străinilor).
• Resurse web rău intenționate și infectate.
• Banner publicitar.
• Trimiterea prin mesagerie din conturi piratate.
• Site-uri Warez și distribuitori de keygen și crack-uri.
• Site-uri pentru adulți.
• Magazine de aplicații și conținut.

Virușii de criptare sunt adesea transportați de alte programe rău intenționate, cum ar fi adware și troieni backdoor. Acesta din urmă, folosind vulnerabilități din sistem și software, ajută criminalul să obțină acces de la distanță la dispozitivul infectat. Rularea ransomware-ului în astfel de cazuri nu coincide întotdeauna cu acțiunile potențial periculoase ale utilizatorului. Atâta timp cât ușa din spate rămâne în sistem, un atacator se poate infiltra în dispozitiv în orice moment și poate începe criptarea.

Pentru a infecta computerele organizațiilor (deoarece pot fi sterse mai mult decât utilizatorii casnici), sunt dezvoltate metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al software-ului de contabilitate fiscală MEDoc.

Criptoarele cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows actualizate rar sunt cei mai expuși riscului, deoarece actualizările închid lacunele cunoscute.

Unele programe malware, precum WannaCry, exploatează vulnerabilități de 0-day (zero-day), adică cele despre care dezvoltatorii de sisteme nu le cunosc încă. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta simultan toate mașinile vulnerabile. Și în timp ce planifică noi victime, dezvoltatorii de sistem au timp să lanseze o actualizare de salvare.

Cum se comportă ransomware-ul pe un computer infectat

Procesul de criptare, de regulă, începe imperceptibil, iar când semnele sale devin evidente, este prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce a ajuns. Uneori, utilizatorul poate observa cum sa schimbat extensia fișierelor dintr-un folder deschis.

Apariția nerezonabilă a unei noi extensii, și uneori a celei de-a doua extensii în fișiere, după care nu se mai deschide, indică sută la sută consecințele unui atac ransomware. Apropo, prin extensia pe care o primesc obiectele deteriorate, de obicei este posibil să se identifice malware.

Un exemplu despre care pot fi extensiile fișierelor criptate: . xtbl, .kraken, .cesar, .da_vinci_code, [email protected] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

Există o mulțime de opțiuni, iar mâine vor apărea altele noi, așa că nu are sens să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.

Alte simptome care indică indirect începutul criptării:

• Apariția pe ecran pentru o fracțiune de secundă ferestre de linie de comandă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
• UAC vă solicită să lansați un program pe care nu ați intenționat să îl deschideți.
• Repornirea bruscă a computerului, urmată de imitarea funcționării utilitarului de verificare a discului de sistem (sunt posibile alte variante). În timpul procesului de „verificare” are loc criptarea.

După finalizarea cu succes a operațiunii rău intenționate, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

Ransomware-ul criptează o parte semnificativă a fișierelor utilizatorului: fotografii, muzică, videoclipuri, documente text, arhive, e-mail, baze de date, fișiere cu extensii de program etc. Dar nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a opri. muncă. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.

După criptare, toate copiile umbră și punctele de restaurare sunt de obicei eliminate din sistem.

Cum să vindeci un computer de ransomware

Eliminarea unui program rău intenționat dintr-un sistem infectat este ușoară - aproape toate antivirusurile pot face față cu ușurință la majoritatea acestora. Dar! Este naiv să crezi că a scăpa de vinovat va rezolva problema: elimini sau nu virusul, iar fișierele vor rămâne în continuare criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

Ordinea corectă a acțiunilor la pornirea criptării

• De îndată ce observați semne de criptare, opriți imediat computerul apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
• Creați un disc de pornire sau o unitate flash cu un program antivirus pe alt computer. De exemplu, , , etc.
• Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați virușii găsiți și salvați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
• Încercați să recuperați fișierele criptate din copii umbra folosind instrumente de sistem sau instrumente terțe.

Ce trebuie să faceți dacă fișierele sunt deja criptate

• Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru diferite tipuri de malware. În special, utilitățile de la și .
• După ce ați determinat tipul de encoder, descărcați utilitarul corespunzător, asigurați-vă că faceți copii fișiere deteriorateși încearcă să le descifrezi. Dacă aveți succes, decriptați restul.

Dacă fișierele nu sunt decriptate

Dacă nicio utilitate nu a ajutat, este probabil să fi suferit de un virus pentru care nu există încă un tratament.

Ce se poate face în acest caz:

• Dacă utilizați un produs antivirus plătit, contactați serviciul de asistență al acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. Dacă există o posibilitate tehnică, ei vă vor ajuta.

• Dacă se dovedește că fișierele sunt corupte fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu salvator. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică să închideți complet și să nu folosiți hard diskul. Eliminarea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă pot priva de și această șansă, deoarece la generarea cheilor de criptare-decriptare se folosesc adesea identificatori unici de sistem și copii ale virusului.

Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a obține cheia este aproape de zero. Și nu este nevoie să finanțezi o afacere criminală.

Cum să te protejezi de acest tip de malware

Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, este important să instalați un antivirus bun, să nu faceți clic pe linkuri suspecte și blablabla. Cu toate acestea, așa cum a arătat viața, nu există nicio pastilă magică care să vă ofere o garanție de 100% de securitate astăzi.

Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este copia de rezerva a datelor către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...

Mai multe pe site:

Nicio șansă de mântuire: ce este un virus ransomware și cum să-i faci față actualizat: 1 septembrie 2018 de: Johnny Mnemonic

Își continuă marșul opresiv pe Web, infectând computere și criptând date importante. Cum să vă protejați de ransomware, protejați Windows de ransomware - sunt patch-uri eliberate pentru a decripta și a vindeca fișierele?

Virus nou ransomware 2017 Wanna Cry continuă să infecteze computerele corporative și private. La Prejudiciu de un miliard de dolari din cauza atacului de virus. În 2 săptămâni, virusul ransomware a infectat cel puțin 300 de mii de calculatoareîn ciuda avertismentelor și măsurilor de securitate.

Ce este ransomware 2017- de regulă, puteți „prelua”, s-ar părea, pe cele mai inofensive site-uri, de exemplu, serverele bancare cu acces de utilizator. Odată ajuns pe hard disk-ul victimei, ransomware-ul „se instalează” în folderul de sistem System32. De acolo, programul dezactivează imediat antivirusul și merge la „Autorun”". După fiecare repornire, programul de criptare începe în registruîncepându-şi treaba murdară. Ransomware-ul începe să descarce copii similare ale unor programe precum Ransom și Troian. De asemenea, se întâmplă des auto-replicare ransomware. Acest proces poate fi de moment sau poate dura săptămâni - până când victima observă că ceva nu a fost în regulă.

Ransomware-ul se deghizează adesea în imagini obișnuite, fișiere text, dar esența este întotdeauna aceeași - acesta este un fișier executabil cu extensia .exe, .drv, .xvd; uneori - biblioteci.dll. Cel mai adesea, fișierul are un nume complet inofensiv, de exemplu " document. doc", sau " imagine.jpg”, unde extensia este scrisă manual, și tipul de fișier adevărat este ascuns.

După finalizarea criptării, utilizatorul vede în loc de fișiere familiare un set de caractere „aleatorie” în nume și în interior, iar extensia se schimbă într-o formă necunoscută până acum - .NO_MORE_RANSOM, .xdata alte.

Virusul ransomware 2017 Wanna Cry – cum să vă protejați. Aș dori să observ imediat că Wanna Cry este mai degrabă un termen colectiv pentru toți virușii ransomware și ransomware, deoarece recent a infectat computerele cel mai des. Deci, hai să vorbim despre Protejați-vă de ransomware-ul Ransom Ware, dintre care există foarte multe: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cum să protejați Windows de ransomware. – EternalBlue prin protocolul portului SMB.

Protecție împotriva ransomware-ului Windows 2017 - reguli de bază:

• Actualizare Windows, tranziție în timp util la un sistem de operare licențiat (Notă: versiunea XP nu este actualizată)
• actualizarea bazelor de date antivirus și a firewall-urilor la cerere
• atenție maximă atunci când descărcați orice fișiere („pisicile” drăguțe pot duce la pierderea tuturor datelor)
• copierea de rezervă a informațiilor importante pe suporturi amovibile.

Virusul ransomware 2017: cum să vindeci și să decriptezi fișierele.

Bazându-vă pe software-ul antivirus, puteți uita de decriptor pentru o vreme. În laboratoare Kaspersky, Dr. Web, Avast! si alte antivirusuri nu s-a găsit nicio soluție pentru vindecarea fișierelor infectate. În acest moment, este posibil să eliminați virusul folosind un antivirus, dar încă nu există algoritmi care să revină totul „la normal”.

Unii încearcă să folosească decriptoare precum utilitarul RectorDecryptor dar asta nu va ajuta: algoritmul pentru decriptarea noilor viruși nu a fost încă compilat. De asemenea, este absolut necunoscut cum se va comporta virusul dacă nu este eliminat după utilizarea unor astfel de programe. Adesea, acest lucru poate duce la ștergerea tuturor fișierelor - ca un avertisment pentru cei care nu vor să plătească atacatorii, autorii virusului.

În prezent, cea mai eficientă modalitate de a recupera datele pierdute este să îi contactați. asistență de la furnizorul programului antivirus pe care îl utilizați. Pentru a face acest lucru, trimiteți o scrisoare sau utilizați formularul de feedback de pe site-ul web al producătorului. Asigurați-vă că adăugați fișierul criptat în atașament și, dacă există, o copie a originalului. Acest lucru îi va ajuta pe programatori să elaboreze algoritmul. Din păcate, pentru mulți, un atac de virus este o surpriză completă, iar copiile nu sunt găsite, ceea ce complică uneori situația.

Metode cardiace de tratare a Windows de la ransomware. Din păcate, uneori trebuie să recurgeți la formatarea completă a hard disk-ului, ceea ce presupune o schimbare completă a sistemului de operare. Mulți se vor gândi la restaurarea sistemului, dar aceasta nu este o opțiune - chiar și există o „retroducere” care vă va permite să scăpați de virus, apoi fișierele vor rămâne în continuare criptate.