A modern technológiák lehetővé teszik a hackerek számára, hogy folyamatosan javítsák csalási módszereiket a hétköznapi felhasználókkal szemben. Általában a számítógépen áthatoló vírusszoftvert használják erre a célra. A titkosító vírusok különösen veszélyesek. A fenyegetés az, hogy a vírus nagyon gyorsan terjed, titkosítja a fájlokat (a felhasználó egyszerűen nem fog tudni megnyitni egyetlen dokumentumot sem). És ha ez nagyon egyszerű, akkor sokkal nehezebb visszafejteni az adatokat.

Mi a teendő, ha egy vírus titkosított fájlokat tartalmaz a számítógépén

A zsarolóvírusok bárkit megtámadhatnak; még a hatékony vírusirtó szoftverrel rendelkező felhasználók sem immunisak. A fájltitkosító trójaiak számos kóddal érkeznek, amelyek meghaladhatják a víruskereső képességeit. A hackereknek még a nagyvállalatokat is sikerül hasonló módon megtámadniuk, amelyek nem gondoskodtak információik szükséges védelméről. Tehát, miután felvett egy ransomware programot az interneten, számos intézkedést kell tennie.

A fertőzés fő jelei a számítógép lassú működése és a dokumentumnevek megváltozása (az asztalon látható).

1. Indítsa újra a számítógépet a titkosítás leállításához. Bekapcsoláskor ne erősítse meg az ismeretlen programok indítását.
2. Futtassa a víruskeresőt, ha nem támadta meg zsarolóprogram.
3. Egyes esetekben az árnyékmásolatok segítenek az információk visszaállításában. Megtalálásukhoz nyissa meg a titkosított dokumentum „Tulajdonságait”. Ez a módszer a Vault bővítményből származó titkosított adatokkal működik, amelyekről a portálon található információ.
4. Töltse le a segédprogram legújabb verzióját a ransomware vírusok elleni küzdelemhez. A leghatékonyabbakat a Kaspersky Lab kínálja.

Ransomware vírusok 2016-ban: példák

Bármilyen vírustámadás elleni küzdelem során fontos megérteni, hogy a kód nagyon gyakran változik, új vírusvédelemmel kiegészítve. Természetesen a biztonsági programoknak időre van szükségük, amíg a fejlesztő frissíti az adatbázisokat. Kiválogattuk az utóbbi idők legveszélyesebb titkosító vírusait.

Ishtar Ransomware

Az Ishtar egy zsarolóprogram, amely pénzt csal ki a felhasználótól. A vírust 2016 őszén vették észre, és rengeteg felhasználó számítógépét fertőzte meg Oroszországból és számos más országból. E-mailben terjesztve, amely csatolt dokumentumokat (telepítőket, dokumentumokat stb.) tartalmaz. Az Ishtar titkosító által megfertőzött adatok nevében az „ISHTAR” előtag szerepel. A folyamat létrehoz egy tesztdokumentumot, amely jelzi, hová kell menni a jelszó beszerzéséhez. A támadók 3000-15000 rubelt követelnek érte.

Az Ishtar vírus veszélye, hogy ma nincs olyan dekódoló, amely segítené a felhasználókat. A víruskereső szoftvereket gyártó cégeknek időre van szükségük az összes kód megfejtéséhez. Most már csak a fontos információkat (ha azok különösen fontosak) elkülönítheti egy külön adathordozóra, megvárva a dokumentumok visszafejtésére képes segédprogram kiadását. Az operációs rendszer újratelepítése javasolt.

Neitrino

A Neitrino titkosító 2015-ben jelent meg az interneten. A támadás elve hasonló a hasonló kategóriájú vírusokhoz. Megváltoztatja a mappák és fájlok nevét a "Neitrino" vagy a "Neutrino" hozzáadásával. A vírust nehéz visszafejteni, a víruskereső cégek nem minden képviselője vállalja ezt egy nagyon összetett kódra hivatkozva. Egyes felhasználók számára előnyös lehet az árnyékmásolat visszaállítása. Ehhez kattintson a jobb gombbal a titkosított dokumentumra, lépjen a „Tulajdonságok”, „Korábbi verziók” fülre, kattintson a „Visszaállítás” gombra. Jó ötlet lenne a Kaspersky Lab ingyenes segédprogramját használni.

Pénztárca vagy .pénztárca.

A Wallet titkosító vírus 2016 végén jelent meg. A fertőzési folyamat során az adatok nevét „Név..pénztárca”-ra vagy valami hasonlóra változtatja. A legtöbb zsarolóvírushoz hasonlóan ez is a támadók által küldött e-mailek mellékletein keresztül jut be a rendszerbe. Mivel a fenyegetés nemrég jelent meg, a víruskereső programok nem veszik észre. A titkosítás után létrehoz egy dokumentumot, amelyben a csaló jelzi az e-mailt a kommunikációhoz. Jelenleg a víruskereső szoftverfejlesztők dolgoznak a ransomware vírus kódjának megfejtésén. [e-mail védett]. Azok a felhasználók, akiket megtámadtak, csak várhatnak. Ha az adatok fontosak, akkor a rendszer törlésével ajánlott külső meghajtóra menteni.

Talány

Az Enigma ransomware vírus 2016 áprilisának végén kezdte megfertőzni az orosz felhasználók számítógépeit. Az AES-RSA titkosítási modellt használják, amely manapság a legtöbb ransomware vírusban megtalálható. A vírus egy szkript segítségével hatol be a számítógépbe, amelyet a felhasználó úgy futtat le, hogy megnyitja a gyanús e-mailekből származó fájlokat. Még mindig nincs univerzális eszköz az Enigma ransomware leküzdésére. A víruskereső licenccel rendelkező felhasználók a fejlesztő hivatalos webhelyén kérhetnek segítséget. Egy kis „kiskapukat” is találtunk - Windows UAC. Ha a felhasználó a „Nem” gombra kattint a vírusfertőzési folyamat során megjelenő ablakban, a későbbiekben árnyékmásolatok segítségével vissza tudja állítani az információkat.

Granit

2016 őszén megjelent az interneten egy új ransomware vírus, a Granit. A fertőzés a következő forgatókönyv szerint történik: a felhasználó elindítja a telepítőt, amely megfertőzi és titkosítja a számítógépen lévő összes adatot, valamint a csatlakoztatott meghajtókat. A vírus elleni küzdelem nehéz. Az eltávolításhoz használhatja a Kaspersky speciális segédprogramjait, de még nem tudtuk megfejteni a kódot. Talán az adatok korábbi verzióinak visszaállítása segít. Ezenkívül egy nagy tapasztalattal rendelkező szakember meg tudja fejteni a titkosítást, de a szolgáltatás drága.

Tyson

Nemrég észlelték. Ez a már ismert ransomware no_more_ransom kiterjesztése, amelyről honlapunkon tájékozódhat. E-mailből éri el a személyi számítógépeket. Sok vállalati PC-t megtámadtak. A vírus létrehoz egy szöveges dokumentumot feloldó utasításokkal, és felajánlja a „váltságdíjat”. A Tyson ransomware nemrég jelent meg, így még nincs feloldó kulcs. Az adatok visszaállításának egyetlen módja a korábbi verziók visszaküldése, ha azokat nem vírus törölte. Természetesen kockáztathatsz, ha pénzt utalsz át a támadók által megadott számlára, de nincs garancia arra, hogy megkapod a jelszót.

Spora

2017 elején számos felhasználó lett az új Spora ransomware áldozata. Működési elvét tekintve nem sokban különbözik társaitól, de professzionálisabb dizájnnal büszkélkedhet: jobban meg vannak írva a jelszó beszerzési utasítások, és szebben is néz ki a weboldal. A Spora ransomware vírust C nyelven hozták létre, és az RSA és az AES kombinációját használja az áldozat adatainak titkosításához. Általában azokat a számítógépeket támadták meg, amelyeken aktívan használták az 1C könyvelési programot. Az egyszerű .pdf formátumú számla leple alatt megbúvó vírus elindítására kényszeríti a cég alkalmazottait. Még nem találtak kezelést.

1C.Drop.1

Ez az 1C titkosítási vírus 2016 nyarán jelent meg, sok könyvelési osztály munkáját megzavarva. Kifejezetten 1C szoftvert használó számítógépekhez fejlesztették ki. A számítógépen egy e-mailben küldött fájlon keresztül felkéri a tulajdonost, hogy frissítse a programot. Bármelyik gombot is megnyomja a felhasználó, a vírus elkezdi titkosítani a fájlokat. A Dr.Web szakemberei dolgoznak a visszafejtő eszközökön, de megoldást még nem találtak. Ez a bonyolult kódnak köszönhető, amely több módosítást is tartalmazhat. Az 1C.Drop.1 elleni egyetlen védelem a felhasználói éberség és a fontos dokumentumok rendszeres archiválása.

da_vinci_code

Egy új zsarolóprogram szokatlan névvel. A vírus 2016 tavaszán jelent meg. Továbbfejlesztett kódjában és erős titkosítási módjában különbözik elődeitől. A da_vinci_code egy végrehajtó alkalmazásnak köszönhetően (általában egy e-mailhez csatolva) fertőzi meg a számítógépet, amelyet a felhasználó önállóan indít el. A da Vinci titkosító eszköz átmásolja a törzset a rendszerkönyvtárba és a rendszerleíró adatbázisba, biztosítva az automatikus indítást, amikor a Windows be van kapcsolva. Minden áldozat számítógépéhez egyedi azonosító tartozik (segít a jelszó beszerzésében). Az adatok visszafejtése szinte lehetetlen. Fizethet pénzt a támadóknak, de senki nem garantálja, hogy megkapja a jelszót.

[e-mail védett] / [e-mail védett]

Két e-mail cím, amelyeket 2016-ban gyakran kísértek ransomware vírusok. Arra szolgálnak, hogy összekapcsolják az áldozatot a támadóval. Csatoltunk címeket különféle típusú vírusokhoz: da_vinci_code, no_more_ransom és így tovább. Erősen ajánlott, hogy ne lépjen kapcsolatba a csalókkal, és ne utaljon pénzt nekik. A felhasználók a legtöbb esetben jelszavak nélkül maradnak. Így megmutatja, hogy a támadók zsarolóprogramja működik, bevételt generálva.

Breaking Bad

2015 elején jelent meg, de csak egy évvel később terjedt el aktívan. A fertőzés elve megegyezik a többi zsarolóvíruséval: fájl telepítése e-mailből, adatok titkosítása. A hagyományos víruskereső programok általában nem veszik észre a Breaking Bad vírust. Egyes kódok nem tudják megkerülni a Windows UAC-t, így a felhasználónak lehetősége van a dokumentumok korábbi verzióinak visszaállítására. Még egyetlen vírusirtó szoftvert fejlesztő cég sem mutatott be titkosítót.

XTBL

Nagyon gyakori zsarolóprogram, amely sok felhasználónak okozott gondot. A számítógépre kerülve a vírus percek alatt megváltoztatja a fájl kiterjesztését .xtbl-re. Létrejön egy dokumentum, amelyben a támadó pénzt zsarol ki. Az XTBL vírus egyes változatai nem képesek megsemmisíteni a fájlokat a rendszer-helyreállítás érdekében, ami lehetővé teszi a fontos dokumentumok visszaszerzését. Maga a vírus számos programmal eltávolítható, de a dokumentumok visszafejtése nagyon nehéz. Ha Ön egy licencelt vírusirtó tulajdonosa, vegye igénybe a technikai támogatást a fertőzött adatok mintáinak csatolásával.

Kukaracha

A Cucaracha ransomware-t 2016 decemberében fedezték fel. Az érdekes nevű vírus az RSA-2048 algoritmus segítségével rejti el a felhasználói fájlokat, amely rendkívül ellenálló. A Kaspersky antivirus Trojan-Ransom.Win32.Scatter.lb néven jelölte meg. A Kukaracha eltávolítható a számítógépről, hogy más dokumentumok ne fertőződjenek meg. A fertőzötteket azonban jelenleg szinte lehetetlen visszafejteni (nagyon erős algoritmus).

Hogyan működik a ransomware vírus?

Nagyon sok ransomware létezik, de mindegyik hasonló elven működik.

1. Hozzáférés a személyi számítógéphez. Általában az e-mailhez csatolt fájlnak köszönhetően. A telepítést maga a felhasználó kezdeményezi a dokumentum megnyitásával.
2. Fájlfertőzés. Szinte minden fájltípus titkosított (a vírustól függően). Létrejön egy szöveges dokumentum, amely a támadókkal való kommunikációhoz szükséges kapcsolatokat tartalmazza.
3. Minden. A felhasználó egyetlen dokumentumhoz sem férhet hozzá.

Ellenőrző szerek népszerű laboratóriumokból

A ransomware széles körben elterjedt használata, amely a felhasználói adatok legveszélyesebb fenyegetése, számos víruskereső laboratórium lendületévé vált. Minden népszerű cég olyan programokkal látja el felhasználóit, amelyek segítenek a ransomware elleni küzdelemben. Ezen kívül sok közülük a dokumentumok visszafejtésében és a rendszervédelemben is segítséget nyújt.

Kaspersky és ransomware vírusok

Oroszország és a világ egyik leghíresebb víruskereső laboratóriuma ma a leghatékonyabb eszközöket kínálja a ransomware vírusok elleni küzdelemhez. A ransomware vírus első akadálya a Kaspersky Endpoint Security 10 lesz a legújabb frissítésekkel. A víruskereső egyszerűen nem engedi, hogy a fenyegetés belépjen a számítógépébe (bár lehet, hogy nem állítja meg az új verziókat). Az információk visszafejtéséhez a fejlesztő számos ingyenes segédprogramot mutat be: XoristDecryptor, RakhniDecryptor és Ransomware Decryptor. Segítenek megtalálni a vírust és kiválasztani a jelszót.

Dr. Web és ransomware

Ez a laboratórium a víruskereső programjuk használatát javasolja, amelynek fő funkciója a fájlok biztonsági mentése. A dokumentumok másolatait tartalmazó tárolás is védett a behatolók illetéktelen hozzáférésétől. A licencelt termék tulajdonosai Dr. A web funkció elérhető a technikai támogatás kérésére. Igaz, még a tapasztalt szakemberek sem mindig tudnak ellenállni az ilyen típusú fenyegetéseknek.

ESET Nod 32 és ransomware

Ez a cég sem állt félre, jó védelmet nyújtott felhasználóinak a számítógépükbe kerülő vírusok ellen. Ezenkívül a laboratórium nemrégiben kiadott egy ingyenes segédprogramot naprakész adatbázisokkal - az Eset Crysis Decryptort. A fejlesztők szerint még a legújabb zsarolóvírusok elleni küzdelemben is segít.

Honlapom hírhedt részét egy másik történettel folytatom, amelyben én magam voltam az áldozat. Szólok a Crusis (Dharma) zsarolóvírusról, amely titkosította a hálózati meghajtón lévő összes fájlt, és .combo kiterjesztést adott nekik. Nemcsak helyi fájlokon dolgozott, mint a legtöbbször, hanem hálózati fájlokon is.

A fájlok garantált visszafejtése ransomware vírus után - dr-shifro.ru. A munka részletei és az ügyféllel való interakció sémája alább található a cikkemben vagy a webhelyen a „Munkafolyamat” részben.

Bevezetés

A történet első személyben szól majd, mivel az általam kezelt adatokra és infrastruktúrára hatással volt a titkosító. Bármilyen szomorú is ezt beismerni, részben én vagyok a hibás a történtekért, bár nagyon régóta ismerek kriptográfusokat. Védekezésemre elmondom, hogy nem vesztek el adatok, mindent gyorsan helyreállítottak és késedelem nélkül kivizsgáltak. De először a dolgok.

Az unalmas reggel azzal kezdődött, hogy 9:15-kor az egyik távoli oldalról felhívott a rendszergazda, és közölte, hogy van titkosító a hálózaton, a hálózati meghajtókon már titkosítva vannak az adatok. Hideg futott át a bőrömön :) Ő elkezdte egyedül ellenőrizni a fertőzés forrását, én pedig a sajátommal. Természetesen azonnal a szerverhez mentem, leválasztottam a hálózati meghajtókat, és elkezdtem nézegetni az adathozzáférési naplót. A hálózati meghajtók úgy vannak beállítva, hogy engedélyezni kell. A naplóból azonnal láttam a fertőzés forrását, azt a fiókot, amelyen a ransomware fut, és a titkosítás kezdő időpontját.

A Crusis (Dharma) ransomware vírus leírása

Aztán elkezdődött a nyomozás. A titkosított fájlok megkapták a kiterjesztést .combo. Sok volt belőlük. A kriptográfus késő este, körülbelül 11 órakor kezdett dolgozni. Szerencsénk volt – az érintett lemezek biztonsági mentése ekkorra éppen befejeződött. Az adatok egyáltalán nem vesztek el, mivel a munkanap végén biztonsági másolatot készítettek róluk. Azonnal elkezdtem a visszaállítást a biztonsági másolatból, ami egy külön szerveren van SMB hozzáférés nélkül.

Egyik napról a másikra a vírus megközelítőleg 400 GB adatot tudott titkosítani a hálózati meghajtókon. A kombinált kiterjesztéssel rendelkező összes titkosított fájl banális törlése sokáig tartott. Először egyszerre akartam törölni őket, de amikor a fájlok számlálása 15 percig tartott, rájöttem, hogy ez most felesleges. Ehelyett elkezdtem letölteni a legfrissebb adatokat, és utána megtisztítottam a lemezeket a titkosított fájloktól.

Azonnal megmondom az egyszerű igazságot. A naprakész, megbízható biztonsági mentések minden problémát megoldhatóvá tesznek. El sem tudom képzelni, mit tegyek, ha nincsenek ott, vagy nem relevánsak. Mindig különös figyelmet fordítok a biztonsági mentésekre. Vigyázok rájuk, ápolom őket, és senkinek sem adok hozzájuk hozzáférést.

Miután elindítottam a titkosított fájlok helyreállítását, volt időm nyugodtan megérteni a helyzetet, és közelebbről megvizsgálni a Crusis (Dharma) titkosító vírust. Meglepetések és meglepetések vártak itt. A fertőzés forrása egy virtuális gép volt Windows 7 elhagyottal rdp port egy tartalék csatornán keresztül. A port nem szabványos - 33333. Azt hiszem, ez volt a fő hiba egy ilyen port használata. Bár nem szabványos, nagyon népszerű. Természetesen jobb, ha egyáltalán nem továbbítjuk az rdp-t, de ebben az esetben valóban szükség volt rá. Egyébként most e virtuális gép helyett egy CentOS 7-es virtuális gépet is használnak, amely egy xfce-s tárolót és egy böngészőt futtat a Dockerben. Nos, ennek a virtuális gépnek sehol nincs hozzáférése, csak ott, ahol szükség van rá.

Mi a félelmetes ebben az egész történetben? A virtuális gép frissítve lett. A kriptográfus augusztus végén kezdett dolgozni. Lehetetlen pontosan meghatározni, hogy a gép mikor fertőződött meg. A vírus sok mindent kiirtott magában a virtuális gépben. A rendszer frissítéseit májusban telepítették. Vagyis ne legyenek rajta régi nyitott lyukak. Most már azt sem tudom, hogyan hagyjam elérhetővé az rdp portot az internetről. Túl sok olyan eset van, amikor erre valóban szükség van. Például egy terminálkiszolgáló bérelt hardveren. Nem bérelhet VPN-átjárót minden szerverhez.

Most menjünk közelebb a lényeghez és magához a ransomware-hez. A virtuális gép hálózati interfésze le volt tiltva, utána elindítottam. Szabványos tábla fogadott, amit már sokszor láttam más kriptográfusoktól.

Minden fájlod titkosítva lett! A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk az e-mail címre [e-mail védett]Írja be ezt az azonosítót üzenete címébe 501BED27 Ha 24 órán belül nem érkezik válasz, írjon nekünk az alábbi e-mail címekre: [e-mail védett] A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek a visszafejtő eszközt, amely visszafejti az összes fájlt. Garanciaként ingyenes visszafejtés Fizetés előtt küldhet nekünk legfeljebb 1 fájlt ingyenes visszafejtésre. A fájlok teljes méretének 1 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok, stb.) Bitcoin beszerzése A Bitcoin vásárlásának legegyszerűbb módja a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján. https://localbitcoins.com/buy_bitcoins Itt találhat más helyeket is, ahol bitcoinokat vásárolhat, és itt találhat útmutatót kezdőknek: Figyelem! Ne nevezze át a titkosított fájlokat. Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat. Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

A nevû asztalon 2 szöveges fájl volt FÁJLOK TITKOSÍTVA.TXT a következő tartalom:

Minden adatát zároltuk. Vissza akar térni? írj emailt [e-mail védett]

Érdekes, hogy a könyvtárengedélyek megváltoztak Asztali. A felhasználónak nem volt írási jogosultsága. Nyilvánvalóan a vírus azért tette ezt, hogy a felhasználó ne törölje véletlenül a szöveges fájlok adatait az asztalról. Volt egy könyvtár az asztalon Trója, amely magát a vírust tartalmazza – egy fájlt l20VHC_playload.exe.

Hogyan titkosítja a Crusis (Dharma) ransomware vírus a fájlokat

Miután nyugodtan kitaláltam az egészet, és elolvastam a hasonló üzeneteket a ransomware témájában az interneten, megtudtam, hogy elkaptam a híres Crusis (Dharma) ransomware vírus egy verzióját. A Kaspersky úgy érzékeli Trojan-Ransom.Win32.Crusis.to. Különböző kiterjesztéseket ad a fájlokhoz, beleértve az and.combo-t is. A fájllistám valahogy így nézett ki:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Elmondok néhány további részletet a ransomware működéséről. Fontos dolgot nem említettem. Ez a számítógép egy domainben volt. A fájlok egy domain felhasználótól lettek titkosítva!!! Itt vetődik fel a kérdés: honnan kapta a vírus? Nem láttam információt a tartományvezérlő naplóiról és a felhasználó jelszavának kiválasztásáról. Nem volt egy csomó sikertelen bejelentkezés. Vagy kihasználtak valamilyen sebezhetőséget, vagy nem tudom, mit gondoljak. Olyan fiókot használtak, amely még soha nem jelentkezett be ebbe a rendszerbe. Az rdp-n keresztül történt engedélyezés egy tartomány felhasználói fiókból, majd titkosítás. A felhasználók elleni brute force támadásoknak és magán a rendszeren a jelszavaknak sem volt nyoma. Szinte azonnal bejelentkeztem az rdp domain fiókkal. Legalább nem csak jelszót kellett választani, hanem nevet is.

Sajnos a fiók jelszava 123456. Ez volt az egyetlen fiók ezzel a jelszóval, amelyet a helyi rendszergazdák figyelmen kívül hagytak. Emberi tényező. Ez volt a menedzser, és valamilyen oknál fogva a rendszergazdák egész sora tudott erről a jelszóról, de nem változtatta meg. Nyilvánvalóan ez az oka ennek a fióknak a használatának. Ennek ellenére még egy ilyen egyszerű jelszó és felhasználónév megszerzésének mechanizmusa is ismeretlen.

Kikapcsoltam és töröltem a titkosítóval fertőzött virtuális gépet, miután először elkészítettem a lemezképet. A vírus maga vette ki belőle a képet, hogy megnézze a munkáját. A további történet a vírus virtuális gépen való futtatásán alapul majd.

Még egy apró részlet. A vírus a teljes helyi hálózatot átvizsgálta, és egyúttal titkosította az információkat azokon a számítógépeken, ahol volt néhány megosztott mappában, amelyhez mindenki hozzáférhetett. Ez az első alkalom, hogy a titkosító ilyen módosítását láttam. Ez valóban ijesztő dolog. Egy ilyen vírus egyszerűen megbéníthatja az egész szervezet munkáját. Tegyük fel, hogy valamilyen oknál fogva hálózati hozzáférése volt a biztonsági másolatokhoz. Vagy valami gyenge jelszót használtak a fiókhoz. Előfordulhat, hogy minden titkosítva lesz - az adatok és az archivált másolatok is. Általánosságban elmondható, hogy most nem csak elszigetelt hálózati környezetben kell a biztonsági másolatokat tárolnom, hanem általában olyan kikapcsolt berendezéseken, amelyeket csak biztonsági mentés céljából indítanak el.

Hogyan kezeljük számítógépét és távolítsuk el a Crusis (Dharma) zsarolóvírust

Az én esetemben a Crusis (Dharma) ransomware vírus nem volt különösebben elrejtve, és eltávolítása nem okozhat problémát. Mint mondtam, egy mappában volt az asztalomon. Ezen kívül magát és egy tájékoztató üzenetet is rögzített az autorunban.

Maga a vírus teste megkettőződött az indító részben üzembe helyezés minden felhasználó számára és windows/system32. Nem néztem meg jobban, mert nem látom értelmét. A ransomware fertőzés után erősen ajánlom a rendszer újratelepítését. Ez az egyetlen módja annak, hogy biztosan eltávolítsuk a vírust. Soha nem lehet teljesen biztos abban, hogy a vírust eltávolították, mivel egyes, még nem publikált és ismeretlen biztonsági rések segítségével könyvjelzőt hagyhatott a rendszeren. Egy idő után ezzel a jelzáloghitellel kaphat egy új vírust, és minden körben megismétlődik.

Ezért azt javaslom, hogy a zsarolóvírus észlelése után azonnal ne kezelje a számítógépét, hanem telepítse újra a rendszert, elmentve a fennmaradó adatokat. Talán a vírusnak nem sikerült mindent titkosítania. Ezek az ajánlások azokra vonatkoznak, akik nem kívánják megkísérelni a fájlok helyreállítását. Ha rendelkezik aktuális biztonsági másolatokkal, egyszerűen telepítse újra a rendszert, és állítsa vissza az adatokat.

Ha nincs biztonsági másolata, és bármilyen áron készen áll a fájlok visszaállítására, akkor igyekszünk egyáltalán nem érinteni a számítógépet. Először is egyszerűen húzza ki a hálózati kábelt, töltsön le néhány titkosított fájlt és egy szöveges fájlt az információkkal tiszta flash meghajtót, majd kapcsolja ki a számítógépet. A számítógép már nem kapcsolható be. Ha egyáltalán nem értesz a számítógépes dolgokhoz, akkor nem fogsz tudni megbirkózni a vírussal, még kevésbé dekódolni vagy visszaállítani a fájlokat. Lépjen kapcsolatba valakivel, aki tudja. Ha úgy gondolja, hogy saját maga is meg tud tenni valamit, akkor olvasson tovább.

Hol lehet letölteni a Crusis (Dharma) dekódolót

A következőkben az én univerzális tanácsom az összes ransomware vírussal kapcsolatban. Van egy webhely - https://www.nomoreransom.org Elméletileg tartalmazhat egy dekódolót a Crusis vagy a Dharma számára, vagy más információkat a fájlok visszafejtésére vonatkozóan. Az én gyakorlatomban ilyen még soha nem fordult elő, de talán szerencséd lesz. Megér egy próbát. Ehhez a főoldalon kattintással egyetértünk IGEN.

Csatoljon 2 fájlt, illessze be a ransomware információs üzenetének tartalmát, majd kattintson a gombra Jelölje be.

Ha szerencséd van, kapsz egy kis információt. Az én esetemben semmit sem találtak.

Az összes létező ransomware dekódolót egy külön oldalon gyűjtöttük össze – https://www.nomoreransom.org/ru/decryption-tools.html A lista megléte arra enged következtetni, hogy ennek a webhelynek és a szolgáltatásnak van még értelme. A Kaspersky rendelkezik egy hasonló szolgáltatással - https://noransom.kaspersky.com/ru/ Ott szerencsét próbálhat.

Szerintem nem érdemes internetes kereséssel máshol dekódolókat keresni. Nem valószínű, hogy megtalálják őket. Valószínűleg ez vagy egy szokásos átverés, legjobb esetben is ócska szoftverrel, vagy egy új vírus.

Fontos kiegészítés. Ha telepítve van egy vírusirtó licencelt verziója, feltétlenül hozzon létre egy kérelmet a víruskereső TP-hez a fájlok visszafejtésére. Néha tényleg segít. Láttam véleményeket a víruskereső támogatás sikeres visszafejtéséről.

Hogyan lehet visszafejteni és visszaállítani a fájlokat a Crusis (Dharma) vírus után

Mi a teendő, ha a Crusis (Dharma) vírus titkosította fájljait, és a korábban leírt módszerek egyike sem segített, és valóban vissza kell állítania a fájlokat? A titkosítás technikai megvalósítása nem teszi lehetővé a fájlok visszafejtését kulcs vagy dekódoló nélkül, amivel csak a titkosító szerzője rendelkezik. Lehet, hogy más módon is meg lehet szerezni, de nincs ilyen információm. Csak rögtönzött módszerekkel próbálhatjuk meg helyreállítani a fájlokat. Ezek tartalmazzák:

• Eszköz árnyékmásolatok ablakok.
• Törölt adat-helyreállító programok

A további manipulációk előtt javaslom egy szektoronkénti lemezkép elkészítését. Ez lehetővé teszi az aktuális állapot rögzítését, és ha semmi sem működik, akkor legalább visszatérhet a kiindulási ponthoz, és megpróbálhat valami mást. Ezt követően el kell távolítania magát a zsarolóprogramot a legfrissebb víruskereső adatbázisokkal rendelkező vírusirtó segítségével. Megteszi Gyógyítsd meg vagy Kaspersky víruseltávolító eszköz. Bármilyen más vírusirtót telepíthet próba módban. Ez elegendő a vírus eltávolításához.

Ezt követően elindítjuk a fertőzött rendszert, és ellenőrizzük, hogy engedélyezve vannak-e az árnyékmásolatok. Ez az eszköz alapértelmezés szerint működik a Windows 7 és újabb rendszerekben, hacsak nem manuálisan tiltja le. Az ellenőrzéshez nyissa meg a számítógép tulajdonságait, és lépjen a rendszervédelem részre.

Ha a fertőzés során nem erősítette meg az UAC kérését az árnyékmásolatokban lévő fájlok törlésére, akkor néhány adatnak ott kell maradnia. A fájlok árnyékmásolatokból történő egyszerű visszaállításához javaslom egy ingyenes program használatát - a ShadowExplorer. Töltse le az archívumot, csomagolja ki a programot és futtassa.

Megnyílik a fájlok legfrissebb másolata és a C meghajtó gyökere. A bal felső sarokban kiválaszthat egy biztonsági másolatot, ha több van belőlük. Ellenőrizze a szükséges fájlok különböző másolatait. Hasonlítsa össze dátum szerint a legújabb verzióhoz. Az alábbi példámban 2 fájlt találtam az asztalomon három hónappal ezelőtt, amikor legutóbb szerkesztették őket.

Sikerült visszaállítani ezeket a fájlokat. Ehhez kijelöltem őket, jobb gombbal rákattintottam, az Export lehetőséget választottam, és megadtam a mappát, ahová visszaállítom őket.

Ugyanezen elv alapján azonnal visszaállíthatja a mappákat. Ha működtek az árnyékmásolatok, és nem törölte őket, jó eséllyel helyreállíthatja az összes, vagy majdnem az összes vírus által titkosított fájlt. Talán némelyikük régebbi verzió lesz, mint szeretnénk, de ennek ellenére jobb, mint a semmi.

Ha valamilyen okból nem rendelkezik árnyékmásolattal a fájlokról, az egyetlen esélye, hogy legalább valamit megszerezzen a titkosított fájlokból, ha visszaállítja azokat a törölt fájl-helyreállító eszközök segítségével. Ehhez az ingyenes Photorec programot javaslom.

Indítsa el a programot, és válassza ki a lemezt, amelyen visszaállítja a fájlokat. A program grafikus verziójának elindítása végrehajtja a fájlt qphotorec_win.exe. Ki kell választani egy mappát, ahová a talált fájlok kerülnek. Jobb, ha ez a mappa nem ugyanazon a meghajtón található, ahol keresünk. Ehhez csatlakoztasson egy flash meghajtót vagy külső merevlemezt.

A keresési folyamat sokáig fog tartani. A végén látni fogja a statisztikákat. Most beléphet a korábban megadott mappába, és megnézheti, mi található ott. Valószínűleg sok fájl lesz, és a legtöbb vagy megsérül, vagy valamilyen rendszer és haszontalan fájlok lesznek. Ennek ellenére néhány hasznos fájl található ebben a listában. Itt nincs garancia, amit találsz, azt meg is találod. A képeket általában a legjobb helyreállítani.

Ha az eredmény nem kielégítő, akkor vannak programok a törölt fájlok helyreállítására is. Az alábbiakban felsoroljuk azokat a programokat, amelyeket általában akkor használok, amikor a legtöbb fájlt vissza kell állítani:

• R.saver
• Starus fájl helyreállítás
• JPEG Recovery Pro
• Active File Recovery Professional

Ezek a programok nem ingyenesek, ezért nem adok hivatkozásokat. Ha igazán akarod, magad is megtalálhatod őket az interneten.

A fájlok helyreállításának teljes folyamata a felsorolt ​​programokkal részletesen bemutatásra kerül a cikk végén található videóban.

Kaspersky, eset nod32 és mások a Crusis (Dharma) ransomware elleni küzdelemben

Szokás szerint végigjártam a népszerű vírusirtók fórumait, hogy információt keressek a .combo kiterjesztést telepítő ransomware-ről. Egyértelmű tendencia figyelhető meg a vírus terjedése felé. Sok kérés indul augusztus közepétől. Most úgy tűnik, nem láthatók, de talán átmenetileg, vagy egyszerűen megváltozott a titkosított fájlok kiterjesztése.

Íme egy példa a Kaspersky fórum tipikus kérésére.

Az alábbiakban a moderátor megjegyzése is van.

Az EsetNod32 fórum már régóta ismeri a .combo kiterjesztést telepítő vírust. Ha jól értem, a vírus nem egyedi és nem új, hanem a régóta ismert Crusis (Dharma) vírussorozat egy változata. Íme egy tipikus kérés az adatok visszafejtésére:

Észrevettem, hogy az Eset fórumon sok vélemény van arról, hogy a vírus rdp-n keresztül hatolt be a szerverre. Úgy tűnik, ez egy nagyon erős fenyegetés, és nem hagyhatod fedél nélkül az rdp-t. Csak az a kérdés, hogy hogyan jut be a vírus az rdp-n keresztül? Kitalál egy jelszót, csatlakozik egy ismert felhasználóhoz és jelszóhoz, vagy valami máshoz.

Hová forduljunk a garantált visszafejtésért

Véletlenül találkoztam egy céggel, amely ténylegesen visszafejti az adatokat különféle titkosító vírusok, köztük a Crusis (Dharma) munkája után. Címük: http://www.dr-shifro.ru. Fizetés csak a visszafejtés és az Ön ellenőrzése után. Íme egy hozzávetőleges munkaséma:

1. A cég szakembere eljön az irodájába vagy otthonába, és aláír Önnel egy szerződést, amely meghatározza a munka költségét.
2. Elindítja a visszafejtőt a számítógépén, és visszafejt néhány fájlt.
3. Győződjön meg arról, hogy minden fájl meg van nyitva, aláírja az átvételi tanúsítványt a befejezett munkáról, és megkapja a visszafejtőt.
4. Visszafejti a fájlok titkosítását, és befejezi a fennmaradó dokumentumokat.

Nem kockáztatsz semmit. Fizetés csak a dekóder működésének bemutatása után. Kérjük, írjon véleményt a céggel kapcsolatos tapasztalatairól.

A ransomware vírus elleni védekezési módszerek

Nem sorolom fel a nyilvánvaló dolgokat az ismeretlen programok internetről való elindításával és a levél mellékleteinek megnyitásával kapcsolatban. Ezt most már mindenki tudja. Ráadásul erről sokszor írtam a róluk szóló cikkeimben. Figyelni fogok a mentésekre. Nemcsak létezniük kell, hanem kívülről hozzáférhetetlennek is kell lenniük. Ha ez valamilyen hálózati meghajtó, akkor egy külön fióknak, erős jelszóval kell hozzáférnie.

Ha a személyes fájlokról flash meghajtóra vagy külső meghajtóra készít biztonsági másolatot, ne tartsa azokat folyamatosan a rendszerhez csatlakoztatva. A biztonsági másolatok létrehozása után válassza le az eszközöket a számítógépről. Az ideális biztonsági mentést egy külön eszközön látom, amit csak biztonsági mentéshez kapcsolnak be, majd a hálózati kábel lehúzásával vagy egyszerűen leállítva fizikailag újra lekapcsolják a hálózatról.

A biztonsági mentéseknek növekményesnek kell lenniük. Erre azért van szükség, hogy elkerüljük azt a helyzetet, amikor a titkosító az összes adatot anélkül titkosította, hogy Ön észrevenné. Biztonsági mentés történt, amely a régi fájlokat új, de már titkosított fájlokra cserélte. Ennek eredményeként van egy archívuma, de nem használ. Legalább néhány napos archívummélységgel kell rendelkeznie. Úgy gondolom, hogy a jövőben – ha még nem jelentek meg – lesznek olyan ransomware-ek, amelyek csendben titkosítják az adatok egy részét, és várnak egy ideig anélkül, hogy felfednék magukat. Ez azzal a várakozással fog megtörténni, hogy a titkosított fájlok archívumba kerülnek, és ott idővel lecserélik a valódi fájlokat.

Ez nehéz időszak lesz a vállalati szektor számára. Fentebb már hoztam egy példát az eset fórumról, ahol 20 TB adatot tartalmazó hálózati meghajtókat titkosítottak. Most képzelje el, hogy van egy ilyen hálózati meghajtója, de csak 500 G adat van titkosítva olyan könyvtárakban, amelyekhez nem fér hozzá folyamatosan. Eltelik pár hét, senki sem veszi észre a titkosított fájlokat, mert archív könyvtárakban vannak és folyamatosan nem dolgoznak velük. De a jelentési időszak végén adatokra van szükség. Odamennek és látják, hogy minden titkosítva van. Bemennek az archívumba, ott mondjuk 7 nap a tárolási mélység. És ez minden, az adatok eltűntek.

Ez külön, gondos archívumot igényel. A hosszú távú adattároláshoz szoftverre és erőforrásokra van szüksége.

Videó a fájlok visszafejtéséről és helyreállításáról

Itt van egy példa a vírus hasonló módosítására, de a videó teljesen releváns a kombó szempontjából.

Előfordult már, hogy e-mailben, Skype-on vagy ICQ-n keresztül kapott üzenetet egy ismeretlen feladótól, amely a barátja fényképére mutató linket tartalmaz, vagy gratulálok a közelgő ünnephez? Úgy tűnik, nem számít semmiféle beállításra, és a hivatkozásra kattintva hirtelen komoly rosszindulatú szoftverek töltődnek le a számítógépére. Mielőtt észrevenné, a vírus már titkosította az összes fájlját. Mit kell tenni ilyen helyzetben? Lehetséges a dokumentumok visszaállítása?

A rosszindulatú programok kezelésének megértéséhez tudnia kell, mi az, és hogyan hatol be az operációs rendszerbe. Ezenkívül egyáltalán nem mindegy, hogy a Windows melyik verzióját használja - a Critroni vírus bármely operációs rendszer megfertőzésére irányul.

Titkosító számítógépes vírus: definíció és cselekvési algoritmus

Új számítógépes vírusszoftver jelent meg az interneten, amelyet sokan CTB (Curve Tor Bitcoin) vagy Critroni néven ismernek. Ez egy továbbfejlesztett trójai ransomware, amely elvileg hasonló a korábban ismert CriptoLocker rosszindulatú szoftverhez. Ha egy vírus az összes fájlt titkosította, mi a teendő ebben az esetben? Először is meg kell értenie a működési algoritmusát. A vírus lényege, hogy minden .ctbl, .ctb2, .vault, .xtbl vagy más kiterjesztésű fájlt titkosít. A kért pénzösszeg befizetéséig azonban nem tudja kinyitni őket.

A Trojan-Ransom.Win32.Shade és a Trojan-Ransom.Win32.Onion vírusok gyakoriak. Helyi akciójukban nagyon hasonlítanak az STV-re. Ezeket a titkosított fájlok kiterjesztése alapján lehet megkülönböztetni. A Trojan-Ransom az információkat .xtbl formátumban kódolja. Bármely fájl megnyitásakor egy üzenet jelenik meg a képernyőn arról, hogy személyes dokumentumait, adatbázisait, fényképeit és egyéb fájljait rosszindulatú program titkosította. Ezek visszafejtéséhez egyedi kulcsot kell fizetni, amelyet egy titkos szerveren tárolnak, és csak ebben az esetben hajthat végre visszafejtési és kriptográfiai műveleteket dokumentumaival. De ne aggódjon, még kevésbé küldjön pénzt a megadott számra; van egy másik módja az ilyen típusú kiberbűnözés elleni küzdelemnek. Ha éppen egy ilyen vírus jutott el a számítógépére, és titkosította az összes .xtbl fájlt, mit kell tennie ilyen helyzetben?

Mit ne tegyen, ha egy titkosító vírus behatol a számítógépébe

Előfordul, hogy pánikszerűen telepítünk egy vírusirtót, és segítségével automatikusan vagy manuálisan eltávolítjuk a vírusszoftvert, ezzel együtt elveszítjük a fontos dokumentumokat. Ez kellemetlen, ráadásul a számítógép olyan adatokat tartalmazhat, amelyeken hónapok óta dolgozol. Kár elveszíteni az ilyen dokumentumokat a visszaszerzés lehetősége nélkül.

Ha a vírus az összes .xtbl fájlt titkosította, néhányan megpróbálják megváltoztatni a kiterjesztését, de ez sem vezet pozitív eredményre. A merevlemez újratelepítése és formázása véglegesen eltávolítja a rosszindulatú programot, ugyanakkor elveszíti a dokumentumok helyreállításának lehetőségét. Ebben a helyzetben a speciálisan létrehozott dekódoló programok nem segítenek, mert a ransomware szoftver nem szabványos algoritmussal van programozva, és speciális megközelítést igényel.

Mennyire veszélyes egy ransomware vírus a személyi számítógépre?

Teljesen egyértelmű, hogy egyetlen rosszindulatú program sem lesz előnyös személyi számítógépének. Miért készül ilyen szoftver? Furcsa módon az ilyen programokat nemcsak azért hozták létre, hogy minél több pénzt csaljanak el a felhasználóktól. Valójában a vírusmarketing sok víruskereső feltaláló számára meglehetősen jövedelmező. Végül is, ha egy vírus titkosítaná a számítógépén lévő összes fájlt, hová fordulna először? Természetesen kérje szakember segítségét. Mi a titkosítás a laptop vagy a személyi számítógép számára?

Működési algoritmusuk nem szabványos, így a fertőzött fájlokat hagyományos vírusirtó szoftverekkel lehetetlen lesz gyógyítani. A rosszindulatú objektumok eltávolítása adatvesztést eredményez. Csak a karanténba helyezés teszi lehetővé más fájlok biztonságossá tételét, amelyeket a rosszindulatú vírus még nem tudott titkosítani.

A titkosító rosszindulatú programok lejárati dátuma

Mi a teendő, ha számítógépét Critroni (rosszindulatú program) fertőzte meg, és a vírus az összes fájlját titkosította? A .vault-, .xtbl-, .rar formátumokat saját maga nem tudja visszafejteni, ha manuálisan módosítja a kiterjesztést .doc, .mp3, .txt és másokra. Ha 96 órán belül nem fizeti ki a szükséges összeget a kiberbűnözőknek, e-mailben megfélemlítő levelet küldenek Önnek, melyben minden fájl véglegesen törlődik. A legtöbb esetben az embereket befolyásolják az ilyen fenyegetések, és vonakodva, de engedelmesen hajtják végre az említett cselekedeteket, félve, hogy értékes információkat veszítenek el. Kár, hogy a felhasználók nem értik, hogy a kiberbűnözők nem mindig tartják be a szavukat. Miután megkapták a pénzt, gyakran már nem aggódnak a zárolt fájlok visszafejtése miatt.

Amikor az időzítő lejár, automatikusan bezár. De még mindig van esélye a fontos dokumentumok visszaszerzésére. A képernyőn egy üzenet jelenik meg, amely jelzi, hogy az idő lejárt, és a dokumentumok mappájában lévő fájlokról részletesebb információkat tekinthet meg egy speciálisan létrehozott DecryptAllFiles.txt jegyzettömb fájlban.

A titkosító rosszindulatú programok behatolása az operációs rendszerbe

A ransomware vírusok általában fertőzött e-mail üzeneteken vagy hamis letöltéseken keresztül jutnak be a számítógépbe. Ezek lehetnek hamis flash-frissítések vagy csaló videólejátszók. Amint a program letöltődik a számítógépére ezen módszerek bármelyikével, azonnal titkosítja az adatokat a helyreállítás lehetősége nélkül. Ha a vírus az összes .cbf, .ctbl, .ctb2 fájlt más formátumba titkosította, és nincs biztonsági másolata a dokumentumról cserélhető adathordozón, akkor feltételezze, hogy többé nem fogja tudni visszaállítani azokat. Jelenleg a víruskereső laboratóriumok nem tudják, hogyan törjék fel az ilyen titkosító vírusokat. A szükséges kulcs nélkül csak a fertőzött fájlokat blokkolhatja, karanténba helyezheti vagy törölheti.

Hogyan kerüljük el, hogy vírus kerüljön a számítógépére

Baljós az összes .xtbl fájl. Mit kell tenni? Sok felesleges információt olvasott már, ami a legtöbb webhelyen fel van írva, és nem találja a választ. Megtörténik, hogy a legalkalmatlanabb pillanatban, amikor sürgősen jelentést kell benyújtania a munkahelyén, diplomamunkát kell benyújtania az egyetemen, vagy meg kell védenie a professzori diplomát, a számítógép a saját életét kezdi élni: tönkremegy, vírusokkal fertőződik meg. , és lefagy. Fel kell készülnie az ilyen helyzetekre, és meg kell őriznie az információkat a szerveren és a cserélhető adathordozón. Ezzel bármikor újratelepítheti az operációs rendszert, és 20 perc elteltével úgy dolgozhat a számítógépen, mintha mi sem történt volna. De sajnos nem vagyunk mindig ilyen vállalkozó kedvűek.

A számítógép vírussal való megfertőzésének elkerülése érdekében először telepítenie kell egy jó víruskereső programot. Rendelkeznie kell egy megfelelően konfigurált Windows tűzfallal, amely védelmet nyújt a különféle rosszindulatú objektumok hálózaton keresztüli átjutása ellen. És ami a legfontosabb: ne töltsön le szoftvert nem ellenőrzött webhelyekről vagy torrentkövetőkről. A számítógép vírusokkal való megfertőzésének elkerülése érdekében ügyeljen arra, hogy milyen hivatkozásokra kattint. Ha e-mailt kap egy ismeretlen címzetttől, amelyben kéri vagy felajánlja, hogy nézze meg, mi rejtőzik a link mögött, akkor a legjobb, ha az üzenetet áthelyezi a spam közé, vagy teljesen törölje.

Annak elkerülése érdekében, hogy a vírus egy napon az összes .xtbl fájlt titkosítsa, a víruskereső szoftverlaboratóriumok egy ingyenes módszert ajánlanak a titkosító vírusok elleni védelemre: hetente egyszer ellenőrizze azok állapotát.

A vírus a számítógépen lévő összes fájlt titkosította: kezelési módszerek

Ha kiberbűnözés áldozata lett, és a számítógépén lévő adatokat megfertőzte valamelyik titkosító típusú rosszindulatú program, akkor itt az ideje, hogy megpróbálja visszaállítani a fájlokat.

A fertőzött dokumentumok ingyenes kezelésének számos módja van:

1. A leggyakoribb, és jelenleg talán a leghatékonyabb módszer a dokumentumok biztonsági mentése, majd visszaállítása váratlan fertőzés esetén.
2. Érdekes módon működik a CTB vírus szoftveres algoritmusa. A számítógépre kerülve lemásolja a fájlokat, titkosítja azokat, és törli az eredeti dokumentumokat, így kiküszöböli azok helyreállításának lehetőségét. A Photorec vagy az R-Studio szoftver segítségével azonban sikerül néhány érintetlen eredeti fájlt elmenteni. Tudnia kell, hogy minél tovább használja számítógépét a fertőzés után, annál kevésbé valószínű, hogy vissza tudja állítani az összes szükséges dokumentumot.
3. Ha a vírus az összes .vault fájlt titkosította, van egy másik jó módszer is a visszafejtésre – árnyékmásolat-kötetek használatával. Természetesen a vírus megpróbálja véglegesen és visszavonhatatlanul törölni az összeset, de az is előfordul, hogy néhány fájl érintetlen marad. Ebben az esetben kicsi, de esélye lesz a helyreállításukra.
4. Lehetőség van adatok tárolására olyan fájltárolási szolgáltatásokon, mint a DropBox. Helyi lemezleképezésként telepíthető a számítógépére. Természetesen a titkosító vírus őt is megfertőzi. De ebben az esetben sokkal reálisabb a dokumentumok és a fontos fájlok visszaállítása.

A személyi számítógép vírusfertőzésének szoftveres megelőzése

Ha fél attól, hogy rosszindulatú szoftverek kerüljenek a számítógépére, és nem szeretné, hogy egy alattomos vírus titkosítsa az összes fájlt, használja a helyi házirend-szerkesztőt vagy a Windows csoportszerkesztőt. Ennek az integrált szoftvernek köszönhetően programkorlátozási házirendet állíthat be – és akkor nem kell attól tartania, hogy számítógépe megfertőződik.

Hogyan lehet visszaállítani a fertőzött fájlokat

Ha a CTB vírus minden fájlt titkosított, mit kell tenni ebben az esetben a szükséges dokumentumok visszaállításához? Sajnos jelenleg egyetlen vírusirtó laboratórium sem tudja felajánlani a fájlok visszafejtését, de a fertőzés semlegesítése és a személyi számítógépről való teljes eltávolítása lehetséges. Az összes hatékony információ-helyreállítási módszert felsoroljuk. Ha a fájljai túl értékesek az Ön számára, és nem vette a fáradságot, hogy biztonsági másolatot készítsen róluk cserélhető meghajtóra vagy internetes meghajtóra, akkor ki kell fizetnie a kiberbűnözők által kért összeget. De nincs esély arra, hogy a visszafejtő kulcsot még fizetés után is elküldjük Önnek.

Hogyan lehet megtalálni a fertőzött fájlokat

A fertőzött fájlok listájának megtekintéséhez lépjen a „My Documents”\.html vagy „C:”\”Users”\”All Users”\.html elérési útra. Ez a html lap nemcsak véletlenszerű utasításokról, hanem fertőzött objektumokról is tartalmaz adatokat.

Hogyan lehet blokkolni egy titkosító vírust

Ha egy számítógépet megfertőzött egy rosszindulatú program, az első szükséges lépés a felhasználó részéről a hálózat bekapcsolása. Ezt az F10 billentyűzet billentyű lenyomásával teheti meg.

Ha a Critroni vírus véletlenül a számítógépére került, és az összes fájlt .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf vagy bármilyen más formátumban titkosította, akkor már nehéz visszaállítani őket. De ha a vírus még nem hajtott végre sok változást, akkor valószínűleg szoftverkorlátozási szabályzattal blokkolják.

Ransomware vírus: fizetni kell a csalóknak vagy sem?

Eljött ez a sötét nap. Egy titkosító vírus aktívan dolgozott az egyik fontos munkagépen, ami után az összes irodai, grafikus és sok más fájl elfogadta a crypted000007 engedélyt, amelyeket a cikk írásakor lehetetlen volt visszafejteni.

Emellett háttérkép jelent meg az asztalon egy „A fájlok titkosítva” felirattal, és a csaló elérhetőségeit tartalmazó readme szöveges dokumentumok a helyi meghajtók gyökerében jelentek meg. Természetesen váltságdíjat akar a visszafejtésért.

Én személy szerint nem azért vettem fel a kapcsolatot ezzel a seggfejjel, hogy elriasszam ezt a tevékenységet, de tudom, hogy az átlagos ár 300 dollártól kezdődik. Szóval gondold meg magad, mit csinálj. De ha nagyon fontos fájljai vannak titkosítva, például 1C adatbázisok, és nincs biztonsági másolat, akkor ez karrierje összeomlása.

Hadd álljak előrébb, ha reménykedsz a visszafejtésben, akkor semmi esetre se töröld a pénzt követelő fájlt, és ne csinálj semmit a titkosított fájlokkal (ne változtasd a nevet, kiterjesztést stb.). De beszéljünk mindent sorban.

Ransomware vírus – mi az?

Ez egy rosszindulatú (ransomware) szoftver, amely egy nagyon erős algoritmus segítségével titkosítja a számítógépen lévő adatokat. Ezután egy durva hasonlatot adok. Képzelje el, hogy beállított egy több ezer karakter hosszú jelszót a Windowsba való bejelentkezéshez, és elfelejtette. Egyetértek, lehetetlen emlékezni. Hány életet vesz igénybe a kézi keresés?

Ez a helyzet egy olyan ransomware esetében, amely legális kriptográfiai módszereket használ illegális célokra. Az ilyen vírusok általában aszinkron titkosítást használnak. Ez azt jelenti, hogy kulcspárt használnak.

A fájlok titkosítása nyilvános kulccsal történik, és titkos kulccsal visszafejthetők, amivel csak a csaló rendelkezik. Minden kulcs egyedi, mert minden számítógéphez külön jön létre.

Ezért mondtam a cikk elején, hogy váltságdíj követeléssel nem lehet törölni a lemez gyökerében található readme.txt fájlt. Ebben van feltüntetve a nyilvános kulcs.

Az én esetemben a ransomware e-mail címe.Ha beírod a keresésbe, kiderül a tragédia valódi mértéke. Sok ember megsérült.

Ezért ismét mondom: semmilyen körülmények között ne módosítsa a sérült fájlokat. Ellenkező esetben a legkisebb esélyét is elveszíti a jövőbeni helyreállításukra.

Nem ajánlott az operációs rendszer újratelepítése és az ideiglenes és rendszerkönyvtárak tisztítása sem. Röviden, amíg az összes körülményt nem tisztázzuk, nem nyúlunk semmihez, hogy ne bonyolítsuk az életünket. Bár sokkal rosszabbnak tűnik.

Ez a fertőzés leggyakrabban e-mailben kerül a számítógépére, olyan forró témával, mint „Sürgős, a vezetőnek. Levél a banktól” és hasonlók. Az ellenség a mellékletben van elrejtve, ami ártalmatlan pdf- vagy jpg-fájlnak tűnhet.

Ha egyszer elindítja, első pillantásra semmi szörnyű nem történik. Gyenge irodai számítógépen a felhasználó némi „lassulást” észlelhet. Ez a rendszerfolyamatnak álcázó vírus már végzi a piszkos munkáját.

Windows 7 és újabb rendszereken, amikor a kártevő elindul, folyamatosan megjelenik a Felhasználói fiókok felügyelete ablak, amely a változtatások engedélyezését kéri. Természetesen egy tapasztalatlan felhasználó mindennel egyetért, és ezzel aláírja saját halálos ítéletét.

Igen, valójában a vírus már blokkolja a hozzáférést a fájlokhoz, és amikor ez befejeződött, a „Fájljai titkosítva vannak” figyelmeztető üzenet jelenik meg az asztalon. Általában véve, ez egy fenék. Aztán kezdődik a brutalitás.

Hogyan lehet gyógyítani egy ransomware vírust

A fentiek alapján arra a következtetésre juthatunk, hogy ha még nem jelent meg a szörnyű felirat az asztalon, és már látta az első érthetetlen hosszú neveket tartalmazó fájlokat egy kaotikus karakterkészletből, azonnal távolítsa el a számítógépet a konnektorból.

Ez így van, durva és megalkuvást nem ismerő. Ezzel leállítja a rosszindulatú program algoritmusát, és legalább valamit menthet. Sajnos az én esetemben a munkavállaló ezt nem tudta és mindent elvesztett. Anyád...

A hab a tortán számomra az volt, hogy kiderült, hogy ez a vírus könnyedén titkosít minden írási jogosultsággal rendelkező PC-hez csatlakoztatott cserélhető adathordozót és hálózati meghajtót. Ott voltak a biztonsági mentések.

Most a kezelésről. Az első dolog, amit meg kell értened, hogy a vírus meggyógyult, de a fájlok titkosítva maradnak. Talán örökre. Maga a kezelési folyamat nem bonyolult.

Ehhez csatlakoztatnia kell a merevlemezt egy másik számítógéphez, és át kell vizsgálnia olyan segédprogramokkal, mint a Kaspersky Virus Removal Tool. A biztonság kedvéért használhat kettőt egymás után. Ha nem akarja átvinni a fertőzött csavart egy másik számítógépre, indítsa el a Live CD-ről.

Az ilyen víruskereső megoldások általában probléma nélkül megtalálják és eltávolítják a titkosítót. De néha nem észlelnek semmit, mert a vírus, miután elvégezte a munkáját, eltávolíthatja magát a rendszerből. Ez egy olyan szar, amely minden nyomot elfed, és megnehezíti a tanulmányozást.

Előre látom a kérdést, hogy a vírusirtó miért nem akadályozta meg azonnal a nem kívánt szoftverek bejutását a számítógépbe? Akkor nem lennének gondok. Véleményem szerint jelenleg az antivírusok elveszítik a csatát a titkosítókkal, és ez nagyon szomorú.

Sőt, ahogy már mondtam, az ilyen rosszindulatú programok legális kriptográfiai módszereken alapulnak. Azaz kiderül, hogy munkájuk technikai szempontból nem illegális. Ez az azonosításuk nehézsége.

Folyamatosan jelennek meg az új módosítások, amelyek csak fertőzés után kerülnek be az antivírus adatbázisokba. Tehát sajnos ebben az esetben nem lehet 100%-os védelem. Csak éber viselkedés, amikor számítógépen dolgozik, de erről később.

Hogyan lehet visszafejteni a fájlokat vírus után

Minden a konkrét esettől függ. Fentebb írták, hogy a titkosító vírus módosításai bármiek lehetnek. Ettől függően a titkosított fájlok eltérő kiterjesztéssel rendelkeznek.

A jó hír az, hogy a fertőzés számos változatához a víruskereső cégek már előálltak a dekódolókkal (dekódolókkal). Az orosz nyelvű piac vezetője a Kaspersky Lab. Ebből a célból a következő erőforrás jött létre:

Rajta, a keresősávba beírjuk a váltságdíj-jegyzetből származó bővítményre vagy e-mailre vonatkozó információkat, rákattintunk a „Keresés” gombra, és megnézzük, van-e számunkra mentési segédprogram.

Ha szerencséd van, töltsd le a programot a listáról, és futtasd. Egyes dekódolók leírása szerint a számítógépen végzett munka során internet-hozzáféréssel kell rendelkeznie ahhoz, hogy részletes kulcskeresést végezhessen az online adatbázisban.

Különben minden egyszerű. Válasszon ki egy adott fájlt vagy lemezt teljes egészében, és indítsa el a vizsgálatot. Ha aktiválja a "Titkosított fájlok törlése" elemet, akkor a visszafejtés után az összes eredeti fájl törlődik. Ó, nem sietnék annyira, azonnal meg kell néznem az eredményt.

Egyes vírustípusok esetén a program a fájl két verzióját kérheti: az eredeti és a titkosított verziót. Ha az első nincs meg, akkor az elveszett ügy.

Ezenkívül a licencelt Kaspersky Lab-termékek felhasználóinak lehetőségük van a hivatalos fórumhoz fordulni a visszafejtéshez. De miután átnéztem a kiterjesztésemmel (crypted000007), rájöttem, hogy ott nincs segítség. Ugyanez mondható el a Dr.Webről is.

Van még egy hasonló projekt, de ezúttal nemzetközi. Az internetről származó információk szerint a vezető vírusirtó gyártók támogatják. Itt a címe:

Ez persze igaz lehet, de az oldal nem működik megfelelően. A főoldal két titkosított fájl letöltését kéri, valamint egy váltságdíj-fájlt, ami után a rendszer válaszol, hogy elérhető-e a visszafejtő vagy sem.

De ehelyett át kell lépni a szekcióba a nyelvválasztással, és ez minden. Ezért önállóan léphet a „Decryptor-Utilities” szakaszba, és megpróbálhatja megtalálni a szükséges programot.

Ez nem túl kényelmes, mivel a rendelkezésre álló szoftver rövid leírása nem jelzi egyértelműen a titkosított fájlok támogatott kiterjesztését. Ehhez el kell olvasnia a kibővített utasításokat az egyes dekódoló típusokhoz.

A kiadvány írása közben találtam egy hasonló szolgáltatást, amely ugyanazon az elven megfelelően működik. Segít azonosítani a fenyegetés nevét, és felajánl egy „varázstablettát”, ha van ilyen. Az oldal jobb felső sarkában található egy fordító gomb a felhasználói kényelem érdekében.

Mit kell tenni? Fizetni vagy nem fizetni

Ha idáig elolvasta, az azt jelenti, hogy a fájlok továbbra is biztonságosan titkosítva vannak. És itt a kérdés: mi a következő lépés? Valóban, ha rendkívül fontos fájlokat titkosítanak, még a nagyvállalatok munkája is megbénulhat, a kisvállalkozásokról nem is beszélve.

Először is követheti a csaló utasításait, és kifizetheti a váltságdíjat. A Kaspersky Lab statisztikái azonban azt mutatják, hogy minden ötödik vállalat fizetés után soha nem kapta meg a visszafejtő kulcsot.

Ez különféle okokból történhet. Például a vírust nem maguk az alkotók használhatták, akik rendelkeznek a privát kulccsal, hanem csaló közvetítők.

Egyszerűen módosították a rosszindulatú programkódot, feltüntetve adataikat a váltságdíjfájlban, de nincs második kulcsuk. Megkapták a pénzt és elmentek. És továbbra is főzöl.

Általában nem fognak hazudni, én magam sem ismerem az összes technikai árnyalatot. De mindenesetre azzal, hogy fizetsz a zsarolóknak, motiválod őket az ilyen tevékenységek folytatására. Végül is, mivel működik és pénzt hoz, miért ne.

De az interneten találtam legalább két céget, amelyek megígérik, hogy segítenek ezen a problémán, és még a crypted000007 kiterjesztésű fájlokat is visszafejtik. Nagy félelemmel kerestem meg egyiküket.

Őszintén szólva a srácok nem segítettek, mert azonnal közölték, hogy nincs dekódolójuk, de megpróbálhatják visszaállítani a vírus által törölt eredeti fájlok körülbelül 30%-át alacsony szintű vizsgálattal.

Elgondolkodtam és visszautasítottam. De köszönet nekik, hogy nem csináltak hülyét magukból, szakítottak rá időt és józanul elmagyaráztak mindent. Nos, mivel nincs kulcsuk, ez azt jelenti, hogy nem léphetnek kapcsolatba a csalókkal.

De van egy másik, „érdekesebb” cég, amely 100%-os garanciát ad a művelet sikerére. Honlapja ezen a címen található:

Megpróbáltam szörfözni a speciális fórumokon, de nem találtam valódi ügyfelek véleményét. Vagyis mindenki tud róla, de kevesen használták. Ördögi kör.

Ezek a srácok a kapott eredmények alapján dolgoznak, nincs előleg. Ismétlem, még crypted000007 garanciát adnak a visszafejtésre. Ez azt jelenti, hogy van kulcsuk és visszafejtőjük. Innen a kérdés: honnan veszik ezt a jóságot? Vagy hiányzik valami?

Nem akarok rosszat mondani, talán kedvesek és bolyhosak, becsületesen dolgoznak, segítik az embereket. Bár technikailag ez egyszerűen lehetetlen főkulcs nélkül. Mindenesetre valami terhelőt találtak ellenük.

Hogyan védekezhet a ransomware vírus ellen

Leírok néhány alapvető kitételt, amelyek segítenek a biztonságban maradni, és az ilyen kártevők behatolása esetén a veszteségeket minimálisra csökkenteni. Hiszen mindezt a saját bőrömön tapasztaltam.

Rendszeresen készítsen biztonsági másolatot cserélhető (hálózattól elkülönített) adathordozóra. Túlzás nélkül kijelenthetem, hogy ez a legfontosabb.

Ne dolgozzon rendszergazdai jogosultságokkal rendelkező fiókkal, hogy minimálisra csökkentse a fertőzés okozta veszteségeket.

Szorosan figyelje a beérkező levelek és a közösségi médiában eldobott linkek címzettjeit. hálózatok. Itt nincsenek megjegyzések.

Tartsa naprakészen víruskereső programját. Lehet, hogy megment, de nem biztos.

Ügyeljen arra, hogy engedélyezze a fájlokat a Windows 7/10 rendszerben. Erről a következő számokban fogunk részletesen beszélni.

Ne tiltsa le a felhasználói fiókok felügyeletét a Windows 7 és újabb verziókban.

Nekem viszont a vírus által teljesen titkosított irodai fájlok maradnak. Időnként meg fogom nézni a cikkben megjelölt összes forrást, remélve, hogy egyszer majd látok ott egy dekódolót. Talán a szerencse mosolyog ebben az életben, ki tudja.

Az egy dolog, ha a felhasználó otthoni számítógépén lévő fájljai, például filmek, zenék stb. titkosítva vannak. Teljesen más a helyzet, ha legalább 5-7 évre elveszíti a hozzáférést egy vállalkozás teljes iratkezeléséhez. Fáj, már tudom.

Ha a rendszer a Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cry rosszindulatú programokkal fertőzött -Váltságdíj-családok. Win32.CryptXXX esetén a számítógépen lévő összes fájl a következőképpen lesz titkosítva:

• Ha a Trojan-Ransom.Win32.Rannoh fertőzött, a nevek és a kiterjesztések a zárolt mintának megfelelően változnak.<оригинальное_имя>.<4 произвольных буквы>.
• Amikor a Trojan-Ransom.Win32.Cryakl megfertőződik, a fájl tartalmának végéhez egy címke (CRYPTENDBLACKDC) kerül.
• A Trojan-Ransom.Win32.AutoIt vírussal fertőzött kiterjesztés a sablonnak megfelelően változik<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Például, [e-mail védett] _.RZWDTDIC.
• A Trojan-Ransom.Win32.CryptXXX vírussal fertőzött kiterjesztés a minták szerint változik<оригинальное_имя>.kripta,<оригинальное_имя>.crypz és<оригинальное_имя>.cryp1.

A RannohDecryptor segédprogram a fájlok visszafejtésére szolgál a Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Crybolin32.Crybolin. , Trojan- Ransom.Win32.Cryakl vagy Trojan-Ransom.Win32.CryptXXX 1., 2. és 3. verzió.

Hogyan gyógyítható a rendszer

A fertőzött rendszer gyógyítása:

1. Töltse le a RannohDecryptor.zip fájlt.
2. Futtassa a RannohDecryptor.exe fájlt a fertőzött gépen.
3. A fő ablakban kattintson a gombra Kezdje el az ellenőrzést.

1. Adja meg a titkosított és titkosítatlan fájl elérési útját.
   Ha a fájl Trojan-Ransom.Win32.CryptXXX kóddal van titkosítva, adja meg a legnagyobb fájlméretet. A visszafejtés csak azonos vagy kisebb méretű fájlok esetén lesz elérhető.
2. Várja meg a titkosított fájlok keresésének és visszafejtésének végét.
3. Indítsa újra a számítógépet, ha szükséges.
4. lezárás után-<оригинальное_имя>.<4 произвольных буквы>A titkosított fájlok másolatának törléséhez a sikeres visszafejtés után válassza a lehetőséget.

Ha a fájlt a Trojan-Ransom.Win32.Cryakl titkosította, a segédprogram a régi helyére menti a fájlt .decryptedKLR.original_extension kiterjesztéssel. Ha választott A sikeres visszafejtés után törölje a titkosított fájlokat, az átírt fájlt a segédprogram az eredeti néven menti el.

1. Alapértelmezés szerint a segédprogram munkajelentést ad ki a rendszerlemez gyökérkönyvtárába (a lemezre, amelyre az operációs rendszer telepítve van).

   A jelentés neve a következő: UtilityName.Version_Date_Time_log.txt

   Például: C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

A Trojan-Ransom.Win32.CryptXXX vírussal fertőzött rendszeren a segédprogram korlátozott számú fájlformátumot vizsgál. Ha a felhasználó a CryptXXX v2 által érintett fájlt választ ki, a kulcs visszaállítása sokáig tarthat. Ebben az esetben a segédprogram figyelmeztetést jelenít meg.