Орчин үеийн технологи нь хакеруудад энгийн хэрэглэгчдийн эсрэг залилан мэхлэх арга барилаа байнга сайжруулах боломжийг олгодог. Дүрмээр бол эдгээр зорилгоор компьютерт нэвтэрч буй вирусын програм хангамжийг ашигладаг. Шифрлэлтийн вирусыг онцгой аюултай гэж үздэг. Аюул заналхийлэл нь вирус маш хурдан тархаж, файлуудыг шифрлэдэг (хэрэглэгч зүгээр л нэг баримтыг нээх боломжгүй болно). Хэрэв энэ нь маш энгийн бол өгөгдлийг тайлахад илүү хэцүү болно.

Хэрэв таны компьютерт вирус шифрлэгдсэн файл байвал яах вэ

Ямар ч хүн ransomware халдлагад өртөж болно, тэр ч байтугай хүчирхэг вирусны эсрэг программ хангамжтай хэрэглэгчид ч дархлаагүй. Файл шифрлэх троянууд нь вирусны эсрэг програмын чадвараас давсан олон төрлийн кодтой байдаг. Хакерууд мэдээллийнхээ шаардлагатай хамгаалалтыг анхаарч үзээгүй томоохон компаниудад үүнтэй ижил аргаар халдаж чаддаг. Тиймээс, ransomware програмыг онлайнаар сонгосны дараа та хэд хэдэн арга хэмжээ авах хэрэгтэй.

Халдварын гол шинж тэмдэг нь компьютерийн удаан ажиллагаа, баримт бичгийн нэрийн өөрчлөлт (ширээний компьютер дээрээс харж болно).

1. Шифрлэлтийг зогсоохын тулд компьютерээ дахин эхлүүлнэ үү. Асаах үед үл мэдэгдэх програмуудыг эхлүүлэхийг бүү баталгаажуул.
2. Хэрэв ransomware халдлагад өртөөгүй бол вирусны эсрэг програмаа ажиллуулаарай.
3. Зарим тохиолдолд сүүдрийн хуулбар нь мэдээллийг сэргээхэд тусална. Тэдгээрийг олохын тулд шифрлэгдсэн баримт бичгийн "Properties" хэсгийг нээнэ үү. Энэ арга нь портал дээрх мэдээлэл байгаа Vault өргөтгөлийн шифрлэгдсэн өгөгдөлтэй ажилладаг.
4. Ransomware вирустай тэмцэх хэрэгслийн хамгийн сүүлийн хувилбарыг татаж аваарай. Хамгийн үр дүнтэйг Kaspersky Lab санал болгож байна.

2016 оны ransomware вирусууд: жишээ

Аливаа вирусын дайралттай тэмцэхдээ код нь маш олон удаа өөрчлөгдөж, шинэ вирусын эсрэг хамгаалалтаар нэмэгддэг гэдгийг ойлгох нь чухал. Мэдээжийн хэрэг, аюулгүй байдлын програмууд нь хөгжүүлэгч мэдээллийн санг шинэчлэх хүртэл хэсэг хугацаа шаардагдана. Бид сүүлийн үеийн хамгийн аюултай шифрлэлтийн вирусуудыг сонгосон.

Ishtar Ransomware

Ishtar бол хэрэглэгчээс мөнгө авдаг ransomware юм. Энэ вирус 2016 оны намар ажиглагдаж, Орос болон бусад хэд хэдэн орны хэрэглэгчдийн асар олон тооны компьютерийг халдварлажээ. Хавсаргасан баримт бичгүүдийг (суулгагч, баримт бичиг гэх мэт) агуулсан цахим шуудангаар түгээдэг. Иштар шифрлэгчээр халдварлагдсан өгөгдөлд нэрэндээ “ISHTAR” угтвар өгөгдсөн. Процесс нь нууц үгээ авахын тулд хаашаа явахыг зааж өгөх туршилтын баримт бичгийг үүсгэдэг. Халдагчид үүний төлөө 3000-15000 рубль шаардаж байна.

Иштар вирусын аюул нь өнөөдөр хэрэглэгчдэд туслах шифр тайлагч байхгүй байгаа явдал юм. Вирусны эсрэг программ хангамжийн компаниудад бүх кодыг тайлахад цаг хугацаа хэрэгтэй. Одоо та зөвхөн чухал мэдээллийг (хэрэв энэ нь онцгой ач холбогдолтой бол) тусдаа зөөвөрлөгч дээр тусгаарлаж, баримт бичгийн кодыг тайлах чадвартай хэрэгсэл гарахыг хүлээж болно. Үйлдлийн системийг дахин суулгахыг зөвлөж байна.

Нейтрино

Neitrino шифрлэгч нь 2015 онд интернетэд гарч ирэв. Довтолгооны зарчим нь ижил төрлийн бусад вирусуудтай төстэй. "Neitrino" эсвэл "Neutrino" нэмэх замаар хавтас, файлын нэрийг өөрчилдөг. Вирусыг тайлахад хэцүү байдаг тул вирусны эсрэг компаниудын бүх төлөөлөгчид маш нарийн төвөгтэй кодыг иш татдаг. Зарим хэрэглэгчид сүүдрийн хуулбарыг сэргээх нь ашигтай байж магадгүй юм. Үүнийг хийхийн тулд шифрлэгдсэн баримт дээр хулганы баруун товчийг дараад "Properties", "Өмнөх хувилбарууд" таб руу очоод "Сэргээх" дээр дарна уу. Касперскийн лабораторийн үнэгүй хэрэгслийг ашиглах нь зүйтэй.

Wallet эсвэл .wallet.

Wallet шифрлэлтийн вирус 2016 оны сүүлээр гарч ирсэн. Халдварын явцад энэ нь өгөгдлийн нэрийг "Нэр..түрийвч" эсвэл үүнтэй төстэй зүйл болгон өөрчилдөг. Ихэнх ransomware вирусуудын нэгэн адил энэ нь халдагчдын илгээсэн имэйлийн хавсралтаар дамжуулан системд нэвтэрдэг. Аюул саяхан гарч ирсэн тул вирусны эсрэг програмууд үүнийг анзаардаггүй. Шифрлэсний дараа тэрээр залилан мэхлэгч харилцах имэйлийг зааж өгсөн баримт бичгийг үүсгэдэг. Одоогоор вирусны эсрэг программ хөгжүүлэгчид ransomware вирусын кодыг тайлахаар ажиллаж байна. [имэйлээр хамгаалагдсан]. Халдлагад өртсөн хэрэглэгчид зөвхөн хүлээх боломжтой. Хэрэв өгөгдөл чухал бол системийг цэвэрлэх замаар гадаад диск рүү хадгалахыг зөвлөж байна.

Оньсого

Enigma ransomware вирус 2016 оны 4-р сарын сүүлчээс Оросын хэрэглэгчдийн компьютерт халдварлаж эхэлсэн. AES-RSA шифрлэлтийн загварыг ашигладаг бөгөөд энэ нь өнөөдөр ихэнх ransomware вирусуудаас олддог. Вирус нь сэжигтэй имэйлээс файлуудыг нээх замаар хэрэглэгч ажиллуулдаг скриптийг ашиглан компьютерт нэвтэрдэг. Enigma ransomware-тэй тэмцэх бүх нийтийн арга зам одоог хүртэл алга. Вирусны эсрэг лицензтэй хэрэглэгчид хөгжүүлэгчийн албан ёсны вэбсайтаас тусламж хүсч болно. Жижигхэн "цоорхой" бас олдсон - Windows UAC. Хэрэв хэрэглэгч вирусын халдвар авах явцад гарч ирэх цонхонд "Үгүй" дээр дарвал сүүдрийн хуулбарыг ашиглан мэдээллийг сэргээх боломжтой болно.

Гранит

Granit хэмээх шинэ ransomware вирус 2016 оны намар интернетэд гарч ирэв. Халдвар нь дараах хувилбарын дагуу явагддаг: хэрэглэгч компьютер дээрх бүх өгөгдөл, түүнчлэн холбогдсон хөтчүүдийг халдварлаж, шифрлэдэг суулгагчийг ажиллуулдаг. Вирустай тэмцэх нь хэцүү байдаг. Үүнийг арилгахын тулд та Касперскийн тусгай хэрэгслийг ашиглаж болно, гэхдээ бид кодыг тайлж чадаагүй байна. Өгөгдлийн өмнөх хувилбаруудыг сэргээх нь туслах болно. Үүнээс гадна, арвин туршлагатай мэргэжилтэн шифрийг тайлж чаддаг ч үйлчилгээ нь үнэтэй байдаг.

Тайсон

Саяхан олдсон. Энэ нь аль хэдийн мэдэгдэж байсан no_more_ransom ransomware-ийн өргөтгөл бөгөөд та манай вэбсайтаас олж мэдэх боломжтой. Энэ нь цахим шуудангаар хувийн компьютерт хүрдэг. Олон компанийн компьютерууд халдлагад өртсөн. Вирус нь түгжээг тайлах заавар бүхий текст баримт бичгийг бүтээж, "золиг" төлөхийг санал болгодог. Тайсон ransomware саяхан гарч ирсэн тул түгжээг тайлах түлхүүр байхгүй байна. Мэдээллийг сэргээх цорын ганц арга бол өмнөх хувилбаруудыг вирус устгаагүй тохиолдолд буцаах явдал юм. Та мэдээж халдагчдын заасан данс руу мөнгө шилжүүлж эрсдэлд орж болох ч нууц үгээ хүлээн авна гэсэн баталгаа байхгүй.

Спор

2017 оны эхээр хэд хэдэн хэрэглэгчид шинэ Spora ransomware-ийн хохирогч болсон. Үйл ажиллагааны зарчмын хувьд энэ нь ижил төстэй загвараасаа тийм ч их ялгаатай биш боловч илүү мэргэжлийн дизайнтай: нууц үг авах заавар нь илүү сайн бичигдсэн, вэбсайт нь илүү үзэсгэлэнтэй харагдаж байна. Spora ransomware вирус нь Си хэл дээр бүтээгдсэн бөгөөд хохирогчийн өгөгдлийг шифрлэхийн тулд RSA болон AES-ийн хослолыг ашигладаг. Дүрмээр бол нягтлан бодох бүртгэлийн 1С програмыг идэвхтэй ашиглаж байсан компьютерууд халдлагад өртсөн. .pdf форматтай энгийн нэхэмжлэх нэрийн дор нуугдаж буй вирус нь компанийн ажилчдыг үүнийг эхлүүлэхэд хүргэдэг. Одоогоор эмчилгээ олдоогүй байна.

1C.Дусал.1

Энэхүү 1С шифрлэлтийн вирус нь 2016 оны зун гарч ирсэн бөгөөд нягтлан бодох бүртгэлийн олон хэлтсийн ажлыг тасалдуулж байв. Энэ нь 1С програм хангамжийг ашигладаг компьютеруудад тусгайлан бүтээгдсэн. Нэгэнт цахим шуудангийн файлаар дамжуулан компьютерт суулгасан бол эзэмшигчээс програмаа шинэчлэхийг сануулдаг. Хэрэглэгч ямар ч товчлуурыг дарсан ч вирус файлуудыг шифрлэж эхэлнэ. Dr.Web-ийн мэргэжилтнүүд шифрийг тайлах хэрэгсэл дээр ажиллаж байгаа ч шийдэл нь хараахан олдоогүй байна. Энэ нь хэд хэдэн өөрчлөлттэй байж болох нарийн төвөгтэй кодтой холбоотой юм. 1C.Drop.1-ээс хамгаалах цорын ганц хамгаалалт бол хэрэглэгчийн сонор сэрэмж, чухал баримт бичгүүдийг тогтмол архивлах явдал юм.

да_винчи_код

Ер бусын нэртэй шинэ ransomware. Вирус 2016 оны хавар гарч ирсэн. Энэ нь сайжруулсан код, хүчтэй шифрлэлтийн горимоороо өмнөх үеийнхээс ялгаатай. da_vinci_code нь хэрэглэгч бие даан ажиллуулдаг гүйцэтгэх програмын (ихэвчлэн имэйлд хавсаргасан) ачаар компьютерт халдварладаг. Да Винчи шифрлэх хэрэгсэл нь үндсэн хэсгийг системийн лавлах болон бүртгэлд хуулж, Windows асаалттай үед автоматаар эхлүүлэх боломжийг олгодог. Хохирогч бүрийн компьютерт өвөрмөц ID оноодог (нууц үг авахад тусалдаг). Өгөгдлийн шифрийг тайлах нь бараг боломжгүй юм. Та халдагчдад мөнгө төлж болно, гэхдээ хэн ч таныг нууц үгээ хүлээн авах баталгаа өгөхгүй.

[имэйлээр хамгаалагдсан] / [имэйлээр хамгаалагдсан]

2016 онд ихэвчлэн ransomware вирус дагалддаг байсан хоёр имэйл хаяг. Тэд хохирогчийг халдагчтай холбоход үйлчилдэг. Олон төрлийн вирусын хаягуудыг хавсаргасан: da_vinci_code, no_more_ransom гэх мэт. Луйварчидтай харилцах, мөнгө шилжүүлэхгүй байхыг зөвлөж байна. Ихэнх тохиолдолд хэрэглэгчид нууц үггүй үлддэг. Тиймээс халдагчдын ransomware ажиллаж, орлого олж байгааг харуулж байна.

Breaking Bad

Энэ нь 2015 оны эхээр гарч ирсэн боловч зөвхөн жилийн дараа идэвхтэй тархсан. Халдварын зарчим нь бусад ransomware-тай адилхан: имэйлээс файл суулгах, өгөгдлийг шифрлэх. Ердийн вирусны эсрэг програмууд нь дүрмээр бол Breaking Bad вирусыг анзаардаггүй. Зарим код нь Windows UAC-ийг тойрч гарах боломжгүй тул хэрэглэгчдэд баримт бичгийн өмнөх хувилбаруудыг сэргээх боломжийг үлдээдэг. Вирусын эсрэг программ хангамж хөгжүүлж буй ямар ч компани шифрлэгчийг танилцуулаагүй байна.

XTBL

Олон хэрэглэгчдэд асуудал үүсгэсэн маш түгээмэл ransomware. Нэгэнт PC дээр вирус хэдхэн минутын дотор файлын өргөтгөлийг .xtbl болгож өөрчилдөг. Халдлага үйлдэгчээс мөнгө хурааж авдаг баримт бичиг бий болсон. XTBL вирусын зарим хувилбарууд нь системийг сэргээхэд зориулагдсан файлуудыг устгах боломжгүй бөгөөд энэ нь танд чухал баримт бичгүүдийг буцааж авах боломжийг олгодог. Вирусыг өөрөө олон программ устгаж болох боловч баримт бичгийн кодыг тайлах нь маш хэцүү байдаг. Хэрэв та лицензтэй вирусны эсрэг програм эзэмшигч бол халдвар авсан өгөгдлийн дээжийг хавсаргах замаар техникийн дэмжлэгийг ашиглаарай.

Кукарача

Cucaracha ransomware-г 2016 оны арванхоёрдугаар сард илрүүлсэн. Сонирхолтой нэртэй вирус нь өндөр тэсвэртэй RSA-2048 алгоритмыг ашиглан хэрэглэгчийн файлуудыг нуудаг. Kaspersky антивирус үүнийг Trojan-Ransom.Win32.Scatter.lb гэж тэмдэглэсэн. Бусад бичиг баримтыг халдварлахгүйн тулд Кукарачаг компьютерээс устгаж болно. Гэсэн хэдий ч халдвар авсан хүмүүсийн шифрийг тайлах нь одоогоор бараг боломжгүй юм (маш хүчирхэг алгоритм).

Ransomware вирус хэрхэн ажилладаг вэ?

Маш олон тооны ransomware байдаг боловч бүгд ижил төстэй зарчмаар ажилладаг.

1. Хувийн компьютерт нэвтрэх. Ихэвчлэн имэйлд хавсаргасан файлын ачаар. Суулгацыг хэрэглэгч өөрөө баримт бичгийг нээх замаар эхлүүлдэг.
2. Файлын халдвар. Бараг бүх төрлийн файлууд шифрлэгдсэн байдаг (вирусаас хамаарч). Халдагчидтай харилцах харилцагчдыг агуулсан текст баримт бичгийг үүсгэсэн.
3. Бүгд. Хэрэглэгч ямар ч баримт бичигт хандах боломжгүй.

Алдартай лабораторийн хяналтын агентууд

Хэрэглэгчийн мэдээлэлд хамгийн аюултай аюул гэж хүлээн зөвшөөрөгдсөн ransomware-ийн өргөн хэрэглээ нь вирусын эсрэг олон лабораториудад түлхэц болсон. Алдартай компани бүр хэрэглэгчиддээ ransomware-тэй тэмцэхэд туслах программуудыг санал болгодог. Нэмж дурдахад тэдгээрийн ихэнх нь баримт бичгийн кодыг тайлах, системийг хамгаалахад тусалдаг.

Касперский болон ransomware вирусууд

Орос болон дэлхийн хамгийн алдартай вирусын эсрэг лабораториудын нэг нь өнөөдөр ransomware вирустай тэмцэх хамгийн үр дүнтэй хэрэгслийг санал болгож байна. Ransomware вирусын хамгийн эхний саад тотгор нь хамгийн сүүлийн үеийн шинэчлэлтүүдтэй Kaspersky Endpoint Security 10 байх болно. Антивирус нь аюулыг таны компьютерт оруулахыг зөвшөөрөхгүй (хэдийгээр энэ нь шинэ хувилбаруудыг зогсоохгүй байж магадгүй). Мэдээллийн шифрийг тайлахын тулд хөгжүүлэгч нь XoristDecryptor, RakhniDecryptor, Ransomware Decryptor гэсэн хэд хэдэн үнэгүй хэрэгслийг санал болгодог. Тэд вирусыг олж, нууц үгээ сонгоход тусалдаг.

Доктор. Вэб болон ransomware

Энэхүү лаборатори нь тэдний вирусны эсрэг програмыг ашиглахыг зөвлөж байна, гол онцлог нь файлын нөөцлөлт юм. Баримт бичгийн хуулбар бүхий агуулах нь халдагчдын зөвшөөрөлгүй нэвтрэхээс хамгаалагдсан. Тусгай зөвшөөрөлтэй бүтээгдэхүүний эзэд Dr. Вэб функц нь техникийн дэмжлэгээс тусламж хүсэх боломжтой. Туршлагатай мэргэжилтнүүд ч гэсэн энэ төрлийн аюулыг үргэлж эсэргүүцэж чаддаггүй нь үнэн.

ESET Nod 32 болон ransomware

Энэ компани ч гэсэн хажуугаар нь зогссонгүй, хэрэглэгчиддээ компьютерт нэвтэрч буй вирусын эсрэг сайн хамгаалалтаар хангасан. Нэмж дурдахад лаборатори саяхан шинэчлэгдсэн мэдээллийн сан бүхий үнэгүй хэрэглүүрийг гаргасан - Eset Crysis Decryptor. Энэ нь хамгийн сүүлийн үеийн ransomware-тэй тэмцэхэд тусална гэж хөгжүүлэгчид хэлж байна.

Би өөрийн цахим хуудаснаа өөрийнхөө хохирогч болсон өөр нэгэн түүхээр цуутай хэсгийг үргэлжлүүлж байна. Би сүлжээний драйв дээрх бүх файлыг шифрлэж, .combo өргөтгөлийг өгсөн Crusis (Dharma) ransomware вирусын талаар ярих болно. Тэрээр ихэвчлэн тохиолддог шиг зөвхөн дотоод файлууд дээр төдийгүй сүлжээний файлууд дээр ажилладаг байв.

Ransomware вирусын дараа файлуудын шифрийг тайлах баталгаатай - dr-shifro.ru. Ажлын дэлгэрэнгүй мэдээлэл, үйлчлүүлэгчтэй харилцах схемийг доороос миний нийтлэл эсвэл вэбсайтын "Ажлын журам" хэсэгт оруулсан болно.

Оршил

Шифрлэгч миний удирдаж байсан өгөгдөл болон дэд бүтцэд нөлөөлсөн тул түүх эхний хүн дээр байх болно. Үүнийг хүлээн зөвшөөрөх нь гунигтай байсан ч би криптографчдыг маш удаан мэддэг байсан ч болсон явдалд зарим талаараа буруутай. Миний өмгөөллийн хувьд ямар ч мэдээлэл алдагдаагүй, бүх зүйлийг хурдан сэргээж, цаг алдалгүй шалгасан гэж хэлье. Гэхдээ хамгийн түрүүнд хийх зүйл.

Уйтгартай өглөө 9:15 цагт алслагдсан нэг сайтын системийн администратор утасдаж, сүлжээнд шифрлэгч байгаа, сүлжээний хөтчүүд дээрх өгөгдөл аль хэдийн шифрлэгдсэн байна гэж хэлснээр уйтгартай өглөө эхлэв. Арьсанд минь хүйтэн ханиад орлоо :) Тэр өөрөө халдварын эх үүсвэрийг шалгаж эхэлсэн бөгөөд би өөрөө шалгаж эхлэв. Мэдээжийн хэрэг, би тэр даруй серверт очиж, сүлжээний хөтчүүдийг салгаж, өгөгдөлд нэвтрэх бүртгэлийг үзэж эхлэв. Сүлжээний хөтчүүд нь тохируулагдсан тул идэвхжүүлсэн байх ёстой. Бүртгэлээс би тэр даруй халдварын эх үүсвэр, ransomware ажиллаж байсан данс, шифрлэлт эхлэх цагийг харсан.

Crusis (Dharma) ransomware вирусын тодорхойлолт

Дараа нь мөрдөн байцаалтын ажиллагаа эхэлсэн. Шифрлэгдсэн файлууд өргөтгөлийг хүлээн авсан .combo. Тэд маш олон байсан. Криптографч орой орой, ойролцоогоор 23:00 цагт ажиллаж эхэлсэн. Бид азтай байсан - энэ үед нөлөөлөлд өртсөн дискнүүдийн нөөцлөлт дөнгөж дуусчээ. Ажлын өдрийн төгсгөлд нөөцлөгдсөн тул өгөгдөл огт алдагдаагүй. Би тэр даруй SMB хандалтгүй тусдаа сервер дээр байгаа нөөцөөс сэргээж эхэлсэн.

Нэг шөнийн дотор вирус сүлжээний хөтчүүд дээр ойролцоогоор 400 ГБ өгөгдлийг шифрлэж чаджээ. Комбо өргөтгөлтэй бүх шифрлэгдсэн файлуудыг устгахад удаан хугацаа зарцуулагдсан. Эхлээд бүгдийг нь нэг дор устгахыг хүссэн боловч ердөө 15 минут үргэлжилсэн эдгээр файлуудыг тоолоход энэ нь ямар ч хэрэггүй гэдгийг ойлгосон. Үүний оронд би хамгийн сүүлийн үеийн өгөгдлийг татаж авч эхэлсэн бөгөөд дараа нь шифрлэгдсэн файлуудын дискийг цэвэрлэв.

Би танд энгийн үнэнийг шууд хэлье. Хамгийн сүүлийн үеийн найдвартай нөөцлөлттэй байх нь аливаа асуудлыг шийдвэрлэх боломжтой болгодог. Хэрэв тэд байхгүй эсвэл хамааралгүй бол юу хийхээ би төсөөлж ч чадахгүй байна. Би нөөцлөлтөд үргэлж онцгой анхаарал хандуулдаг. Би тэднийг халамжилдаг, хайрладаг, хэнд ч хандахыг зөвшөөрдөггүй.

Би шифрлэгдсэн файлуудыг сэргээх ажлыг эхлүүлсний дараа нөхцөл байдлыг тайвнаар ойлгож, Crusis (Dharma) шифрлэлтийн вирусыг сайтар судалж үзэх цаг олдсон. Энд намайг гайхшрал, гэнэтийн зүйл хүлээж байсан. Халдварын эх үүсвэр нь виртуал машин байсан Windows 7хаягдсан хамт rdpнөөц сувгаар дамжуулан порт. Порт нь стандарт биш байсан - 33333. Ийм портыг ашигласан нь гол алдаа байсан гэж би бодож байна. Хэдийгээр энэ нь стандарт биш боловч маш их алдартай. Мэдээжийн хэрэг, rdp-ийг огт дамжуулахгүй байх нь дээр, гэхдээ энэ тохиолдолд үнэхээр шаардлагатай байсан. Дашрамд хэлэхэд, одоо энэ виртуал машины оронд CentOS 7-тэй виртуал машин ашиглагдаж байгаа бөгөөд энэ нь xfce бүхий контейнер, Docker дээр хөтөч ажиллуулдаг. За, энэ виртуал машин нь хаана ч хандах боломжгүй, зөвхөн шаардлагатай газарт л ханддаг.

Энэ бүх түүхийн аймшигтай зүйл юу вэ? Виртуал машин шинэчлэгдсэн. Криптограф 8-р сарын сүүлээр ажиллаж эхэлсэн. Энэ машин яг хэзээ халдвар авсан болохыг тодорхойлох боломжгүй юм. Вирус нь виртуал машин доторх маш олон зүйлийг устгасан. Энэ системийн шинэчлэлтүүдийг тавдугаар сард суулгасан. Өөрөөр хэлбэл, дээр нь хуучин онгорхой нүх байх ёсгүй. Одоо би интернетээс хандах боломжтой rdp портыг хэрхэн орхихоо мэдэхгүй байна. Энэ нь үнэхээр хэрэгтэй тохиолдол дэндүү олон байдаг. Жишээлбэл, түрээсэлсэн тоног төхөөрөмж дээрх терминалын сервер. Та сервер бүрт VPN гарц түрээслэхгүй.

Одоо гол зүйл болон ransomware-д ойртъё. Виртуал машины сүлжээний интерфейс идэвхгүй болсон тул би үүнийг эхлүүлсэн. Намайг бусад криптографчдаас олон удаа харж байсан стандарт тэмдэг угтав.

Таны бүх файл шифрлэгдсэн байна! Таны компьютерт аюулгүй байдлын асуудлаас болж таны бүх файл шифрлэгдсэн байна. Хэрэв та тэдгээрийг сэргээхийг хүсвэл бидэнд имэйлээр бичнэ үү [имэйлээр хамгаалагдсан]Энэ ID-г мессежийнхээ гарчигт бичнэ үү 501BED27 Хэрэв 24 цагийн дотор хариу ирэхгүй бол дараах цахим шуудан руу бичнэ үү. [имэйлээр хамгаалагдсан]Та биткойноор шифрлэхэд мөнгө төлөх ёстой. Үнэ нь таны бидэнд хэр хурдан бичихээс хамаарна. Төлбөрийн дараа бид таны бүх файлын кодыг тайлах код тайлах хэрэгслийг илгээх болно. Үнэгүй шифрийг тайлах баталгаа Төлбөр хийхээсээ өмнө 1 хүртэлх файлыг үнэгүй тайлахын тулд бидэнд илгээх боломжтой. Файлын нийт хэмжээ 1Мб-ээс бага байх ёстой (архивгүй), файлууд нь үнэ цэнэтэй мэдээлэл агуулаагүй байх ёстой. (мэдээллийн сан, нөөцлөлт, том excel хуудас гэх мэт) Биткойныг хэрхэн олж авах вэ Биткойн худалдаж авах хамгийн хялбар арга бол LocalBitcoins сайт юм. Та бүртгүүлж, "биткойн худалдаж авах" дээр дарж, төлбөрийн арга, үнээр худалдагчийг сонгох хэрэгтэй. https://localbitcoins.com/buy_bitcoins Мөн та Bitcoins худалдаж авах бусад газрууд болон эхлэгчдэд зориулсан гарын авлагыг эндээс олж болно: Анхаар! Шифрлэгдсэн файлуудын нэрийг бүү өөрчил. Гуравдагч талын программ хангамж ашиглан өгөгдлөө тайлах гэж бүү оролдоорой, энэ нь мэдээллийн байнгын алдагдалд хүргэж болзошгүй. Гуравдагч этгээдийн тусламжтайгаар таны файлын шифрийг тайлах нь үнэ нэмэгдэх (тэд манайд төлбөрөө нэмдэг) эсвэл та луйврын хохирогч болж магадгүй юм.

Десктоп дээр нэртэй 2 текст файл байсан ФАЙЛУУДЫГ ШИФРҮҮЛСЭН.TXTдараах агуулга:

Таны бүх өгөгдөл бидэнд түгжигдсэн байна. Та буцаж очихыг хүсэж байна уу? имэйл бичих [имэйлээр хамгаалагдсан]

Лавлах зөвшөөрөл өөрчлөгдсөн нь сонирхолтой юм Ширээний компьютер. Хэрэглэгч бичих эрхгүй байсан. Вирус нь хэрэглэгчийг ширээний компьютерээс текст файл дахь мэдээллийг санамсаргүйгээр устгахаас урьдчилан сэргийлэхийн тулд үүнийг хийсэн бололтой. Ширээний компьютер дээр лавлах байсан трой, энэ нь өөрөө вирус агуулсан - файл l20VHC_playload.exe.

Crusis (Dharma) ransomware вирус файлуудыг хэрхэн шифрлэдэг

Энэ бүхнийг тайвширч, интернетээс ransomware сэдвээр ижил төстэй мессежүүдийг уншсаны дараа би алдартай Crusis (Dharma) ransomware вирусын хувилбарыг барьж авснаа мэдсэн. Касперский үүнийг ийм байдлаар илрүүлдэг Trojan-Ransom.Win32.Crusis.to. Энэ нь файлууд дээр and.combo зэрэг өөр өөр өргөтгөлүүдийг байрлуулдаг. Миний файлуудын жагсаалт иймэрхүү харагдаж байв.

• Vanino.docx.id-24EE2FBC..combo
• Петропавловск-Камчатский.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Якутск.docx.id-24EE2FBC..combo

Би танд ransomware хэрхэн ажилладаг талаар дэлгэрэнгүй хэлэх болно. Би чухал зүйлийг дурдаагүй. Энэ компьютер домэйнд байсан. Файлуудыг домайн хэрэглэгчээс шифрлэсэн байна!!! Эндээс асуулт гарч ирнэ: вирус хаанаас авсан бэ? Домэйн хянагчийн бүртгэл болон хэрэглэгчийн нууц үгийн сонголтын талаарх мэдээллийг би хараагүй. Нэг ч удаа бүтэлгүйтсэн нэвтрэлт байсангүй. Нэг бол ямар нэгэн эмзэг байдлыг ашигласан, эсвэл би юу гэж бодохоо мэдэхгүй байна. Энэ системд хэзээ ч нэвтэрч байгаагүй акаунт ашигласан. Домэйн хэрэглэгчийн бүртгэлээс rdp-ээр дамжуулан зөвшөөрөл авч, дараа нь шифрлэлт хийсэн. Мөн системд хэрэглэгчид болон нууц үг рүү харгис хэрцгий халдлагын ул мөр байгаагүй. Бараг тэр даруй би rdp домэйн данс ашиглан нэвтэрсэн. Зөвхөн нууц үг төдийгүй нэрийг сонгох шаардлагатай байв.

Харамсалтай нь энэ данс нь 123456 гэсэн нууц үгтэй байсан. Энэ нь нутгийн админуудын орхигдсон нууц үгтэй цорын ганц данс байсан юм. Хүний хүчин зүйл. Энэ бол менежер байсан бөгөөд зарим шалтгааны улмаас системийн администраторууд энэ нууц үгийг мэддэг байсан ч үүнийг өөрчлөөгүй. Мэдээжийн хэрэг, энэ нь энэ дансыг ашиглах шалтгаан юм. Гэсэн хэдий ч ийм энгийн нууц үг, хэрэглэгчийн нэрийг олж авах механизм тодорхойгүй хэвээр байна.

Би эхлээд дискний зургийг аваад шифрлэгчээр халдварласан виртуал машиныг унтрааж устгасан. Вирус өөрөө түүний ажлыг харахын тулд дүрсийг нь гаргаж авсан. Цаашдын түүх нь вирусыг виртуал машин дээр ажиллуулахад үндэслэх болно.

Бас нэг жижиг нарийн ширийн зүйл. Вирус нь дотоод сүлжээг бүхэлд нь сканнердсан бөгөөд үүний зэрэгцээ хүн бүрт хандах боломжтой хуваалцсан фолдерууд байсан эдгээр компьютер дээрх мэдээллийг шифрлэсэн. Шифрлэгчийн ийм өөрчлөлтийг би анх удаа харж байна. Энэ бол үнэхээр аймшигтай зүйл. Ийм вирус нь байгууллагын ажлыг бүхэлд нь саатуулж болно. Ямар нэг шалтгааны улмаас та нөөцлөлтөд сүлжээнд нэвтрэх эрхтэй байсан гэж бодъё. Эсвэл тэд дансанд ямар нэгэн сул нууц үг ашигласан. Бүх зүйл шифрлэгдсэн байх магадлалтай - өгөгдөл болон архивлагдсан хуулбарууд. Ерөнхийдөө би одоо нөөцлөлтийг зөвхөн тусгаарлагдсан сүлжээний орчинд төдийгүй, зөвхөн нөөцлөлт хийх зорилгоор эхлүүлсэн унтраасан төхөөрөмж дээр хадгалах талаар бодож байна.

Компьютерээ хэрхэн эмчлэх, Crusis (Dharma) ransomware-г устгах

Миний хувьд Crusis (Dharma) ransomware вирус нь тийм ч их нууцлагдаагүй бөгөөд үүнийг устгах нь ямар ч асуудал үүсгэх ёсгүй. Миний хэлснээр энэ нь миний ширээний компьютер дээрх хавтсанд байсан. Нэмж дурдахад тэрээр өөрийгөө болон мэдээллийн мессежийг автоматаар бүртгэсэн.

Вирусын бие нь өөрөө хөөргөх хэсэгт давхардсан Эхлэлбүх хэрэглэгчид болон windows/систем 32. Би үүний учрыг олж харахгүй байгаа тул сайтар ажигласангүй. Ransomware-д халдварлагдсаны дараа би системийг дахин суулгахыг зөвлөж байна. Энэ бол вирусыг устгах цорын ганц арга зам юм. Вирус устгагдсан гэдэгт та хэзээ ч бүрэн итгэлтэй байж чадахгүй, учир нь энэ нь систем дээр хавчуурга үлдээхийн тулд хараахан хэвлэгдээгүй, үл мэдэгдэх эмзэг байдлыг ашигласан байж магадгүй юм. Хэсэг хугацааны дараа энэ моргейжээр дамжуулан та шинэ вирус авах боломжтой бөгөөд бүх зүйл тойрог хэлбэрээр давтагдах болно.

Тиймээс би ransomware илрүүлсний дараа шууд компьютерээ эмчлэхгүй, харин системийг дахин суулгаж, үлдсэн өгөгдлийг хадгалахыг зөвлөж байна. Магадгүй вирус бүгдийг шифрлэж чадаагүй байх. Эдгээр зөвлөмжүүд нь файл сэргээх оролдлого хийх бодолгүй хүмүүст хамаарна. Хэрэв танд одоо нөөцлөлт байгаа бол системийг дахин суулгаж, өгөгдлийг сэргээнэ үү.

Хэрэв танд нөөцлөлт байхгүй бөгөөд ямар ч үнээр хамаагүй файлуудыг сэргээхэд бэлэн байгаа бол бид компьютерт огт хүрэхгүй байхыг хичээдэг. Юуны өмнө сүлжээний кабелийг салгаж, хэд хэдэн шифрлэгдсэн файл, мэдээлэл бүхий текст файлыг татаж аваарай. цэвэрхэнфлаш диск, дараа нь компьютерийг унтраа. Компьютерийг асаах боломжгүй болсон. Хэрэв та компьютерийн асуудлыг огтхон ч ойлгохгүй байгаа бол та өөрөө вирустай тэмцэж чадахгүй, файлын шифрийг тайлах эсвэл сэргээхээс хамаагүй бага байх болно. Мэдэх хүнтэй холбогдоорой. Хэрэв та өөрөө ямар нэгэн зүйл хийж чадна гэж бодож байвал цааш нь уншаарай.

Crusis (Dharma) тайлагчийг хаанаас татаж авах вэ

Дараах зүйл бол бүх ransomware вирусын талаархи миний бүх нийтийн зөвлөгөө юм. https://www.nomoreransom.org вэбсайт байдаг бөгөөд энэ нь онолын хувьд Crusis эсвэл Dharma-д зориулсан код тайлагч эсвэл файлын шифрийг тайлах бусад мэдээллийг агуулж болно. Миний практикт ийм зүйл урьд өмнө тохиолдож байгаагүй, гэхдээ магадгүй та азтай байх болно. Үүнийг туршиж үзэх нь зүйтэй. Үүнийг хийхийн тулд үндсэн хуудсан дээр дарж бид зөвшөөрч байна ТИЙМ.

2 файлыг хавсаргаж, ransomware-ийн мэдээллийн мессежийн агуулгыг буулгаад товшино уу Шалгах.

Хэрэв та азтай бол зарим мэдээлэл авах болно. Миний хувьд юу ч олдсонгүй.

Ransomware-д зориулсан одоо байгаа бүх шифр тайлагчийг тусдаа хуудсан дээр цуглуулдаг - https://www.nomoreransom.org/ru/decryption-tools.html Энэ жагсаалт байгаа нь энэ сайт болон үйлчилгээнд ямар нэгэн утга учиртай хэвээр байна гэж хүлээх боломжийг бидэнд олгодог. Касперский ижил төстэй үйлчилгээтэй - https://noransom.kaspersky.com/ru/ Та тэнд азаа туршиж үзэх боломжтой.

Интернэт хайлтаар өөр хаанаас ч код тайлагч хайх хэрэггүй гэж би бодож байна. Тэднийг олно гэдэг юу л бол. Энэ нь хамгийн сайндаа хэрэггүй программ хангамжтай ердийн луйвар эсвэл шинэ вирус байх магадлалтай.

Чухал нэмэлт. Хэрэв танд антивирусын лицензтэй хувилбар суулгасан бол файлын шифрийг тайлах хүсэлтийг вирусны эсрэг TP-д үүсгэхээ мартуузай. Заримдаа энэ нь үнэхээр тусалдаг. Би вирусны эсрэг тусламжтай амжилттай шифрлэлтийг хийсэн тоймыг харсан.

Crusis (Dharma) вирусын дараа файлуудыг хэрхэн шифрлэж, сэргээх вэ

Crusis (Dharma) вирус таны файлуудыг шифрлэсэн бол өмнө нь тайлбарласан аргуудын аль нь ч тус болохгүй бөгөөд та үнэхээр файлуудыг сэргээх шаардлагатай болсон үед яах вэ? Шифрлэлтийн техникийн хэрэгжилт нь зөвхөн шифрлэгчийн зохиогчид байдаг түлхүүр эсвэл тайлагчгүйгээр файлуудыг тайлахыг зөвшөөрдөггүй. Магадгүй өөр арга зам байж болох ч надад тийм мэдээлэл алга. Бид зөвхөн хиймэл аргаар файлуудыг сэргээхийг оролдож болно. Үүнд:

• Хэрэгсэл сүүдрийн хуулбаруудцонхнууд.
• Устгасан өгөгдөл сэргээх програмууд

Цаашид залруулга хийхээс өмнө би салбар тус бүрээр дискний дүрс хийхийг зөвлөж байна. Энэ нь танд одоогийн төлөвийг бүртгэх боломжийг олгоно, хэрэв юу ч ажиллахгүй бол ядаж эхлэх цэг рүү буцаж очоод өөр зүйл туршиж үзэх боломжтой. Дараа нь та хамгийн сүүлийн үеийн вирусны эсрэг мэдээллийн сан бүхий ямар ч антивирус ашиглан ransomware-г устгах хэрэгтэй. Заавал тэгнэ ээ CureItэсвэл Касперскийн вирусыг устгах хэрэгсэл. Та туршилтын горимд өөр ямар ч антивирус суулгаж болно. Энэ нь вирусыг устгахад хангалттай юм.

Үүний дараа бид халдвар авсан систем рүү ачаалж, сүүдрийн хуулбарыг идэвхжүүлсэн эсэхийг шалгана. Хэрэв та гараар идэвхгүй болгохгүй бол энэ хэрэгсэл нь Windows 7 ба түүнээс дээш хувилбаруудад анхдагч байдлаар ажилладаг. Шалгахын тулд компьютерийн шинж чанарыг нээж, системийн хамгаалалтын хэсэг рүү очно уу.

Хэрэв халдварын үед та сүүдэрт байгаа файлуудыг устгах UAC хүсэлтийг баталгаажуулаагүй бол зарим өгөгдөл тэнд үлдэх ёстой. Сүүдрийн хуулбараас файлуудыг хялбархан сэргээхийн тулд би үнэгүй програмыг ашиглахыг санал болгож байна - ShadowExplorer. Архивыг татаж аваад програмыг задлаад ажиллуул.

Файлын хамгийн сүүлийн хуулбар болон С драйвын үндэс нээгдэнэ.Зүүн дээд буланд та хэд хэдэн хуулбар байгаа бол нөөц хуулбарыг сонгож болно. Шаардлагатай файлуудын өөр хуулбарыг шалгана уу. Хамгийн сүүлийн хувилбарыг огноогоор нь харьцуулна уу. Доорх жишээн дээр би гурван сарын өмнө хамгийн сүүлд засварлагдсан 2 файлыг ширээний компьютер дээрээ олсон.

Би эдгээр файлуудыг сэргээж чадсан. Үүнийг хийхийн тулд би тэдгээрийг сонгоод, хулганы баруун товчийг дараад Экспортыг сонгоод хаана сэргээх хавтсыг зааж өгсөн.

Та ижил зарчмаар фолдеруудыг нэн даруй сэргээх боломжтой. Хэрэв танд сүүдрийн хуулбарууд ажиллаж байгаад устгаагүй бол вирусаар шифрлэгдсэн бүх файлыг эсвэл бараг бүгдийг нь сэргээх боломжтой. Магадгүй тэдний зарим нь бидний хүсч байгаагаас илүү хуучин хувилбар байх болно, гэхдээ энэ нь юу ч биш байснаас дээр юм.

Хэрэв ямар нэг шалтгааны улмаас танд файлуудын сүүдэр байхгүй бол шифрлэгдсэн файлуудаас ядаж ямар нэг зүйл авах цорын ганц боломж бол устгасан файл сэргээх хэрэгслийг ашиглан сэргээх явдал юм. Үүнийг хийхийн тулд би Photorec үнэгүй програмыг ашиглахыг санал болгож байна.

Програмаа ажиллуулаад файлаа сэргээх дискээ сонго. Програмын график хувилбарыг ажиллуулснаар файлыг ажиллуулна qphotorec_win.exe. Та олсон файлуудыг байрлуулах фолдерыг сонгох ёстой. Энэ хавтас нь бидний хайж буй диск дээр байхгүй бол илүү дээр юм. Үүнийг хийхийн тулд флаш диск эсвэл гадаад хатуу дискийг холбоно уу.

Хайлтын үйл явц удаан үргэлжлэх болно. Төгсгөлд нь та статистикийг харах болно. Одоо та өмнө нь заасан хавтас руу очоод тэнд юу байгааг харах боломжтой. Маш олон файл байх магадлалтай бөгөөд ихэнх нь гэмтсэн эсвэл ямар нэгэн систем, хэрэггүй файлууд байх болно. Гэсэн хэдий ч зарим хэрэгтэй файлуудыг энэ жагсаалтаас олж болно. Энд ямар ч баталгаа байхгүй, олсон зүйлээ олж авна. Зургийг ихэвчлэн хамгийн сайн сэргээдэг.

Хэрэв үр дүн нь танд таалагдахгүй бол устгасан файлуудыг сэргээх програмууд бас байдаг. Би хамгийн их файл сэргээх шаардлагатай үед ихэвчлэн ашигладаг програмуудын жагсаалтыг доор харуулав.

• R.saver
• Starus файл сэргээх
• JPEG сэргээх Pro
• Идэвхтэй файл сэргээх мэргэжлийн

Эдгээр програмууд нь үнэ төлбөргүй байдаг тул би холбоос өгөхгүй. Хэрэв та үнэхээр хүсч байгаа бол тэдгээрийг интернетээс өөрөө олж болно.

Жагсаалтад орсон програмуудыг ашиглан файлуудыг сэргээх бүх үйл явцыг нийтлэлийн төгсгөлд байгаа видеонд дэлгэрэнгүй харуулав.

Crusis (Dharma) ransomware-тай тэмцэхэд Kaspersky, eset nod32 болон бусад

Ердийнх шигээ би .combo өргөтгөлийг суулгадаг ransomware-ийн талаар мэдээлэл хайж алдартай вирусны эсрэг программуудын форумыг үзсэн. Вирусын тархалтын тодорхой хандлага ажиглагдаж байна. 8-р сарын дунд үеэс эхлэн маш олон хүсэлт ирдэг. Одоо тэд харагдахгүй байх шиг байна, гэхдээ магадгүй түр зуур эсвэл шифрлэгдсэн файлуудын өргөтгөл зүгээр л өөрчлөгдсөн байна.

Касперскийн форумаас ирсэн ердийн хүсэлтийн жишээ энд байна.

Доорх модераторын сэтгэгдэл бас байна.

EsetNod32 форум .combo өргөтгөлийг суулгадаг вирусыг эртнээс мэддэг болсон. Миний ойлгож байгаагаар энэ вирус нь өвөрмөц бөгөөд шинэ зүйл биш, харин эрт дээр үеэс мэдэгдэж байсан Crusis (Dharma) цуврал вирусуудын нэг хувилбар юм. Өгөгдлийн шифрийг тайлах ердийн хүсэлт энд байна:

Eset форум дээр вирус rdp-ээр серверт нэвтэрсэн гэсэн олон тойм байдгийг би анзаарсан. Энэ бол үнэхээр хүчтэй аюул бөгөөд та rdp-г халхавчгүйгээр орхиж болохгүй. Ганц асуулт бол вирус rdp-ээр яаж нэвтэрдэг вэ? Энэ нь нууц үгээ тааж, мэдэгдэж буй хэрэглэгч, нууц үг эсвэл өөр зүйлтэй холбогддог.

Баталгаат шифрийг тайлахын тулд хаашаа хандах вэ

Би Crusis (Dharma) зэрэг янз бүрийн шифрлэлтийн вирусыг ажиллуулсны дараа өгөгдлийг тайлдаг нэг компанитай таарсан. Тэдний хаяг нь http://www.dr-shifro.ru юм. Төлбөрийг зөвхөн шифрийг тайлж, баталгаажуулсны дараа хийнэ. Ажлын ойролцоо схем энд байна:

1. Компанийн мэргэжилтэн танай оффис, гэрт ирж, ажлын өртөгийг тусгасан гэрээнд гарын үсэг зурдаг.
2. Таны компьютер дээр шифрлэгчийг ажиллуулж, зарим файлын кодыг тайлна.
3. Та бүх файлыг нээж, гүйцэтгэсэн ажилд хүлээн авах гэрчилгээнд гарын үсэг зурж, шифрлэгчийг хүлээн авна уу.
4. Та файлуудынхаа шифрийг тайлж, үлдсэн баримтуудыг бөглөнө үү.

Та юу ч эрсдэлд оруулахгүй. Төлбөрийг зөвхөн декодчилогчийн ажиллагааг харуулсаны дараа төлнө. Энэ компанитай хийсэн туршлагын талаар сэтгэгдлээ бичнэ үү.

Ransomware вирусээс хамгаалах аргууд

Интернетээс үл мэдэгдэх програмуудыг эхлүүлэх, шуудангаар хавсралтуудыг нээх зэрэг тодорхой зүйлсийг би жагсаахгүй. Үүнийг одоо бүгд мэдэж байгаа. Нэмж дурдахад би энэ тухай хэсэгт нийтлэлдээ олон удаа бичсэн. Би нөөцлөлтөнд анхаарлаа хандуулах болно. Тэд зөвхөн оршин тогтнохоос гадна гаднаас нь нэвтрэх боломжгүй байх ёстой. Хэрэв энэ нь ямар нэгэн сүлжээний хөтөч юм бол хүчтэй нууц үгтэй тусдаа данс үүнд хандах ёстой.

Хэрэв та хувийн файлаа флаш диск эсвэл гадаад диск рүү нөөцөлж байгаа бол тэдгээрийг системд байнга холбож болохгүй. Нөөц хуулбар үүсгэсний дараа төхөөрөмжүүдийг компьютерээс салга. Би хамгийн тохиромжтой нөөцлөлтийг тусдаа төхөөрөмж дээр харж байна, энэ нь зөвхөн нөөцлөхийн тулд асаалттай, дараа нь сүлжээний кабелийг салгах эсвэл зүгээр л ажлыг унтраах замаар дахин сүлжээнээс биечлэн салгаж байна.

Нөөцлөлт нь шат ахих ёстой. Энэ нь шифрлэгч танд мэдэгдэхгүйгээр бүх өгөгдлийг шифрлэхээс зайлсхийхийн тулд шаардлагатай. Хуучин файлуудыг шинэ, гэхдээ аль хэдийн шифрлэгдсэн файлаар сольсон нөөцлөлт хийгдсэн. Үүний үр дүнд та архивтай болсон ч энэ нь ашиггүй болно. Та дор хаяж хэд хоногийн архивын гүнтэй байх шаардлагатай. Ирээдүйд хэрэв тэдгээр нь гарч ирээгүй бол өгөгдлийн зарим хэсгийг чимээгүйхэн шифрлэж, өөрсдийгөө илчлэхгүйгээр хэсэг хугацаанд хүлээх ransomware бий болно гэж би бодож байна. Энэ нь шифрлэгдсэн файлууд архивт хадгалагдаж, цаг хугацаа өнгөрөхөд жинхэнэ файлуудыг солих болно гэсэн хүлээлттэй байх болно.

Энэ нь корпорацийн салбарын хувьд хүнд үе байх болно. Би 20 TB өгөгдөл бүхий сүлжээний хөтчүүдийг шифрлэсэн eset форумаас жишээ татсан. Одоо танд ийм сүлжээний хөтөч байгаа гэж төсөөлөөд үз дээ, гэхдээ зөвхөн 500G өгөгдөл байнга ханддаггүй лавлахуудад шифрлэгдсэн байдаг. Хэдэн долоо хоног өнгөрч, хэн ч шифрлэгдсэн файлуудыг анзаардаггүй, учир нь тэдгээр нь архивын лавлахад байгаа бөгөөд тэдэнтэй байнга ажилладаггүй. Гэхдээ тайлант хугацааны эцэст мэдээлэл шаардлагатай. Тэд тэнд очоод бүх зүйл шифрлэгдсэн байхыг хардаг. Тэд архивт очдог бөгөөд тэнд хадгалах гүн нь 7 хоног байна. Ингээд л мэдээлэл алга боллоо.

Энэ нь архивт тусдаа, болгоомжтой хандахыг шаарддаг. Урт хугацааны өгөгдөл хадгалахад танд програм хангамж, нөөц хэрэгтэй.

Файлын шифрийг тайлах, сэргээх тухай видео

Вирусын ижил төстэй өөрчлөлтийн жишээ энд байна, гэхдээ видео нь комбины хувьд бүрэн хамааралтай.

Таньд найзынхаа зургийн холбоос эсвэл удахгүй болох баярын мэнд хүргэсэн имэйл, Skype эсвэл ICQ-ээр үл мэдэгдэх илгээгчээс мессеж ирсэн тохиолдол бий юу? Та ямар ч төрлийн тохиргоо хийхийг хүлээхгүй байгаа бололтой, гэнэт холбоос дээр дарахад ноцтой хортой программ хангамж таны компьютерт татагдах болно. Таныг мэдэхээс өмнө вирус таны бүх файлыг аль хэдийн шифрлэсэн байна. Ийм нөхцөлд юу хийх вэ? Баримт бичгийг сэргээх боломжтой юу?

Хортой програмтай хэрхэн харьцах талаар ойлгохын тулд энэ нь юу болох, үйлдлийн системд хэрхэн нэвтэрч байгааг мэдэх хэрэгтэй. Нэмж дурдахад Windows-ийн аль хувилбарыг ашиглах нь огт хамаагүй - Critroni вирус нь аливаа үйлдлийн системийг халдварлах зорилготой юм.

Шифрлэлт компьютерийн вирус: тодорхойлолт ба үйлдлийн алгоритм

Интернетэд CTB (Curve Tor Bitcoin) эсвэл Critroni гэгддэг шинэ компьютерийн вирусын програм хангамж гарч ирэв. Энэ бол урьд нь мэдэгдэж байсан CriptoLocker хортой программтай төстэй зарчмын хувьд сайжруулсан Trojan ransomware юм. Хэрэв вирус бүх файлыг шифрлэсэн бол энэ тохиолдолд та яах ёстой вэ? Юуны өмнө та түүний үйлдлийн алгоритмыг ойлгох хэрэгтэй. Вирусын мөн чанар нь таны бүх файлыг .ctbl, .ctb2, .vault, .xtbl эсвэл бусад өргөтгөлөөр шифрлэх явдал юм. Гэсэн хэдий ч та хүссэн мөнгөө төлөх хүртэл тэдгээрийг нээх боломжгүй болно.

Trojan-Ransom.Win32.Shade, Trojan-Ransom.Win32.Onion вирусууд түгээмэл байдаг. Тэд орон нутгийн үйл ажиллагаагаараа STV-тэй маш төстэй юм. Тэдгээрийг шифрлэгдсэн файлуудын өргөтгөлөөр ялгаж болно. Trojan-Ransom нь мэдээллийг .xtbl форматаар кодлодог. Аливаа файлыг нээх үед дэлгэцэн дээр таны хувийн баримт бичиг, мэдээллийн сан, зураг болон бусад файлууд хортой програмаар шифрлэгдсэн гэсэн мессеж гарч ирнэ. Тэдгээрийн шифрийг тайлахын тулд нууц серверт хадгалагдсан өвөрмөц түлхүүрийн төлбөрийг төлөх шаардлагатай бөгөөд зөвхөн энэ тохиолдолд та өөрийн баримт бичигтэй шифрлэлт, криптографийн үйлдлүүдийг хийх боломжтой болно. Санаа зоволтгүй, заасан дугаар руу мөнгө илгээхээс хамаагүй бага, энэ төрлийн цахим гэмт хэрэгтэй тэмцэх өөр арга бий. Хэрэв яг ийм вирус таны компьютерт нэвтэрч, бүх .xtbl файлыг шифрлэсэн бол та ийм нөхцөлд яах ёстой вэ?

Шифрлэлтийн вирус таны компьютерт нэвтэрсэн тохиолдолд юу хийх ёсгүй вэ

Сандарсан үедээ бид вирусны эсрэг програм суулгаж, түүний тусламжтайгаар вирусын програм хангамжийг автоматаар эсвэл гараар устгаж, чухал баримт бичгүүдийг алддаг. Энэ нь тааламжгүй, үүнээс гадна компьютер таны хэдэн сарын турш ажиллаж байсан өгөгдлийг агуулж болно. Ийм бичиг баримтыг сэргээх боломжгүйгээр алдах нь ичмээр юм.

Хэрэв вирус бүх .xtbl файлыг шифрлэсэн бол зарим нь өргөтгөлөө өөрчлөхийг оролддог боловч энэ нь эерэг үр дүнд хүргэдэггүй. Хатуу дискийг дахин суулгаж, форматлах нь хортой програмыг бүрмөсөн устгах боловч үүний зэрэгцээ та баримт бичгийг сэргээх ямар ч боломжоо алдах болно. Ийм нөхцөлд тусгайлан боловсруулсан код тайлах програмууд нь тус болохгүй, учир нь ransomware програм хангамж нь стандарт бус алгоритмаар програмчлагдсан бөгөөд тусгай арга барил шаарддаг.

Ransomware вирус нь хувийн компьютерт хэр аюултай вэ?

Нэг ч хортой програм таны хувийн компьютерт ашиг тусаа өгөхгүй нь тодорхой байна. Яагаад ийм програм хангамж бий болсон бэ? Хачирхалтай нь, ийм программууд нь зөвхөн хэрэглэгчдийг аль болох их мөнгө залилах зорилгоор бүтээгдсэнгүй. Үнэн хэрэгтээ вирусын маркетинг нь олон вирусны эсрэг зохион бүтээгчдийн хувьд нэлээд ашигтай байдаг. Эцсийн эцэст, хэрэв вирус таны компьютер дээрх бүх файлыг шифрлэсэн бол та хамгийн түрүүнд хаашаа хандах вэ? Мэдээжийн хэрэг, мэргэжлийн хүмүүсээс тусламж хүсэх хэрэгтэй. Таны зөөврийн компьютер эсвэл хувийн компьютерийн шифрлэлт гэж юу вэ?

Тэдний үйлдлийн алгоритм нь стандарт бус тул халдвар авсан файлуудыг ердийн вирусны эсрэг программ хангамжаар эмчлэх боломжгүй болно. Хортой объектуудыг устгаснаар өгөгдөл алдагдах болно. Зөвхөн хорио цээрийн дэглэмд шилжсэнээр л хортой вирус шифрлэж амжаагүй байгаа бусад файлуудыг хамгаалах боломжтой болно.

Шифрлэлтийн хортой програмын хүчинтэй байх хугацаа

Хэрэв таны компьютер Critroni (хорлонтой) вирусээр халдварласан бөгөөд вирус таны бүх файлыг шифрлэсэн бол та яах ёстой вэ? Та .doc, .mp3, .txt болон бусад өргөтгөлүүдийг гараар өөрчлөх замаар .vault-, .xtbl-, .rar форматын шифрийг өөрөө тайлж чадахгүй. Хэрэв та 96 цагийн дотор кибер гэмт хэрэгтнүүдэд шаардлагатай мөнгийг төлөхгүй бол тэд таны бүх файлыг бүрмөсөн устгах болно гэсэн айлган сүрдүүлсэн захидал илгээх болно. Ихэнх тохиолдолд хүмүүс ийм аюул заналхийлэлд өртөж, үнэт мэдээллээ алдахаас айж, дурамжхан боловч дуулгавартай үйлдлүүдийг хийдэг. Цахим гэмт хэрэгтнүүд хэлсэн үгэндээ тэр бүр үнэнч байдаггүйг хэрэглэгчид ойлгохгүй байгаа нь харамсалтай. Тэд мөнгөө хүлээн авмагц таны түгжигдсэн файлуудын кодыг тайлах талаар санаа зовохоо больдог.

Цаг хэмжигч дуусахад автоматаар хаагдана. Гэхдээ танд чухал бичиг баримтыг сэргээх боломж байсаар байна. Хугацаа дууссан тухай мессеж дэлгэцэн дээр гарч ирэх бөгөөд та DecryptAllFiles.txt тусгайлан үүсгэсэн тэмдэглэлийн дэвтэр файлаас баримт бичгийн хавтсанд байгаа файлуудын талаарх дэлгэрэнгүй мэдээллийг үзэх боломжтой.

Үйлдлийн системд хортой програмыг шифрлэх арга замууд

Ихэвчлэн ransomware вирус нь халдвар авсан имэйл мессежээр эсвэл хуурамч татан авалтаар дамжуулан компьютерт нэвтэрдэг. Эдгээр нь хуурамч флаш шинэчлэлтүүд эсвэл хуурамч видео тоглуулагч байж болно. Эдгээр аргуудын аль нэгийг ашиглан програмыг таны компьютерт татаж авмагц өгөгдлийг сэргээх боломжгүйгээр шууд шифрлэдэг. Хэрэв вирус бүх .cbf, .ctbl, .ctb2 файлуудыг өөр формат руу шифрлэсэн бөгөөд танд зөөврийн зөөвөрлөгч дээр хадгалагдсан баримт бичгийн нөөц хуулбар байхгүй бол та тэдгээрийг сэргээх боломжгүй болно гэж бодоорой. Одоогийн байдлаар вирусны эсрэг лабораториуд ийм шифрлэлтийн вирусыг хэрхэн яаж задлахаа мэдэхгүй байна. Шаардлагатай түлхүүргүйгээр та зөвхөн халдвар авсан файлуудыг блоклох, хорио цээрийн дэглэмд шилжүүлэх эсвэл устгах боломжтой.

Компьютер дээрээ вирус орохоос хэрхэн сэргийлэх вэ

Бүх .xtbl файлууд аймшигтай. Юу хийх вэ? Та аль хэдийн ихэнх вэбсайтууд дээр бичсэн олон шаардлагагүй мэдээллийг уншсан бөгөөд та хариултыг олж чадахгүй байна. Ажил дээрээ тайлан, их сургуульд диссертаци, профессорын зэрэг хамгаалах шаардлагатай үед хамгийн тохиромжгүй мөчид компьютер өөрийн амьдралаар амьдарч эхэлдэг: энэ нь эвдэрч, вируст халдварладаг. , мөн хөлддөг. Та ийм нөхцөл байдалд бэлэн байх ёстой бөгөөд сервер болон зөөврийн зөөвөрлөгч дээрх мэдээллийг хадгалах ёстой. Ингэснээр та хүссэн үедээ үйлдлийн системийг дахин суулгаж, 20 минутын дараа компьютер дээрээ юу ч болоогүй юм шиг ажиллах боломжтой болно. Гэвч харамсалтай нь бид үргэлж тийм санаачлагатай байдаггүй.

Компьютерээ вирусээр халдварлуулахгүйн тулд эхлээд сайн вирусны эсрэг програм суулгах хэрэгтэй. Та сүлжээгээр дамжих янз бүрийн хортой объектоос хамгаалдаг Windows Firewall-г зөв тохируулсан байх ёстой. Хамгийн гол нь: баталгаагүй сайтууд эсвэл торрент трекерүүдээс программ хангамжийг татаж авах хэрэггүй. Компьютерээ вирусээр халдварлуулахгүйн тулд ямар линк дээр дарахдаа болгоомжтой байгаарай. Хэрэв та үл мэдэгдэх хүлээн авагчаас холбоосын ард юу нуугдаж байгааг харах хүсэлт эсвэл санал бүхий имэйл хүлээн авбал мессежийг спам руу шилжүүлэх эсвэл бүрмөсөн устгах нь дээр.

Вирус нэг өдөр бүх .xtbl файлыг шифрлэхээс сэргийлэхийн тулд вирусны эсрэг программ хангамжийн лабораториуд шифрлэлтийн вирусын халдвараас хамгаалах үнэгүй аргыг санал болгож байна: долоо хоногт нэг удаа тэдний статусыг шалгана уу.

Вирус нь компьютер дээрх бүх файлыг шифрлэсэн: эмчилгээний аргууд

Хэрэв та кибер гэмт хэргийн хохирогч болсон бөгөөд таны компьютер дээрх өгөгдөл нь шифрлэлтийн төрлийн хортой програмаар халдварласан бол файлуудаа сэргээх оролдлого хийх цаг болжээ.

Халдвар авсан баримт бичгийг үнэгүй эмчлэх хэд хэдэн арга байдаг:

1. Хамгийн түгээмэл, магадгүй хамгийн үр дүнтэй арга бол баримт бичгийг нөөцлөх, дараа нь гэнэтийн халдвар авсан тохиолдолд сэргээх явдал юм.
2. CTB вирусын программ хангамжийн алгоритм нь сонирхолтой байдлаар ажилладаг. Компьютер дээр суусны дараа энэ нь файлуудыг хуулж, шифрлэж, анхны баримтыг устгадаг бөгөөд ингэснээр тэдгээрийг сэргээх боломжийг арилгадаг. Гэхдээ Photorec эсвэл R-Studio програм хангамжийн тусламжтайгаар та зарим нэг хөндөгдөөгүй анхны файлуудыг хадгалах боломжтой. Халдвар авсны дараа та компьютерээ удаан ашиглах тусам шаардлагатай бүх бичиг баримтыг сэргээх магадлал багатай гэдгийг та мэдэх ёстой.
3. Хэрэв вирус бүх .vault файлыг шифрлэсэн бол тэдгээрийг тайлах өөр нэг сайн арга бий - сүүдрийн хуулбарыг ашиглах. Мэдээжийн хэрэг, вирус бүгдийг нь бүрмөсөн, эргэлт буцалтгүй устгахыг оролдох боловч зарим файлууд хөндөгдөөгүй хэвээр үлддэг. Энэ тохиолдолд та тэдгээрийг сэргээх жижиг боловч боломж байх болно.
4. DropBox зэрэг файл байршуулах үйлчилгээнүүдэд өгөгдөл хадгалах боломжтой. Үүнийг таны компьютер дээр дотоод дискний зураглал болгон суулгаж болно. Мэдээжийн хэрэг, шифрлэлтийн вирус түүнд бас халдварлах болно. Гэхдээ энэ тохиолдолд баримт бичиг, чухал файлуудыг сэргээх нь илүү бодитой юм.

Компьютерийн вирусын халдвараас урьдчилан сэргийлэх програм хангамж

Хэрэв та хортой программ хангамж таны компьютерт орохоос айж, нууц вирус таны бүх файлыг шифрлэхийг хүсэхгүй байгаа бол дотоод бодлогын засварлагч эсвэл Windows групп засварлагчийг ашиглах хэрэгтэй. Энэхүү нэгдсэн програм хангамжийн ачаар та програмыг хязгаарлах бодлогыг тохируулах боломжтой бөгөөд дараа нь таны компьютер халдвар авах вий гэж санаа зовохгүй байх болно.

Халдвар авсан файлуудыг хэрхэн сэргээх вэ

Хэрэв CTB вирус бүх файлыг шифрлэсэн бол энэ тохиолдолд шаардлагатай бичиг баримтыг сэргээхийн тулд юу хийх хэрэгтэй вэ? Харамсалтай нь, одоогоор вирусын эсрэг ганц лаборатори таны файлын шифрийг тайлахыг санал болгож чадахгүй ч халдварыг саармагжуулж, хувийн компьютерээс бүрэн устгах боломжтой. Мэдээллийг сэргээх бүх үр дүнтэй аргуудыг дээр дурдсан болно. Хэрэв таны файлууд таны хувьд хэтэрхий үнэ цэнэтэй бөгөөд та тэдгээрийг зөөврийн диск эсвэл интернет диск рүү нөөцлөхөөс санаа зовоогүй бол кибер гэмт хэрэгтнүүдийн хүссэн хэмжээний мөнгийг төлөх шаардлагатай болно. Гэхдээ төлбөрийн дараа ч гэсэн код тайлах түлхүүр танд илгээгдэх боломж байхгүй.

Халдвартай файлуудыг хэрхэн олох вэ

Халдвар авсан файлуудын жагсаалтыг харахын тулд "Миний баримтууд"\.html эсвэл "C:"\"Хэрэглэгчид"\"Бүх хэрэглэгчид"\.html гэсэн зам руу орж болно. Энэхүү html хуудас нь зөвхөн санамсаргүй зааврын тухай төдийгүй халдвар авсан объектуудын тухай мэдээллийг агуулдаг.

Шифрлэлтийн вирусыг хэрхэн хаах вэ

Компьютер хортой програмаар халдварлагдсаны дараа хэрэглэгчийн хийх хамгийн эхний арга хэмжээ бол сүлжээг асаах явдал юм. Үүнийг F10 гарын товчлуур дээр дарж хийнэ.

Хэрэв Critroni вирус таны компьютерт санамсаргүйгээр нэвтэрч, .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf эсвэл өөр форматтай бүх файлыг шифрлэсэн бол тэдгээрийг сэргээхэд хэцүү байх болно. Гэхдээ хэрэв вирус олон өөрчлөлт хийгээгүй бол програм хангамжийн хязгаарлалтын бодлогыг ашиглан блоклох магадлалтай.

Ransomware вирус: Та скамеруудад мөнгө төлөх ёстой юу, үгүй ​​юу?

Энэ хар өдөр ирлээ. Шифрлэх вирус нь ажлын чухал машинуудын нэг дээр идэвхтэй ажиллаж байсан бөгөөд үүний дараа бүх оффис, график болон бусад олон файлууд crypted000007 зөвшөөрлийг хүлээн авсан бөгөөд энэ нийтлэлийг бичиж байх үед кодыг тайлах боломжгүй байв.

Мөн ширээний компьютер дээр "Таны файлууд шифрлэгдсэн" гэсэн бичээстэй ханын цаас гарч ирсэн бөгөөд локал хөтчийн үндсэн хэсэгт луйварчинтай холбоо барих мэдээлэл бүхий readme текст бичиг баримтууд гарч ирэв. Мэдээжийн хэрэг, тэр шифрийг тайлахын тулд золиос авахыг хүсдэг.

Би хувьдаа ийм үйлдлийг таслан зогсоохын тулд энэ хөгийн хүнтэй холбоо бариагүй ч дундаж үнэ 300 доллар ба түүнээс дээш үнэтэй байдаг гэдгийг би мэднэ. Тиймээс юу хийхээ өөрөө бодоорой. Гэхдээ хэрэв танд маш чухал файлууд, жишээлбэл, 1С мэдээллийн сан шифрлэгдсэн бөгөөд нөөц хуулбар байхгүй бол энэ нь таны карьерын уналт болно.

Би өөрөөсөө түрүүлж, хэрэв танд шифрийг тайлах найдвар байгаа бол ямар ч тохиолдолд мөнгө шаарддаг файлыг устгаж, шифрлэгдсэн файлуудыг юу ч хийж болохгүй (нэр, өргөтгөл гэх мэтийг өөрчлөх хэрэггүй) гэдгийг хэлье. Гэхдээ бүгдийг дарааллаар нь ярья.

Ransomware вирус - энэ юу вэ?

Энэ бол маш хүчтэй алгоритм ашиглан компьютер дээрх өгөгдлийг шифрлэдэг хортой (ransomware) програм хангамж юм. Дараа нь би бүдүүлэг зүйрлэл өгөх болно. Та Windows-д нэвтрэхийн тулд хэдэн мянган тэмдэгтээс бүрдэх нууц үг оруулаад мартсан гэж төсөөлөөд үз дээ. Зөвшөөрч байна, санах боломжгүй юм. Гараар хайлт хийхэд хэдэн хүний ​​амь орох вэ?

Энэ нь хууль бус зорилгоор хууль ёсны криптографийн аргыг ашигладаг ransomware-тай холбоотой юм. Ийм вирусууд нь дүрмээр бол асинхрон шифрлэлтийг ашигладаг. Энэ нь түлхүүрийн хослолыг ашигладаг гэсэн үг юм.

Файлууд нь нийтийн түлхүүрээр шифрлэгдсэн бөгөөд зөвхөн луйварчинд байдаг хувийн түлхүүрийг ашиглан тайлж болно. Бүх түлхүүрүүд нь компьютер бүрт тус тусад нь үүсгэгддэг тул өвөрмөц байдаг.

Тийм ч учраас би өгүүллийн эхэнд та дискний үндэс дэх readme.txt файлыг золиослох хүсэлтээр устгаж болохгүй гэж хэлсэн. Үүнд нийтийн түлхүүрийг зааж өгсөн болно.

Миний хэрэг дээрх ransomware-ийн имэйл хаяг. Хэрэв та үүнийг хайлтанд оруулбал эмгэнэлт явдлын жинхэнэ цар хүрээ тодорхой болно. Маш олон хүн хохирсон.

Тиймээс, би дахин хэлье: ямар ч тохиолдолд гэмтсэн файлуудыг бүү өөрчил. Үгүй бол та ирээдүйд тэдгээрийг сэргээх өчүүхэн ч гэсэн боломжоо алдах болно.

Мөн үйлдлийн системийг дахин суулгаж, түр зуурын болон системийн лавлахуудыг цэвэрлэхийг зөвлөдөггүй. Товчхондоо, бүх нөхцөл байдал тодорхой болтол бид амьдралаа хүндрүүлэхгүйн тулд юунд ч хүрдэггүй. Хэдийгээр энэ нь хамаагүй муу юм шиг санагддаг.

Энэ халдвар нь ихэвчлэн "Яаралтай, менежерт. Банкнаас ирсэн захидал" гэх мэт халуун сэдэвтэй цахим шуудангаар таны компьютерт ордог. Дайсан нь хавсралтад нуугдаж байгаа бөгөөд энэ нь хор хөнөөлгүй pdf эсвэл jpg файл шиг харагдаж болно.

Хэрэв та үүнийг эхлүүлсэн бол эхлээд харахад ямар ч аймшигтай зүйл тохиолдохгүй. Сул оффисын компьютер дээр хэрэглэгч бага зэрэг "удааш" байгааг анзаарч магадгүй юм. Системийн үйл явц мэт дүр эсгэсэн энэ вирус бохир ажлаа аль хэдийнэ хийж байна.

Windows 7 болон түүнээс дээш хувилбаруудад хортон шавьж эхлэх үед хэрэглэгчийн бүртгэлийг хянах цонх байнга гарч ирэх бөгөөд өөрчлөлтийг зөвшөөрөхийг танаас хүсэх болно. Мэдээжийн хэрэг, туршлагагүй хэрэглэгч бүх зүйлтэй санал нийлж, улмаар цаазаар авах ялын тогтоолд гарын үсэг зурах болно.

Тийм ээ, үнэндээ вирус аль хэдийн файлд хандах хандалтыг хааж байгаа бөгөөд дууссаны дараа ширээний компьютер дээр "Таны файлууд шифрлэгдсэн" гэсэн анхааруулга гарч ирнэ. Ер нь бол өгзөг шүү дээ. Дараа нь харгислал эхэлдэг.

Ransomware вирусыг хэрхэн эмчлэх вэ

Дээр дурдсан зүйлс дээр үндэслэн бид ширээний компьютер дээрх аймшигт бичээс хараахан гарч ирээгүй байгаа бөгөөд та янз бүрийн тэмдэгтүүдийн эмх замбараагүй багцаас үл ойлгогдох урт нэртэй анхны файлуудыг аль хэдийн харсан бол компьютерийг залгуураас нэн даруй устгана уу гэж дүгнэж болно.

Зөв, бүдүүлэг, эвлэршгүй. Үүнийг хийснээр та хортой програмын алгоритмыг зогсоож, ядаж ямар нэг зүйлийг хэмнэх боломжтой болно. Харамсалтай нь, миний хувьд ажилтан үүнийг мэдээгүй, бүх зүйлээ алдсан. Чиний ээж...

Энэ вирус нь бичих эрх бүхий компьютерт холбогдсон бүх зөөврийн зөөвөрлөгч болон сүлжээний хөтчүүдийг хялбархан шифрлэдэг нь миний хувьд бялууны мөстөлт байсан юм. Тэнд нөөцлөлтүүд байсан.

Одоо эмчилгээний талаар. Таны ойлгох ёстой хамгийн эхний зүйл бол вирус эдгэрсэн боловч файлууд шифрлэгдсэн хэвээр байх болно. Магадгүй үүрд. Эмчилгээний үйл явц нь өөрөө төвөгтэй биш юм.

Үүнийг хийхийн тулд та хатуу дискээ өөр компьютерт холбож, Kaspersky Virus Removal Tool гэх мэт хэрэгслүүдээр сканнердах хэрэгтэй. Аюулгүй байхын тулд та хоёрыг ээлжлэн ашиглаж болно. Хэрэв та халдвартай боолтыг өөр компьютерт шилжүүлэхийг хүсэхгүй байгаа бол Live CD-ээс ачаална уу.

Дүрмээр бол ийм вирусны эсрэг шийдлүүд нь шифрлэгчийг ямар ч асуудалгүйгээр олж устгадаг. Гэхдээ заримдаа тэд юу ч илрүүлдэггүй, учир нь вирус үүргээ гүйцэтгэсний дараа өөрийгөө системээс устгаж чаддаг. Энэ бол бүх ул мөрийг дарж, судлахад хэцүү болгодог ийм новш юм.

Антивирус яагаад хүсээгүй программ хангамжийг компьютерт оруулахаас сэргийлээгүй юм бэ гэсэн асуултыг би урьдчилан харж байна. Тэгвэл ямар ч асуудал гарахгүй. Миний бодлоор одоогоор вирусны эсрэг програмууд шифрлэгчидтэй тулалдаанд ялагдаж байгаа бөгөөд энэ нь маш харамсалтай байна.

Түүгээр ч барахгүй, би аль хэдийн хэлсэнчлэн ийм хортой програм нь хууль ёсны криптографийн аргууд дээр суурилдаг. Энэ нь тэдний ажил техникийн үүднээс хууль бус биш болох нь харагдаж байна. Энэ нь тэднийг тодорхойлоход хэцүү байдаг.

Зөвхөн халдвар авсны дараа вирусын эсрэг мэдээллийн санд багтсан шинэ өөрчлөлтүүд байнга гардаг. Харамсалтай нь энэ тохиолдолд 100% хамгаалалт байж чадахгүй. Компьютер дээр ажиллахдаа зөвхөн сонор сэрэмжтэй байх хэрэгтэй, гэхдээ дараа нь энэ талаар илүү ихийг хэлэх болно.

Вирусын дараа файлын шифрийг хэрхэн тайлах вэ

Энэ бүхэн тодорхой тохиолдлоос хамаарна. Шифрлэлтийн вирусын өөрчлөлт нь юу ч байж болно гэж дээр бичсэн. Үүнээс хамааран шифрлэгдсэн файлууд өөр өөр өргөтгөлтэй байдаг.

Сайн мэдээ бол халдварын олон хувилбаруудын хувьд вирусны эсрэг компаниуд аль хэдийн шифр тайлагчийг (шифр тайлагч) гаргаж ирсэн. Орос хэлний зах зээлд тэргүүлэгч нь Касперскийн лаборатори юм. Эдгээр зорилгоор дараахь нөөцийг бий болгосон.

Үүн дээр хайлтын талбарт бид өргөтгөл эсвэл имэйлийн талаарх мэдээллийг золиосны тэмдэглэлээс оруулаад "Хайлт" дээр товшоод бидэнд хадгалах хэрэгсэл байгаа эсэхийг харна уу.

Хэрэв та азтай бол жагсаалтаас програмыг татаж аваад ажиллуулаарай. Зарим шифрлэгчийн тайлбарт компьютер дээр ажиллахдаа онлайн мэдээллийн санд түлхүүрүүдийг ахисан түвшний хайлт хийх боломжтой байхын тулд та интернетэд холбогдсон байх ёстой гэж заасан байдаг.

Үгүй бол бүх зүйл энгийн байдаг. Тодорхой файл эсвэл дискийг бүхэлд нь сонгоод скан хийж эхлээрэй. Хэрэв та "Шифрлэгдсэн файлуудыг устгах" зүйлийг идэвхжүүлбэл шифрлэгдсэний дараа бүх эх файл устах болно. Өө, би яарах хэрэггүй, би үр дүнг шууд харах хэрэгтэй.

Зарим төрлийн вирусын хувьд програм нь файлын эх болон шифрлэгдсэн хоёр хувилбарыг асууж болно. Хэрэв эхнийх нь байхгүй бол энэ нь алдагдсан шалтгаан юм.

Мөн лицензтэй Касперский лабораторийн бүтээгдэхүүний хэрэглэгчид албан ёсны форумтай холбогдож шифрийг тайлах талаар тусламж авах боломжтой. Гэхдээ үүнийг миний өргөтгөлөөр (crypted000007) харсны дараа тэнд ямар ч тусламж байхгүй гэдгийг ойлгосон. Dr.Web-ийн талаар мөн адил зүйлийг хэлж болно.

Үүнтэй төстэй өөр нэг төсөл байгаа ч энэ удаад олон улсын. Интернетээс авсан мэдээллээр үүнийг вирусны эсрэг тэргүүлэгч үйлдвэрлэгчид дэмждэг. Энд түүний хаяг байна:

Мэдээжийн хэрэг, энэ нь үнэн байж болох ч сайт зөв ажиллахгүй байна. Үндсэн хуудас нь таныг хоёр шифрлэгдсэн файл, мөн золигийн файлыг татаж авахыг хүсэх бөгөөд үүний дараа систем нь шифрлэгч байгаа эсэх талаар хариулах болно.

Харин үүний оронд хэлний сонголттой хэсэг рүү шилжинэ, тэгээд л болоо. Тиймээс та "Decryptor-Utilities" хэсэгт бие даан очиж, хэрэгтэй програмаа хайж олох боломжтой.

Боломжтой програм хангамжийн товч тайлбар нь шифрлэгдсэн файлуудын дэмжигдсэн өргөтгөлүүдийг тодорхой заагаагүй тул энэ нь тийм ч тохиромжтой биш юм. Үүнийг хийхийн тулд та шифрлэгчийн төрөл бүрийн өргөтгөсөн зааврыг унших хэрэгтэй.

Энэ нийтлэлийг бичих явцад би ижил зарчмаар зөв ажилладаг ижил төстэй үйлчилгээг олсон. Тэр танд аюул заналхийллийн нэрийг олж мэдэхэд тусалж, хэрэв байгаа бол "шидэт эм" өгөх болно. Хэрэглэгчийн тав тухыг хангах үүднээс сайтын баруун дээд буланд орчуулагч товчлуур бий.

Юу хийх вэ? Төлбөр төлөх эсвэл төлөхгүй байх

Хэрэв та энэ хүртэл уншсан бол таны файлууд найдвартай шифрлэгдсэн хэвээр байна гэсэн үг. Тэгээд энд асуулт гарч ирнэ: дараа нь юу хийх вэ? Үнэн хэрэгтээ, хэрэв маш чухал файлуудыг шифрлэвэл жижиг бизнес битгий хэл томоохон аж ахуйн нэгжүүдийн ажил ч зогсонги байдалд ордог.

Нэгдүгээрт, та луйварчийн зааврыг дагаж, золиосоо төлж болно. Гэхдээ Касперскийн лабораторийн статистик мэдээллээс харахад тав дахь аж ахуйн нэгж бүр төлбөрийн дараа шифрлэгч түлхүүрийг хэзээ ч авч байгаагүй.

Энэ нь янз бүрийн шалтгааны улмаас тохиолдож болно. Жишээлбэл, вирусыг хувийн түлхүүртэй бүтээгчид өөрсдөө биш, харин залилан мэхлэгч зуучлагчид ашиглаж болох байсан.

Тэд зүгээр л хорлонтой програмын кодыг өөрчилсөн бөгөөд энэ нь золиослолын файл дахь өгөгдлийг харуулсан боловч тэдэнд хоёр дахь түлхүүр байхгүй байна. Тэд мөнгөө аваад явсан. Тэгээд та хоолоо үргэлжлүүлнэ.

Ерөнхийдөө тэд худлаа хэлэхгүй, би өөрөө техникийн бүх нарийн ширийн зүйлийг мэдэхгүй. Гэхдээ ямар ч байсан хулгайчдад мөнгө өгснөөр тэднийг ийм үйл ажиллагаа явуулах сэдэл төрүүлдэг. Эцсийн эцэст энэ нь ажиллаж, мөнгө олдог юм бол яагаад болохгүй гэж.

Гэхдээ интернетээс би дор хаяж хоёр компанийг олсон бөгөөд энэ асуудалд туслах болно, тэр ч байтугай crypted000007 өргөтгөлтэй файлын кодыг тайлах болно. Би тэдний нэгтэй маш их айсан байдалтай холбогдлоо.

Үнэнийг хэлэхэд залуус надад тусалсангүй, учир нь тэд тайлагч байхгүй гэж тэр даруй хэлсэн боловч бага түвшний сканнер ашиглан вирус устгасан анхны файлуудын 30 орчим хувийг сэргээхийг оролдож болно.

Би энэ тухай бодоод татгалзсан. Гэхдээ өөрсдийгөө тэнэгтүүлэхгүй, цаг зав гаргаж, бүх зүйлийг ухаалгаар тайлбарлаж өгсөнд нь баярлалаа. Тэдэнд түлхүүр байхгүй тул тэд луйварчидтай харилцах ёсгүй гэсэн үг юм.

Гэхдээ үйл ажиллагааны амжилтанд 100% баталгаа өгдөг өөр нэг "сонирхолтой" компани байдаг. Түүний вэбсайт энэ хаяг дээр байрладаг:

Би тусгай форумаар аялахыг оролдсон боловч жинхэнэ үйлчлүүлэгчдээс сэтгэгдэл олж чадсангүй. Энэ нь хүн бүр үүнийг мэддэг боловч цөөхөн хүн үүнийг ашигладаг. Харгис балмад тойрог.

Эдгээр залуус хүлээн авсан үр дүнд тулгуурлан ажилладаг, урьдчилгаа төлбөр байхгүй. Дахин хэлэхэд би давтан хэлье, тэд crypted000007 ч гэсэн шифрийг тайлах баталгаа өгдөг. Энэ нь тэдэнд түлхүүр, тайлагч байгаа гэсэн үг. Эндээс асуулт гарч ирдэг: тэд энэ сайн сайхныг хаанаас авдаг вэ? Эсвэл надад ямар нэг зүйл дутагдаж байна уу?

Би муу зүйл хэлмээргүй байна, магадгүй тэд эелдэг, сэвсгэр, тэд шударга ажиллаж, хүмүүст тусалдаг. Техникийн хувьд энэ нь мастер түлхүүргүйгээр боломжгүй юм. Ямартай ч тэдний эсрэг яллах зүйл илэрсэн.

Ransomware вирусээс өөрийгөө хэрхэн хамгаалах вэ

Би танд аюулгүй байж, ийм хортой програм нэвтэрсэн тохиолдолд алдагдлыг хамгийн бага хэмжээнд бууруулахад туслах хэд хэдэн үндсэн зарчмуудыг өгөх болно. Эцсийн эцэст би энэ бүхнийг өөрийнхөө арьсан дээр мэдэрсэн.

Зөөврийн (сүлжээнээс тусгаарлагдсан) зөөвөрлөгч дээр тогтмол нөөцлөлт хийх. Энэ бол хамгийн чухал зүйл гэж би хэтрүүлэлгүйгээр хэлж чадна.

Халдвар авсан тохиолдолд алдагдлыг багасгахын тулд администраторын эрхтэй дансны дор ажиллахгүй байх.

Олон нийтийн мэдээллийн хэрэгслээр ирж буй захидал болон хаягдсан холбоосыг хүлээн авагчдыг сайтар хянаж байх. сүлжээнүүд. Энд сэтгэгдэл байхгүй.

Вирусны эсрэг програмаа шинэчлээрэй. Энэ нь таныг аварч магадгүй, гэхдээ энэ нь тодорхойгүй байна.

Windows 7/10 дээрх файлуудыг идэвхжүүлэхээ мартуузай. Энэ талаар бид дараагийн дугаарууддаа дэлгэрэнгүй ярих болно.

Windows 7 болон түүнээс дээш хувилбарт хэрэглэгчийн бүртгэлийн хяналтыг идэвхгүй болгож болохгүй.

Би эргээд вирусээр бүрэн шифрлэгдсэн оффисын файлуудтай үлддэг. Би нийтлэлд дурдсан бүх эх сурвалжийг үе үе харж, хэзээ нэгэн цагт шифрлэгчийг тэнд харах болно гэж найдаж байна. Магадгүй аз энэ амьдралд инээмсэглэх ч юм билүү, хэн мэдлээ.

Хэрэглэгчийн гэрийн компьютер дээрх кино, хөгжим гэх мэт файлуудыг шифрлэх нь нэг зүйл юм. Та дор хаяж 5-7 жилийн хугацаанд аж ахуйн нэгжийн бүх бүртгэлийн менежментэд хандах боломжгүй болсон тохиолдолд энэ нь огт өөр юм. Өвдөж байна, би аль хэдийн мэдэж байна.

Хэрэв систем Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl эсвэл Trojan-аас хортой програмаар халдварласан бол. -Ransom гэр бүлүүд. Win32.CryptXXX, компьютер дээрх бүх файлууд дараах байдлаар шифрлэгдэх болно:

• Trojan-Ransom.Win32.Rannoh халдвар авсан үед нэр, өргөтгөл нь түгжигдсэн загварын дагуу өөрчлөгдөнө.<оригинальное_имя>.<4 произвольных буквы>.
• Trojan-Ransom.Win32.Cryakl халдвар авсан үед файлын агуулгын төгсгөлд шошго (CRYPTENDBLACKDC) нэмэгддэг.
• Trojan-Ransom.Win32.AutoIt-ээр халдварласан тохиолдолд өргөтгөл нь загварын дагуу өөрчлөгддөг.<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Жишээлбэл, [имэйлээр хамгаалагдсан] _.RZWDTDIC.
• Trojan-Ransom.Win32.CryptXXX-ээр халдварласан тохиолдолд өргөтгөл нь хэв маягийн дагуу өөрчлөгддөг.<оригинальное_имя>.crypt,<оригинальное_имя>.crypz болон<оригинальное_имя>.cryp1.

RannohDecryptor хэрэгсэл нь Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Winla32.Crybo-р халдвар авсны дараа файлуудын шифрийг тайлахад зориулагдсан. , Trojan- Ransom.Win32.Cryakl эсвэл Trojan-Ransom.Win32.CryptXXX хувилбар 1, 2, 3.

Системийг яаж эмчлэх вэ

Халдвартай системийг эмчлэхийн тулд:

1. RannohDecryptor.zip файлыг татаж авна уу.
2. Халдвар авсан машин дээр RannohDecryptor.exe програмыг ажиллуул.
3. Үндсэн цонхонд товшино уу Шалгаж эхэл.

1. Шифрлэгдсэн болон шифрлэгдээгүй файлд хүрэх замыг зааж өгнө үү.
   Хэрэв файл Trojan-Ransom.Win32.CryptXXX-ээр шифрлэгдсэн бол хамгийн том файлын хэмжээг зааж өгнө үү. Шифрийг тайлах нь зөвхөн ижил хэмжээтэй эсвэл жижиг хэмжээтэй файлуудад боломжтой болно.
2. Шифрлэгдсэн файлуудыг хайх, тайлах ажил дуусах хүртэл хүлээнэ үү.
3. Шаардлагатай бол компьютерээ дахин эхлүүлнэ үү.
4. түгжигдсэний дараа -<оригинальное_имя>.<4 произвольных буквы>Амжилттай тайлсны дараа шифрлэгдсэн файлуудын хуулбарыг устгахын тулд -г сонгоно уу.

Хэрэв файлыг Trojan-Ransom.Win32.Cryakl шифрлэсэн бол уг хэрэгсэл нь файлыг хуучин байрлалдаа .decryptedKLR.original_extension өргөтгөлөөр хадгалах болно. Хэрэв та сонгосон бол Шифрлэгдсэн файлуудыг амжилттай тайлсны дараа устгана уу, хуулбарласан файлыг хэрэглүүр анхны нэрээр нь хадгална.

1. Анхдагч байдлаар, хэрэгсэл нь ажлын тайланг системийн дискний үндэс рүү (OS суулгасан диск) гаргадаг.

   Тайлангийн нэр дараах байдалтай байна: UtilityName.Version_Date_Time_log.txt

   Жишээлбэл, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trojan-Ransom.Win32.CryptXXX-ээр халдварлагдсан систем дээр хэрэгсэл нь хязгаарлагдмал тооны файлын форматыг сканнердаж байна. Хэрэв хэрэглэгч CryptXXX v2-д өртсөн файлыг сонговол түлхүүрийг сэргээхэд удаан хугацаа шаардагдана. Энэ тохиолдолд хэрэгсэл нь анхааруулга харуулдаг.