Programe de criptare a fișierelor

Criptează totul!

De fiecare dată când pe internet se scurg informații despre un scandal care implică scurgeri de documente importante undeva, mă întreb de ce nu au fost criptate? Securitatea documentelor ar trebui să fie peste tot, până la urmă.

Algoritmi de criptare

Algoritmul de criptare este ca o cutie neagră. Un dump al documentului, imaginii sau alt fișier pe care îl încărcați este ceea ce primiți înapoi. Dar ceea ce vezi pare o nebunie.

Puteți transforma această farfurie înapoi într-un document normal prin fereastra cu aceeași parolă pe care ați introdus-o în timpul criptării. Doar așa vei primi originalul.

Guvernul SUA a recunoscut Advanced Encryption Standard (AES) ca standard, iar toate produsele care sunt colectate aici acceptă standardul de criptare AES.

Chiar și cei care acceptă alți algoritmi recomandă, în general, utilizarea AES.

Dacă sunteți un expert în criptare, este posibil să preferați un alt algoritm, Blowfish, și poate chiar algoritmul GOST al guvernului sovietic.

Dar acest lucru este complet pentru fanii divertismentului extrem. Pentru utilizatorul mediu, AES este pur și simplu o soluție excelentă.

Criptografie și schimb de chei publice

Parolele sunt importante și ar trebui să le păstrați secrete, nu? Ei bine, nu atunci când utilizați infrastructura cu chei publice (PKI), care este folosită în criptografie.

Dacă vreau să vă trimit un document secret, pur și simplu îl criptez cu cheia publică. Odată ce îl primiți, îl puteți folosi pentru a decripta documentul. E simplu!

Folosind acest sistem invers, puteți crea o semnătură digitală care verifică dacă documentul dvs. provine de la dvs. și nu a fost modificat. Cum? Doar criptați-l cu cheia dvs. privată.

Faptul că cheia dvs. publică o decriptează este dovada că aveți dreptul să o editați.

Suportul PKI este mai puțin comun decât suportul pentru algoritmii simetrici tradiționali.

Multe produse permit crearea de fișiere executabile cu autodecriptare.

De asemenea, puteți descoperi că destinatarul poate folosi un anumit instrument gratuit doar pentru decriptare.

Ce e mai bine?

Există acum o selecție uriașă de produse disponibile în spațiul de criptare.

Toată lumea trebuie pur și simplu să aleagă o soluție care să fie convenabilă din punct de vedere al funcționalității, practică și elegantă din punctul de vedere al interfeței ferestrei principale a programului.

Un seif digital CertainSafe trece printr-un algoritm de securitate în mai mulți pași care vă identifică pe site. Va trebui să treceți prin mai multe verificări de autentificare de fiecare dată.

Fișierele dvs. sunt criptate; dacă cineva încearcă să le pirateze, se vor prăbuși și nimeni nu le va putea recrea. În acest caz, există un anumit risc, dar, în același timp, nivelul de fiabilitate este foarte decent.

Fiecare bucată a fișierului este apoi stocată pe un server diferit. Un hacker care a putut să pirateze unul dintre servere nu va putea face nimic util.

O lacăt poate cripta fișierele sau pur și simplu le poate bloca astfel încât nimeni să nu le poată deschide. De asemenea, oferă dulapuri criptate pentru a stoca în siguranță informațiile personale confidențiale.

Multe alte caracteristici utile includ distrugerea, distrugerea spațiului liber, backup online securizat și fișierele cu autodecriptare.

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copii criptate ale acestora. În esență, aceștia sunt viruși. Ransomware-ul XTBL este considerat unul dintre cele mai periculoase din această serie. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se restabilească informațiile deteriorate?

Ce este ransomware-ul XTBL și cum intră acesta în computer?

Dacă găsiți fișiere pe computer sau laptop cu un nume lung și extensia .xtbl, atunci puteți spune cu încredere că un virus periculos a intrat în sistemul dvs. - un ransomware XTBL. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid în care selectarea unei chei este pur și simplu imposibilă.

Directoarele de sistem sunt pline cu fișiere infectate. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Un ransomware XTBL care rulează pe Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situată pe un computer. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase aflate în folderele utilizatorului devin inaccesibile.

Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare

Sub influența ransomware-ului XTBL, extensia fișierului se modifică. Acum utilizatorul vede o pictogramă foaie goală și un titlu lung care se termină în .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru restaurarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj pentru a cere răscumpărare.

Acest mesaj apare în fereastra de desktop a computerului dvs.

Ransomware-ul XTBL este de obicei distribuit prin e-mail. E-mailul conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru a se asigura că mesajul, care spune că tu, de exemplu, ai câștigat un milion, este deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca virusul să ajungă în sistemul de operare.

Este posibil să recuperați informații?

Puteți încerca să decriptați informațiile folosind utilitare speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea restaura fișierele deteriorate.

În prezent, ransomware-ul XTBL reprezintă o amenințare incontestabilă pentru toate computerele care rulează sistemul de operare Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Există diferite metode și programe care vă permit să lucrați cu criptarea XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Oprirea unei infecții la computer

Dacă aveți norocul să observați că fișierele cu extensia .xtbl încep să apară pe computer, atunci este foarte posibil să întrerupeți procesul de infecție ulterioară.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui deschise într-un sistem de operare care a fost lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows este conectat.

Pentru a încărca modul sigur în Window XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, ar trebui să reporniți sistemul de operare în timp ce apăsați tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.

Selectarea modului sigur cu încărcarea driverelor de rețea

Programul Kaspersky Virus Removal Tool recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după descărcarea utilitarului. Odată ce scanarea este finalizată, ștergeți toate fișierele rău intenționate găsite.

Rularea unei scanări a computerului pentru prezența ransomware-ului XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru verificarea și eliminarea unui virus nu este practic diferit de versiunea anterioară. Utilizați utilitarul pentru a scana toate unitățile logice. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Decontaminare”.

Neutralizați fișierele rău intenționate după scanarea Windows

Malwarebytes Anti-malware

Programul va efectua o verificare pas cu pas a computerului pentru prezența codurilor rău intenționate și le va distruge.

1. Instalați și rulați utilitarul Anti-malware.
2. Selectați „Run scan” în partea de jos a ferestrei care se deschide.
3. Așteptați finalizarea procesului și bifați casetele cu fișiere infectate.
4. Ștergeți selecția.

Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Script de decriptare online de la Dr.Web

Pe site-ul oficial Dr.Web în secțiunea de asistență există o filă cu un script pentru decriptarea fișierelor online. Vă rugăm să rețineți că numai acei utilizatori care au instalat antivirusul acestui dezvoltator pe computerele lor vor putea folosi decriptorul online.

Citiți instrucțiunile, completați tot ce este necesar și faceți clic pe butonul „Trimite”.

Utilitar de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial puteți descărca utilitarul RectorDecryptor.exe pentru versiunile de Windows Vista, 7, 8 urmând linkurile de meniu „Suport - Dezinfectare și decriptare fișiere - RectorDecryptor - Cum să decriptați fișierele”. Rulați programul, efectuați o scanare și apoi ștergeți fișierele criptate selectând opțiunea corespunzătoare.

Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.

ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.

QPhotoRec

Programul este creat special pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și readuce toate informațiile pierdute la starea inițială.

QPhotoRec este gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar înțelegerea setărilor nu este deloc dificilă, interfața este intuitivă.

1. Lansa programul.
2. Marcați unitățile logice cu informații criptate.
3. Faceți clic pe butonul Formate de fișiere și OK.
4. Folosind butonul Răsfoire situat în partea de jos a ferestrei deschise, selectați locația pentru a salva fișierele și începeți procedura de recuperare făcând clic pe Căutare.

QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

1. Nu faceți niciodată acțiuni de care nu sunteți complet sigur. Este mai bine să invitați un specialist de la centrul de service sau să duceți singur computerul acolo.
2. Nu deschideți mesaje de e-mail de la expeditori necunoscuți.
3. În niciun caz nu trebuie să urmați exemplul șantajatorilor acceptând să le transferați bani. Cel mai probabil, acest lucru nu va da niciun rezultat.
4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Este posibil să găsiți o soluție care să corecteze situația.

Prevenirea

Încercați să instalați o protecție fiabilă împotriva pătrunderii ransomware-ului XTBL și a virușilor ransomware similari pe computer. Astfel de programe includ:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

În ciuda faptului că toate sunt în limba engleză, lucrul cu astfel de utilități este destul de simplu. Lansați programul și selectați nivelul de protecție din setări.

Lansarea programului și selectarea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele sugerate pentru restaurarea informațiilor deteriorate. Adesea, acest lucru dă un rezultat pozitiv. Nu utilizați programe neverificate de la dezvoltatori necunoscuți pentru a elimina XTBL ransomware. La urma urmei, acest lucru nu poate decât să înrăutățească situația. Dacă este posibil, instalați pe computer unul dintre programele care împiedică rularea virusului și efectuați scanări regulate de rutină ale Windows pentru procese rău intenționate.

Criptatorii (cryptolockers) înseamnă o familie de programe rău intenționate care, folosind diverși algoritmi de criptare, blochează accesul utilizatorului la fișierele de pe un computer (cunoscute, de exemplu, cbf, chipdale, just, foxmail inbox com, watnik91 aol com etc.).

De obicei, virusul criptează tipuri populare de fișiere de utilizator: documente, foi de calcul, baze de date 1C, orice matrice de date, fotografii etc. Decriptarea fișierelor este oferită pentru bani - creatorii necesită o anumită sumă pentru a fi transferată, de obicei în bitcoin. Și dacă organizația nu a luat măsurile adecvate pentru a asigura siguranța informațiilor importante, transferul sumei necesare către atacatori poate fi singura modalitate de a restabili funcționalitatea companiei.

În cele mai multe cazuri, virusul se răspândește prin e-mail, prefăcându-se drept scrisori destul de obișnuite: notificări de la fisc, acte și contracte, informații despre achiziții etc. Prin descărcarea și deschiderea unui astfel de fișier, utilizatorul, fără să-și dea seama, rulează cod rău intenționat. . Virusul criptează secvențial fișierele necesare și, de asemenea, șterge copiile originale folosind metode de distrugere garantată (astfel încât utilizatorul să nu poată recupera fișierele șterse recent folosind instrumente speciale).

Ransomware modern

Ransomware-ul și alți viruși care blochează accesul utilizatorilor la date nu reprezintă o problemă nouă în securitatea informațiilor. Primele versiuni au apărut în anii 90, dar au folosit în principal fie criptare „slabă” (algoritmi instabili, dimensiune mică a cheii), fie criptare simetrică (fișierele de la un număr mare de victime au fost criptate cu o singură cheie; a fost, de asemenea, posibilă recuperarea cheii). studiind codul virusului) sau chiar au venit cu proprii algoritmi. Copiile moderne nu au astfel de dezavantaje; atacatorii folosesc criptarea hibridă: folosind algoritmi simetrici, conținutul fișierelor este criptat la viteză foarte mare, iar cheia de criptare este criptată cu un algoritm asimetric. Aceasta înseamnă că pentru a decripta fișierele aveți nevoie de o cheie pe care o deține numai atacatorul; aceasta nu poate fi găsită în codul sursă al programului. De exemplu, CryptoLocker folosește algoritmul RSA cu o lungime a cheii de 2048 de biți în combinație cu algoritmul simetric AES cu o lungime a cheii de 256 de biți. Acești algoritmi sunt recunoscuți în prezent ca fiind criptorezistenți.

Computerul este infectat cu un virus. Ce să fac?

Merită să rețineți că, deși virușii ransomware folosesc algoritmi moderni de criptare, ei nu sunt capabili să cripteze instantaneu toate fișierele de pe un computer. Criptarea are loc secvenţial, viteza depinde de dimensiunea fişierelor criptate. Prin urmare, dacă descoperiți în timp ce lucrați că fișierele și programele dvs. obișnuite nu se mai deschid corect, ar trebui să încetați imediat să lucrați pe computer și să îl opriți. În acest fel, puteți proteja unele fișiere de criptare.

Odată ce ați întâmpinat o problemă, primul lucru pe care trebuie să-l faceți este să scăpați de virusul în sine. Nu ne vom opri asupra acestui lucru în detaliu; este suficient să încercați să vă vindecați computerul folosind programe antivirus sau să eliminați virusul manual. Este de remarcat doar faptul că virusul se autodistruge adesea după ce algoritmul de criptare este finalizat, făcând astfel dificilă decriptarea fișierelor fără a apela la atacatori pentru ajutor. În acest caz, este posibil ca programul antivirus să nu detecteze nimic.

Întrebarea principală este cum se recuperează datele criptate? Din păcate, recuperarea fișierelor după un virus ransomware este aproape imposibilă. Cel puțin, nimeni nu va garanta recuperarea completă a datelor în cazul unei infecții cu succes. Mulți producători de antivirus oferă asistență în decriptarea fișierelor. Pentru a face acest lucru, trebuie să trimiteți un fișier criptat și informații suplimentare (un fișier cu contactele atacatorilor, o cheie publică) prin formulare speciale postate pe site-urile producătorilor. Există o mică șansă ca o modalitate de a lupta împotriva unui anumit virus să fi fost găsită și fișierele dvs. să fie decriptate cu succes.

Încercați să utilizați utilitarele de recuperare a fișierelor șterse. Este posibil ca virusul să nu fi folosit metode de distrugere garantată și unele fișiere pot fi recuperate (aceasta poate funcționa în special cu fișiere mari, de exemplu cu fișiere de câteva zeci de gigaocteți). Există, de asemenea, șansa de a recupera fișiere din copii umbre. Când utilizați funcțiile de restaurare a sistemului, Windows creează instantanee („snapshots”) care pot conține date de fișier în momentul în care a fost creat punctul de restaurare.

Dacă datele dumneavoastră au fost criptate în servicii cloud, contactați asistența tehnică sau studiați capacitățile serviciului pe care îl utilizați: în cele mai multe cazuri, serviciile oferă o funcție de „retroducere” la versiunile anterioare ale fișierelor, astfel încât acestea să poată fi restaurate.

Ceea ce nu vă recomandăm cu tărie este să urmați exemplul ransomware-ului și să plătiți pentru decriptare. Au fost cazuri când oamenii au dat bani și nu au primit cheile. Nimeni nu garantează că atacatorii, după ce au primit banii, vor trimite efectiv cheia de criptare și veți putea restaura fișierele.

Cum să te protejezi de un virus ransomware. Măsuri preventive

Este mai ușor să preveniți consecințele periculoase decât să le corectați:

• Utilizați instrumente antivirus de încredere și actualizați în mod regulat bazele de date antivirus. Sună banal, dar acest lucru va reduce semnificativ probabilitatea ca un virus să se injecteze cu succes în computerul tău.
• Păstrați copii de rezervă ale datelor dvs.

Acest lucru se face cel mai bine folosind instrumente de backup specializate. Majoritatea criptolockerelor sunt capabile să cripteze și copii de rezervă, așa că este logic să stocați copii de rezervă pe alte computere (de exemplu, pe servere) sau pe medii înstrăinate.

Limitați drepturile de modificare a fișierelor din folderele de rezervă, permițând doar scrierea suplimentară. Pe lângă consecințele ransomware-ului, sistemele de backup neutralizează multe alte amenințări asociate cu pierderea datelor. Răspândirea virusului demonstrează încă o dată relevanța și importanța utilizării unor astfel de sisteme. Recuperarea datelor este mult mai ușoară decât decriptarea lor!

• Limitați mediul software din domeniu.

O altă modalitate eficientă de a combate acest lucru este restricționarea lansării anumitor tipuri de fișiere potențial periculoase, de exemplu, cu extensiile .js, .cmd, .bat, .vba, .ps1 etc. Acest lucru se poate face folosind instrumentul AppLocker (în ediții Enterprise) sau politici SRP la nivel central în domeniu. Există ghiduri destul de detaliate online despre cum să faceți acest lucru. În cele mai multe cazuri, utilizatorul nu va trebui să folosească fișierele script enumerate mai sus, iar ransomware-ul va avea mai puține șanse de a se infiltra cu succes.

• Fii atent.

Mindfulness este una dintre cele mai eficiente metode de prevenire a amenințărilor. Fiți suspicios față de fiecare scrisoare pe care o primiți de la persoane necunoscute. Nu vă grăbiți să deschideți toate atașamentele; dacă aveți îndoieli, este mai bine să contactați administratorul cu o întrebare.

Alexandru Vlasov, inginer senior al departamentului de implementare a sistemelor de securitate informatică la SKB Kontur

Recent, cel mai periculos virus este un troian de criptare a fișierelor, recunoscut ca Trojan-Ransom.Win32.Rector, care criptează toate fișierele dvs. (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar etc.). Problema este că decriptarea unor astfel de fișiere este extrem de dificilă, iar fără anumite cunoștințe și abilități este pur și simplu imposibil.

Procesul de infecție are loc într-un mod viclean. Sosește un e-mail cu un fișier atașat de tipul „document. pdf .exe " Când acest fișier este deschis și, de fapt, când este lansat, virusul începe să funcționeze și să cripteze fișierele. Dacă detectați efectul acestui fișier, dar continuați să lucrați pe acest computer, atunci acesta criptează din ce în ce mai multe fișiere. O extensie precum „Această adresă de e-mail este protejată de roboții de spam, trebuie să aveți Javascript activat pentru ao vizualiza” este adăugată fișierelor criptate (numele poate fi diferit) și un fișier de Internet sau text precum„EXPAND_FILES.html” în care atacatorii descriu cum să obțină bani de la tine pentru munca lor murdară. Iată textul fișierului real de pe computerul infectat al clienților mei:

Anterior, singura salvare de la acest virus era ștergerea tuturor fișierelor infectate și restaurarea lor dintr-o copie de rezervă stocată pe o unitate externă sau pe o unitate flash. Cu toate acestea, deoarece puțini oameni fac copii de rezervă, cu atât mai puțin le actualizează în mod regulat, informațiile s-au pierdut pur și simplu. Marea majoritate a opțiunilor de a plăti ransomware pentru a vă decripta fișierele se termină cu pierderi de bani și sunt pur și simplu o înșelătorie.

Acum laboratoarele antivirus dezvoltă metode și programe pentru a scăpa de acest virus. Kaspersky Lab a dezvoltat un utilitar, RectorDecryptor, care vă permite să decriptați fișierele infectate. Din acest link puteți descărca programul RectorDecryptor. Apoi trebuie să-l lansați, faceți clic pe butonul „Începe scanarea”, selectați un fișier criptat, după care programul va decripta automat toate fișierele criptate de acest tip. Fișierele sunt restaurate în aceleași foldere în care au fost fișierele criptate. După aceasta, trebuie să ștergeți fișierele criptate. Cel mai simplu mod de a face acest lucru este cu următoarea comandă, tastata la linia de comandă: del "d:\*.AES256" /f /s (unde AES256 ar trebui să fie extensia virusului dumneavoastră). De asemenea, este necesar să ștergeți fișierele de e-mail ale atacatorului împrăștiate în computer. Puteți face acest lucru cu următoarea comandă: del"d:\ EXTEND_FILES.html " /f /s tastat la linia de comandă.

Mai întâi trebuie să vă protejați computerul de posibilitatea răspândirii unui virus. Pentru a face acest lucru, trebuie să ștergeți fișierele de pornire suspecte de la pornire, să dezinstalați programe suspecte, să ștergeți folderele temporare și cache-urile browserului (puteți folosi utilitarul CCleaner pentru aceasta ).

Totuși, trebuie menționat că această metodă de decriptare îi poate ajuta doar pe cei al căror virus a fost deja procesat de Kaspersky Lab și este inclus în listă în utilitarul RectorDecryptor. Dacă acesta este un virus nou care nu este încă inclus în lista de viruși neutralizați, atunci va trebui să trimiteți fișierele infectate la Kaspersky Labs pentru decriptare. Dr .Web , sau Da din cap 32 sau restaurați-le dintr-o copie de rezervă (ceea ce este mult mai ușor).

Dacă acțiunile de neutralizare a virușilor și de tratare a computerului sunt de o anumită complexitate, atunci pentru a nu provoca și mai mult rău sau distruge sistemul de operare (ceea ce poate duce la o reinstalare completă). Windows ), este mai bine să contactați un specialist care va face acest lucru profesional. Instrumentele moderne permit ca toate aceste acțiuni să fie efectuate de la distanță oriunde în lume unde există o conexiune la Internet.

Bună prieteni! Ce dezastru, ce dezastru! Ieri aproape că am devenit victima unui virus ransomware. Și am scris acest articol din furie. Pentru ca tu, dragă cititor, să știi cum și ce să faci pentru a evita „ziua criptografului”. Am scăpat de asta de data asta. Îți voi spune cum. De asemenea, voi împărtăși câteva dintre observațiile și experiențele mele pe această temă.

Cu toții auzim periodic la televizor despre virușii „petya”, „wanna-cry” și altele asemenea. Acestea sunt așa-numitele „stele globale”, de clasă internațională. Dacă se vorbește despre ele la televizor și totul este în regulă pe computerul tău, cel mai probabil nu mai ești în pericol de a întâlni o „stea”. S-au luat măsuri. Virusul a fost detectat și neutralizat. Semnătura sa se află deja în baza de date a antivirusului dvs. încorporat. Mult mai periculoși sunt virușii de criptare despre care oamenii nu vorbesc la televizor. Sunt scrise de compatrioții noștri, „artişti liberi”, nu împovăraţi de norme morale.

Înainte era mai ușor. Virusul ransomware a blocat desktopul. Pe ecran era un banner indecent pe care scria: „Ești exact așa”. Ești pedepsit, plătești o amendă. Toate acestea au fost tratate destul de repede și ușor. Și destul de repede, bannerele ransomware au demodat.

Apoi, potențialii programatori de pe drumurile mari au decis că trebuie să ne dezvoltăm în continuare. Scrisorile „Inocente” au început să sosească prin poștă. Mai mult, ele ajung adesea la începutul lunii, precum și la date trimestriale și anuale. Un contabil șef nebănuit (sau nu așa) deschide o astfel de scrisoare. Conținutul nu se deschide. Nimic nu se intampla. Ea închide scrisoarea. Dar, după o oră, descoperă că toate fișierele documentelor, fotografiile și bazele de date sunt criptate. Și în fiecare folder de pe computer există un fișier cu un mesaj obscur și calm.

Nu disperați! Citește articolul! Există modalități de a vă ajuta să vă protejați. Voi încerca acum să le acopăr cât mai detaliat posibil.

Deci, subiectul scrisorii pe care o primiți poate conține următoarele cuvinte: „către contabilul-șef”, „către departamentul contabil”, „Raport de reconciliere”, „Somația din instanță”, „Arbitraj”, cuvântul „amenda”, „instanța” este adesea găsită.

Repet încă o dată - la începutul lunii și la datele trimestriale și anuale, astfel de „scrisori în lanț” ajung cel mai adesea. Calculul este simplu. O contabilă nefericită (de obicei o femeie), ale cărei rapoarte trimestriale sunt deja „arde”, este gata să facă orice pentru a-și recupera declarațiile, bazele de date, tabelele, calculele și anii de muncă.

Prieteni, nu urmați exemplul estorcatorilor. Nu există nicio garanție de decriptare. De ce să ridici stima de sine a acestor nefericiți „hackeri” și să dai ocazia de a continua să jefuiască oameni cinstiți și muncitori? Nu le transfera bani! Recuperarea este posibilă cu condiția ca computerul dumneavoastră să fie configurat corect și protejat. Urmați recomandările!

Cum să te protejezi de un virus ransomware în Windows?

Pentru prima dată mi s-a cerut să ajut acum doi-trei ani... Și îmi amintesc atunci că m-a lovit, s-ar putea spune, viclenia asta. Odată ce un virus intră în sistem, acesta funcționează ca un program normal. Bazele de date ale antivirusului licențiat (!) instalat nu conțineau semnăturile lor, așa că la început antivirusurile nu „considerau” astfel de „aplicații” ca fiind rău intenționate.

Până când apelurile la sprijin s-au răspândit. Malware-ul criptează toate fișierele de pe un computer de un anumit tip - text, documente, fotografii, fișiere PDF. Și „oaspetele” meu de ieri a criptat deja chiar și unele fișiere ale programului 1C. Există progres.

Dar nu ne-am născut în spatele aragazului... Voi spune imediat că nu va fi posibil să decriptăm fișierele criptate cu niciun program terță parte. Îmi amintesc că Kaspersky Lab a postat programe de decriptare pe site-ul său.

Dar, sunt doar pentru viruși de un anumit tip. Nu m-a ajutat. Mâine atacatorul va schimba codul, iar acest program nu va mai ajuta. Cheia este cunoscută doar de „dezvoltator”. Și dacă a fost deja închis, nimeni nu vă va trimite cu siguranță un decriptor. Pentru a vă păcăli să vă ușurați portofelul, codul rău intenționat trebuie să depășească mai multe linii de apărare.

Prima linie de apărare este atenția și lizibilitatea ta. Mereu mergi pe aceleași site-uri. Dacă primiți e-mailuri, atunci aproape toate cele pe care le primiți sunt întotdeauna de la aceiași destinatari și întotdeauna cu același conținut.

Când primiți o scrisoare cu conținut neobișnuit, nu vă grăbiți să o deschideți. Dacă vă aflați pe un site necunoscut și vedeți o fereastră neobișnuită, nu vă grăbiți să continuați.

Dacă dvs. sau organizația dvs. aveți un site web, eliminați informațiile despre adresa dvs. de e-mail de acolo. Dacă este vizibil, atunci va ajunge cu siguranță pe lista de corespondență a „romanticilor de pe autostradă” inteligenți. Dați adresa doar persoanelor de încredere și în privat.

A doua linie de apărare este un antivirus intern licențiat. De ce licentiat? Am observat că un antivirus cu licență plătit (care a trecut de certificarea de stat a FSTEC) funcționează mai bine decât cel gratuit.

Încă o dată, am verificat din nou ceva după versiunea „de probă” a Kaspersky (deși cu mult timp în urmă). Rezultatul a fost descurajator. Am găsit o grămadă de viruși atunci.. Asta e o observație. Pentru securitate reală trebuie să plătești, deși mici, bani.

De ce un antivirus intern? Deoarece produsele noastre antivirus certificate mențin baze de date cu site-uri nedorite și frauduloase. „Colegii” străini nu se pot lăuda întotdeauna cu acest lucru; segmentul lor de internet este diferit; nu puteți acoperi totul.

Rulați totuși un scanner de viruși pe computer noaptea

poate o dată pe lună.

Cum ajunge un virus ransomware pe computer?

Pentru a disimula atașamentul, acesta este aproape întotdeauna trimis într-o arhivă. Prin urmare, mai întâi vom verifica litera neobișnuită cu un antivirus. Trebuie să salvați fișierul pe computer (antivirusul se va „uita” deja la el). Și apoi, în plus, faceți clic dreapta pe fișierul salvat pe disc și verificați din nou:

Site-ul se află în baza de date nerecomandată. Aceasta înseamnă că au existat deja „apeluri de alarmă” de la el. De asemenea, versiunile plătite verifică linkurile de internet pentru viruși „conectați” mai bine decât cele gratuite. Și când dați clic pe un astfel de link, ei neutralizează virusul sau îl adaugă la lista „suspecte” și îl blochează.

La sfârșitul lunii martie, am folosit aceste metode simple pentru a prinde un alt virus de criptare „trimestrial” din e-mail. Singurul lucru pe care a reușit să-mi facă a fost să-mi scrie un mesaj pe tot computerul că fișierele sunt criptate, dar nu a fost cazul. Au rămas intacte, codul a funcționat doar pentru a crea un mesaj:

Vă rugăm să rețineți că adresa de e-mail a unui anume Vladimir Shcherbinin, născut în 1991, este indicată aici. Generația anilor 90... Acesta este un traseu fals, pentru că adresa reală este mai jos. vă permite să evitați urmărirea computerului dvs. pe Internet folosind mijloace standard. Prin intermediul unui astfel de browser, atacatorul vă invită să îl contactați. Totul este anonim. Nimeni nu vrea să stea la închisoare.

Din păcate, se întâmplă adesea ca, uneori, virușii să ocolească primele noastre două linii de apărare. În graba noastră, am uitat să scanăm fișierul sau poate că antivirusul nu a primit încă date despre noua amenințare. Dar puteți configura protecția în sistemul de operare.

Cum se configurează protecția împotriva ransomware în Windows 10?

Continuăm să construim o apărare profundă și stratificată împotriva virușilor ransomware și nu numai împotriva ransomware-ului. Fișierele nu pot fi decriptate. Dar ele pot fi restaurate. Totul tine de setari. Dacă le faci înainte ca virusul să ajungă pe computer, virusul nu va putea face nimic. Și dacă o face, atunci va fi posibilă restaurarea fișierelor.

A treia linie de apărare este computerul nostru. De mult timp, din 2003, Microsoft folosește tehnologia de „copiere umbră pe disc”. Pentru tine și pentru mine, asta înseamnă că orice modificare a sistemului poate fi anulată.

Un „instantaneu” al hard diskului este creat în avans, automat, fără știrea dvs. Și sistemul îl stochează, adăugând doar modificări. Această tehnologie este folosită pentru a face backup datelor. Trebuie doar să-l porniți.

În funcție de dimensiunea și setările discului, pe volum pot fi stocate până la 64 de „copii umbre” anterioare. Dacă această opțiune este activată, atunci fișierele criptate pot fi restaurate dintr-o copie umbra care este creată în liniște zilnic.

Primul pas - Accesați acest computer - butonul dreapta al mouse-ului „proprietăți”:

Opțiuni suplimentare

Să deschidem fila „Protecția sistemului”. În exemplu, opțiunea de protecție este dezactivată pe unul dintre discuri. Stați cu mouse-ul pe unitatea selectată și faceți clic pe „Configurare”

Datele pot fi restaurate dintr-o copie din această fereastră făcând clic pe butonul „Restaurare”.

Efectuați setările ca în figură:

Următorul pas este configurarea Controlului contului utilizatorului. Ați observat că nu a existat niciodată o poveste la televizor despre „epidemiile” de viruși pe dispozitivele Linux și Android?

Atacatorii nu le observă? Ei observă că scriu activ viruși, dar virusul nu funcționează încă acolo. Când lucrați pe un astfel de dispozitiv, nu aveți drepturi de administrator asupra acestuia. Sunteți un utilizator obișnuit, cu drepturi obișnuite, nimeni nu vă va lăsa să schimbați sistemul.

Dacă dispozitivul dvs. este încă în garanție și vă atribuiți drepturi de administrator (root) folosind mijloace speciale, producătorul vă va priva de garanție pentru aceasta. Orice virus cunoscut în prezent, care intră într-un mediu de închisoare atât de limitat „utilizator”, încearcă să schimbe ceva, dar fără rezultat, deoarece comenzile de schimbare a sistemului sunt blocate în tăcere. Acesta este un avantaj imens al Linux-ului.

Microsoft (care înseamnă „mic și blând”), ca parte a ideologiei sale, a permis utilizatorilor să schimbe ușor și liber setările de securitate în sistemele lor de operare.

Atât de ușor și gratuit încât virusul, odată ajuns în mediul „administrator”, acționează deja cu puteri de administrator, nimic nu interferează cu el. De aici epidemiile masive și concluzia că numai utilizatorul unui computer Windows este responsabil pentru siguranța datelor lor. Care dintre noi acordă atenție setărilor? Pana cand bate tunetul... :-

Sper ca te-am convins. Totul este ușor. Accesați conturile de utilizator

Mutăm cursorul cât mai convenabil pentru noi.

Acum, când lansați orice program cu cunoștințele dvs. (sau fără ale dvs.), sistemul vă va cere permisiunea și vă va anunța. Cei mici și delicati iubesc astfel de ferestre...

Și dacă aveți drepturi de Administrator, atunci puteți permite executarea acestuia. Dar dacă ești un utilizator obișnuit, nu o vei permite. Prin urmare, din nou, concluzia este că cel mai bine este să aveți un cont de administrator protejat prin parolă pe computer, iar toți ceilalți ar trebui să fie utilizatori obișnuiți.

Desigur, toată lumea este familiarizată cu această fereastră de mult timp, toată lumea a pus-o deja, toată lumea o stinge. Dar, dacă Controlul contului utilizatorului este activat, nu va permite programului să pornească chiar și atunci când este conectat direct la computer de la distanță. Ca aceasta. Dar, dintre două rele, trebuie să-l alegi pe cel mai mic. Cui îi place ce. Iată un alt videoclip scurt pe această temă

Următorul pas este să configurați permisiunile pentru foldere. Pentru folderele de documente deosebit de importante, puteți configura drepturi de acces pentru fiecare astfel de folder. În proprietățile oricărui folder (prin butonul din dreapta al mouse-ului - „Proprietăți”) există o filă „Securitate”.

De exemplu, avem utilizatori pe computerul nostru, să presupunem că aceștia sunt copiii noștri mici. Nu dorim ca ei să poată schimba conținutul acestui folder. Prin urmare, faceți clic pe „Modificați”.

Bifele gri sunt cele setate implicit. Putem bifa casetele și „interzice” totul. Chiar și vizionarea. Puteți interzice un grup de utilizatori (ca în figură). Puteți „Adăugați” un anumit utilizator. Virusul nu va putea face nimic dacă permisiunile de „schimbare” sau „scriere” sunt refuzate în acest folder. Încercați să blocați scrierea și apoi să copiați un fișier într-un astfel de folder.

Și, de asemenea, astăzi vom lua în considerare o astfel de măsură de protecție împotriva virușilor precum backupul fișierelor. Pentru o astfel de soluție, trebuie să achiziționați și să instalați în prealabil pe computer un alt hard disk cu o capacitate nu mai mică decât cea pe care este instalat Windows. Apoi trebuie să configurați arhivarea pentru aceasta.

Eșuând acolo, ne găsim în setări:

Am doar partiția „D” a hard disk-ului la îndemână acum. Acest lucru este posibil, dar numai pentru prima dată. Atunci trebuie neapărat să-ți cumperi un hard disk extern. După ce ați ales locația arhivei, faceți clic pe „Următorul”.

Dacă nu aveți un hard disk, facem totul ca în figură. În acest caz, vor fi salvate numai fișierele din locații standard (Documentele mele, Descărcări de imagini, Desktop etc.). Faceți clic pe „Următorul”.

Asta e tot, prieteni. Procesul a început. Iată un videoclip care vă spune cum să creați o imagine de sistem și să restaurați un fișier din imagine

Deci, pentru a vă proteja eficient împotriva virușilor ransomware, este suficient să aveți grijă, de preferință să aveți un antivirus casnic plătit și un sistem de operare configurat pentru securitate normală. „Dar cum ai obținut virusul de criptare dacă ești atât de inteligent?” - ma va intreba cititorul. Mă pocăiesc, prieteni.

Toate setările de mai sus mi-au fost făcute. Dar, am oprit totul singur timp de aproximativ câteva ore. Eu și colegii mei stabilim de la distanță o conexiune la o bază de date care pur și simplu nu dorea să fie stabilită.

S-a decis să folosesc urgent computerul meu ca opțiune de testare. Pentru a mă asigura că pachetele nu au fost interferate de antivirus, setările de rețea și firewall, am dezinstalat rapid antivirusul pentru o perioadă și am dezactivat controlul contului de utilizator. Doar totul. Citiți mai jos pentru a vedea ce a rezultat.

Când un virus ransomware ajunge pe computer, ce ar trebui să faci?

Deși nu este ușor, mai întâi încearcă să nu intri în panică. Un atacator nu poate cunoaște conținutul computerului dvs. El se comportă orbește. Nu totul este criptat. De exemplu, programele și aplicațiile nu sunt de obicei criptate. De asemenea, arhivele *.rar și *.7zip nu sunt disponibile. incearca sa deschizi arhiva. Dacă se deschide, e bine.

Când am descoperit „surpriza”, am început să ghicesc că „am primit-o”. Știam ce fac... În primul rând, am instalat antivirusul înapoi. Într-o stare dezamăgită, am activat din nou Controlul contului de utilizator „full” și am efectuat o scanare peste noapte a partiției de sistem C:, pe care este instalat Windows.

A fost necesar să extrageți fișierul infectat. Dacă nu faci asta, nu va avea rost. Totul va fi din nou criptat. Deci mai întâi tratăm computerul.

Dacă este posibil, executați o scanare a întregului computer folosind discul de viață gratuit de la Dr Web sau un utilitar gratuit similar de la Kaspersky Kspersky Resque Disk 10.

Dimineața, următorii „monstri” au fost găsiți în carantina antivirusului meu:

Doar trei, ar fi putut fi mai rău. Dar acești trei au criptat toate bunurile mele. Ce facem mai departe? Dacă arhivarea a fost configurată, după tratament trebuie doar să restaurați fișierele din arhivă și asta este tot. Am intrat în arhivă, unde aveam un backup zilnic al fișierelor mele configurat timp de câteva luni.

După ce l-am deschis, am văzut că toate arhivele pentru toate datele au fost și ele ucise. Lista este goală. De ce s-a întâmplat?

Virușii devin din ce în ce mai inteligenți. Eu însumi am dezactivat Controlul contului utilizator după ce am dezinstalat antivirusul. …….Primul lucru pe care l-a făcut virusul după aceea a fost să se bucure și să ștergă toate fișierele de rezervă. Și din acel moment am început să cad treptat în deznădejde...

Al doilea lucru de făcut (credeam) este să restaurați fișierele din copia umbră a unității C:. Pentru a face acest lucru, folosesc un program gratuit pentru vizualizarea copiilor umbre ale unui disc ShadowCopyView_ru_64 sau versiunea pe 32 de biți. Vă permite să vizualizați vizual și să evaluați rapid conținutul copiilor umbre, precum și să restaurați foldere individuale.

Când m-am uitat la ultimele instantanee, sa dovedit că au rămas doar copii criptate... Al doilea lucru pe care l-a făcut virusul a fost să-mi omoare din nou vechile copii umbră ale volumului protejat, pentru a-l face mai interesant pentru mine... Sau poate au fost suprascrise de copiile ulterioare... Final...

S-ar părea că asta este. Nu toți, prieteni. Principalul lucru este să nu renunți.

Virusul are fișiere criptate pe un computer cu Windows 10, ce să faci, cum să-l vindeci și cum să-l remediezi?

La asta nu au reușit încă să ajungă potențialii noștri hackeri. Ultima linie de apărare. Prezent doar în Windows 10, nu l-am verificat încă, dar cred că „șapte” și „opt” nu au această nouă caracteristică minunată. Am observat-o recent. Aceasta este o caracteristică cu adevărat nouă și interesantă. În bara de căutare apăsăm cuvântul „recuperare”

În Panoul de control, faceți clic pe „Recuperați fișiere folosind istoricul fișierelor”

Am fost încântat și am trecut imediat, desigur, la „Documente” și „Desktop”.

Și am văzut că fișierele nu erau criptate. Ura! „Mulțumesc Green Arrow! Procesul a început. Fișierele au fost restaurate. Calculatorul a fost vindecat de viruși. Setările de securitate sunt făcute. Ce mai rămâne de făcut?

De asemenea, trebuie să ștergeți fișierele criptate. Nu se știe niciodată... Dar sunt foarte, foarte mulți dintre ei. Cum să le găsiți și să le eliminați rapid? Folosesc managerul de fișiere Total Comander de mult timp. Pentru gustul meu nu este nimic mai bun. Oricine a început cu Far Manager mă ​​va înțelege. Tonal poate căuta rapid fișiere și multe altele. Vom curăța discurile unul câte unul.

Să începem cu partiția de sistem, selectați-o făcând clic pe mouse sau din lista derulantă din colțul din stânga sus:

Apăsați simultan Alt + F7 de pe tastatură. Am apelat panoul de căutare de fișiere.

Puteți căuta după nume. Poti face orice doresti. Dar vom folosi o mască, adică indicăm extensia fișierului criptat *.freefoam printr-un asterisc și un punct („autorul” dvs. poate fi diferit, iar extensia va fi diferită). Prin aceasta am indicat că TOATE fișierele cu această extensie trebuie căutate. Căutați locația „C:”. De asemenea, puteți specifica toate secțiunile din acest panou, nu doar „C:”. Faceți clic pe „Începe căutarea”.

Apăsând „stea” de pe tastatura laterală, evidențiem toate fișierele din panou cu roz. Pentru a șterge fișiere în coșul de gunoi, apăsați F8 sau Del:

Am curățat tot gunoiul criptat rămas ca un aspirator. Lasă-l să stea în coș deocamdată. Atunci o voi șterge. La fel, am curățat toate secțiunile una câte una în aproximativ patruzeci de minute. Am multe lucruri criptate.

Dar am avut noroc, pentru că se poate întâmpla și mai rău. Această nouă caracteristică m-a salvat literalmente. Nu sunt sigur dacă activarea copiilor umbră afectează această nouă caracteristică. Se pare că da, dar nu am verificat în mod special. Cumva nu mai vreau :)

Scrie dacă știi. Și se pot trage următoarele concluzii. Dacă aveți un antivirus bun și configurați corect sistemul de operare Windows 10, puteți șterge nasul atacatorului și îl puteți lăsa fără nimic. La revedere prieteni.